Wie 2FA mit zeitbasierten Einmalpasswörtern funktioniert

In unserem vorherigen Blog-Beitrag zum Thema 2FA/MFA sind wir bereits auf die Frage eingegangen, wie sich die freie Software KeePass als Back-up-Lösung für einen TOTP-Authenticator einsetzen lässt. Diesmal geht es darum, wie TOTP selbst funktioniert und welche für Unternehmen relevanten Anbieter und Dienstleister bereits 2FA mit zeitbasierten Einmalpasswörtern unterstützen.

Welche Probleme bei Anmeldungen mit Benutzername und Passwort drohen

Passwörter zur Absicherung von Benutzerkonten begleiten uns bereits seit einigen Jahrzehnten. Aber sie haben inhärente Probleme und stellen nach Ansicht vieler Experten selbst ein Sicherheitsproblem dar. Leichte Passwörter lassen sich zwar gut merken, gelten aber nicht als sicher – mithilfe von Wörterbuchangriffen oder per Brute Force sind sie teilweise binnen Sekunden geknackt. Kompliziert aufgebaute Passwörter kann sich hingegen kaum jemand merken. Außerdem fliegen sie – genug Zeit und Rechenkraft vorausgesetzt – auch irgendwann auf. Aber das ist noch gar nicht das Hauptproblem.

Der klassische Log-in mit Benutzername und Passwort kann in der Regel von überall aus erfolgen. Befinden sich die Zugangsdaten eines Anwenders erst einmal in den Händen eines Angreifers, was zum Beispiel durch Social Engineering relativ schnell passiert, kann sich dieser von nahezu jedem Punkt auf der Welt in einen damit gesicherten Dienst einloggen. Das klappt jedoch nicht, wenn zusätzlich zu Benutzername und Kennwort noch ein Einmalpasswort verlangt wird. Dabei handelt es sich um ein nur für einen kurzen Zeitraum gültiges und auch nur einmal verwendbares zusätzliches Passwort, das im Idealfall von einem zweiten Gerät erzeugt wird. Ist der Angreifer nicht im Besitz dieses TOTP-Generators, dann bringt ihm die erbeutete Kombination aus Kennung und Passwort nichts.

Wie der sichere TOTP-Passwortschutz grundlegend funktioniert

Als weitere Sicherheitsmaßnahme im Umgang mit Passwörtern hat sich die Empfehlung bewährt, das oder die Passwörter regelmäßig zu ändern. Viele Unternehmen schreiben ihren Mitarbeitern auch genau dies vor. Es gibt mittlerweile sogar einen „Ändere-Dein-Passwort-Tag“, der dieses Vorgehen propagiert. Bei der Vielzahl an Passwörtern, die Anwender heutzutage benötigen, ist das aber keine valide Lösung. Niemand kann Dutzende oder gar Hunderte Passwörter regelmäßig ändern und dabei auch noch den Überblick behalten.

Als einfache und bereits millionenfach bewährte Alternative ist TOTP nicht ganz neu. Die technischen Grundlagen dieses Sicherheitsstandards wurden bereits im Mai 2011 von der Internet Engineering Task Force (IETF) in einem RFC (Request for Comment) festgelegt. RFC 6238 beschreibt die Erweiterung des damals bereits eingeführten OTP-Konzepts (One-Time Password) um eine zeitbasierte Komponente. RFC 6238 soll die Sicherheit bei der Nutzung von Einmalpasswörtern noch einmal erhöhen.

Der TOTP-Algorithmus erstellt aus einem geheimen Schlüssel sowie einem Zeitstempel einen Code, der nur in einem bestimmten Zeitfenster gilt. Anschließend verfällt der Code. Typische Zeitfenster dauern in der Praxis 30 Sekunden. Sowohl der Server als auch der Client kennen das genutzte Verfahren und den geheimen Schlüssel, können also unabhängig voneinander den Code errechnen und dann miteinander vergleichen. Stimmt er überein und wurde zusätzlich die richtige Benutzerkennung samt Passwort eingegeben (diese werden in der Regel weiterhin genutzt), dann gelingt der Zugriff. Aber nur dann!

Welche Dienste und Anwendungen die TOTP-Unterstützung bereits anbieten

Die Beschreibung dieses 2FA-Verfahrens zeigt bereits, welche große Bedeutung der Einsatz eines TOTP-Authenticators aus Sicherheitssicht hat. Viele Anbieter und Dienstleister unterstützen die Technik deshalb bereits seit Langem. Im Folgenden finden Sie eine Liste bekannter Firmen und Business-Dienste, die TOTP für ihre Kunden und Nutzer anbieten.

