i

Passwörter - Theorie und Praxis

TOTP als 2FA

In tatsächlichen Anwendungen verwendet man das im letzten Abschnitt beschrieben TOTP-Verfahren zur sogenannten Zwei-Faktor-Authentifizierung (2FA).

Dazu wird in der Regel der zweite Faktor, also das TOTP, mit einem Mobiltelefon erzeugt. Alternativ kann für den zweiten Faktor ein dediziertes Gerät verwendet werden, welches niemals mit dem Internet verbunden wird.

Bei der Identifizierung gegenüber einem Dienst im Internet (E-Mail-Anbieter, soziale Netzwerke usw.) wird dann zunächst das ganz normale Passwort abgefragt. Erst wenn dieses korrekt eingegeben wurde, wird zusätzlich noch ein TOTP abgefragt, bevor der Zugang freigegeben wird.

Zur erfolgreichen Anmeldung bei dem Dienst muss man also das Passwort kennen und muss zusätzlich noch im Besitz des Mobiltelefons sein. Ein abgefangenes Passwort alleine reicht damit also nicht mehr aus, damit sich ein Angreifer Zugang verschaffen könnte. Selbst mit einem zusätzlich abgefangenen TOTP hätte eine Angreiferin nur ein Zeitfenster von höchstens 30 Sekunden, in der sie Zugang bekommen könnte.

Allerdings sollte man beachten, zum Einloggen bei einem Dienst und zum Erzeugen des zweiten Faktors unterschiedliche Geräte zu verwenden. Ansonsten könnte man sich die vermeintlich zusätzlich gewonnene Sicherheit schnell wieder zunichte machen.

Suche

v
11.11.6.5
dev.inf-schule.de/kryptologie/passwoerter_theorie_und_praxis/zweifaktor_authentifizierung/totp_als_2fa
dev.inf-schule.de/11.11.6.5
dev.inf-schule.de/@/page/aj1JpVWa2tVsI0Gd

Rückmeldung geben