• Apple iCloud: Apple unterstützt eine Zwei-Faktor-Authentifizierung sowohl für MacOS als auch für iOS. Die erforderlichen Schritte beschreibt das Unternehmen hier.
• Amazon Web Services (AWS): Auf Basis von Amazon Cognito hat auch AWS eine Möglichkeit entwickelt, um sich an Anwendungen geschützt per TOTP anzumelden. Weitere Informationen finden Sie auf dieser Seite.
• Bitrix24: Der CRM-Dienstleister (Customer-Relationship-Management) Bitrix24 bietet als zusätzlichen Schutz ebenfalls Zwei-Faktor-Authentifizierungen an. Das Unternehmen hat die nötigen Schritte vorbildlich beschrieben und bebildert.
• Box: Auch Zugriffe auf den Online-Speicher-Dienst Box lassen sich per 2FA sichern. Anwender dürfen zwischen SMS und der Nutzung eines TOTP-Authenticators wählen.
• Dropbox: Zu den häufig zu findenden Online-Speicher-Diensten in Firmen zählt Dropbox. Die Anleitung zur TOTP-Einrichtung ist nicht nur sehr ausführlich, sondern auch in Deutsch verfügbar.
• Evernote: Der Online-Dienst ermöglicht das Speichern von Notizen, Dokumenten und Fotos. Den Zugang zu diesen oft sensiblen Daten schützen Sie per 2FA und TOTP. Die von Evernote bereitgestellte Anleitung fällt ebenfalls sehr ausführlich aus und ist in Deutsch verfügbar. Zudem bietet das Unternehmen ein YouTube-Tutorial an.
• Facebook: Selbst wenn Facebook an Bedeutung verliert, nutzen immer noch viele Unternehmen das soziale Netzwerk, um mit Kunden in Kontakt zu treten. Die dafür benötigten Accounts lassen sich ebenfalls per TOTP schützen.
• Google: Der Cloud-Gigant offeriert eine Vielzahl von Online-Diensten, die weltweit zahllose Firmen nutzen. Mit wenigen Schritten aktivieren Sie 2FA und TOTP für Ihren Google-Account.
• HiDrive (Strato): Der Online-Speicher-Dienst HiDrive von Strato unterstützt ebenfalls mit 2FA und OTP gesicherte Anmeldungen. Erstellte Codes verlieren bei HiDrive allerdings erst nach 60 Minuten ihre Gültigkeit. Die Anleitung zur Einrichtung finden Sie hier.
• IBM Cloud: Accounts in der Cloud-Umgebung von IBM schützen Sie auf Wunsch mit zeitbasierten Einmalpasswörtern. Die Einrichtung hat Big Blue an dieser Stelle ausführlich und in deutscher Sprache beschrieben.
• Microsoft: Ähnlich wie bei Google lässt sich ein Microsoft-Konto für zahlreiche Dienste in Unternehmen nutzen (Azure, Microsoft 365, OneDrive etc.). Die 2FA-Einrichtung stellt der Hersteller hier vor.
• Oracle Cloud: Auch die Oracle Cloud, über die sich viele Dienste des Datenbankriesen nutzen lassen, lässt sich per TOTP sichern. Die Anleitung ist umfangreich und mit vielen Screenshots illustriert.
• Salesforce: Die Anmeldung bei den von Salesforce angebotenen Enterprise-Services unterstützt ebenfalls TOTP. Der Online-Gigant erläutert die dafür benötigten Schritte hier.
• Slack: Manche Unternehmen kommunizieren fast nur noch über Slack. Da trifft es sich gut, dass sich die Nutzerkonten bei dem Messaging-Dienst auch per TOTP sichern lassen.
• VMware: Mit VMware Verify bietet der Virtualisierungsspezialist einen eigenen Dienst an, den Sie zur Einrichtung einer mit TOTP-Codes gesicherten 2FA nutzen können. Die dafür erforderlichen Schritte beschreibt der Hersteller unter anderem auf dieser Seite.
• Zoom: Der Videokonferenzspezialist hat in den vergangenen Jahren ein beispielloses Wachstum erzielt. Da liegt es nahe, dass das Unternehmen ebenso 2FA und TOTP unterstützt.

Diese Auswahl beschreibt bereits die wichtigsten Unternehmen und Online-Dienste. Empfehlenswert für weitere Recherchen ist das internationale 2FA Directory. All diese per TOTP gesicherten Dienste verwalten Sie am Smartphone bequem und sicher über die NCP Authenticator App – das gilt natürlich ebenso für die sichere Zwei-Faktor-Authentifizierung beim VPN-Zugriff auf Ihr Remote-Access-Netzwerk!