One Time Password (OTP): Der beste Schutz für Ihre Konten

Wenn Sie jemals online waren, sind Sie sicher schon einmal auf ein sogenanntes One Time Password (abgekürzt OTP) oder zu deutsch Einmalpasswort gestoßen.

Doch möglicherweise ist Ihnen nicht so ganz klar, was das genau ist. Wann sollten Sie Einmalpasswörter verwenden? Und was ist der Unterschied zwischen OTP, 2FA, MFA und anderen Begriffen, die sich auf Ähnliches beziehen?

In diesem Artikel erfahren Sie alles, was Sie über Einmalpasswörter wissen müssen, und warum sie zu den besten Möglichkeiten gehören, wie Sie Ihr Online-Leben schützen können. Los geht’s!

In aller Kürze: Was ist ein One Time Password?

Ein Einmal-Passwort generiert einen temporären Code zur Verifizierung Ihrer Identität. Es kann vorkommen, dass Sie während einer Anmeldung oder vor einer wichtigen Transaktion aufgefordert werden, einen solchen Code einzugeben.

Im Gegensatz zu herkömmlichen Passwörtern, die statisch bleiben, ändert sich ein One Time Password bei jeder Verwendung, daher auch der Begriff „Einmal“ im Namen.

Die wesentliche Funktion von One Time Passwords besteht darin, Ihre Konten zu schützen. Denn selbst wenn Ihr Hauptpasswort kompromittiert wird, können Hacker*innen ohne das Einmalpasswort nicht auf Ihr Konto zugreifen. OTPs werden in der Regel per SMS, E-Mail, über eine Authentifizierungs-App oder auf einem speziellen Gerät empfangen.

Verschiedene Arten von Einmalpasswörtern

Wenn Sie sich entscheiden, 2FA für ein Konto zu aktivieren, werden Sie sehen, dass mehrere Methoden zur Verfügung stehen. Dies sind die beliebtesten:

SMS-basiertes One Time Password

Mit dieser Methode erhalten Sie ein Einmalpasswort per SMS direkt auf Ihr mobiles Gerät.

Das ist die gängigste Methode und bietet schnellen Zugriff ohne zusätzliche Apps.

Wir raten Ihnen jedoch von der Nutzung dieser Methode ab. Ein SMS-basiertes One Time Password ist zwar bequem, aber anfällig für Risiken wie SIM-Swapping. Im Abschnitt über die Nachteile von OTPs gehen wir näher darauf ein.

App-basiertes One Time Password

Authentifizierungs-Apps wie Authy erzeugen Einmalpasswörter direkt auf Ihrem Smartphone.

Diese Codes werden alle 30 Sekunden aktualisiert und sind mit Ihrem Gerät verknüpft, wodurch diese Methode viel sicherer ist als die SMS-basierte Variante.

Es gibt eine Vielzahl verschiedener Authentifizierungs-Apps, wobei jede ihre eigenen Vor- und Nachteile hat. Auf dieser Webseite finden Sie eine umfassende Übersicht mit Authentifizierungs-Apps. Die einzige Empfehlung, die wir haben, ist die: Nutzen Sie keine Google-Dienste, einschließlich Google Authenticator 😊.

App-basierte OTPs sind nicht anfällig für SIM-Swapping und funktionieren auch, wenn Ihr Gerät offline ist.

Gerätebasiertes One Time Password

Bei gerätebasierten Einmalpasswörtern, die auch als Hardware-Token bezeichnet werden, wird ein kleines physisches Gerät (ähnlich wie ein USB-Stick) verwendet.

Diese Methode bietet das höchste Maß an Sicherheit, da sie offline funktioniert und immun gegen Phishing-Angriffe ist.

Die Unannehmlichkeit, ein separates Gerät mit sich zu führen, und das Risiko, es zu verlieren, sind jedoch erhebliche Nachteile. Wenn Sie Ihren Hardware-Token verlegen, kann es schwierig sein, den Zugang zu Ihrem Konto wiederzuerlangen.

Wie kann ich ein One Time Password für meine Konten aktivieren?

Auch wenn One-Time-Passwörter technisch klingen mögen, sind sie eigentlich ganz einfach einzurichten. Doch bevor wir durchnehmen, wie Sie ein One Time Password für Ihre Konten aktivieren, möchten wir ein paar Begriffe klären:

• OTP steht für „One Time Password“ und meint einen zusätzlichen Code, den Sie nach Ihrem Hauptpasswort eingeben müssen. Manchmal sehen Sie vielleicht auch Begriffe wie HOTP oder TOTP, die einfach verschiedene Arten von OTPs sind, aber dieselbe Funktion haben.
• 2FA steht für „Zwei-Faktor-Authentifizierung“ und beschreibt den umfassenderen Prozess, bei dem zwei separate Schritte erforderlich sind, um sich mit Ihrem Konto zu verbinden (Ihr Hauptpasswort plus ein OTP).
• MFA steht für „Multi-Faktor-Authentifizierung“. Dies schließt 2FA ein, erstreckt sich aber auch auf Methoden der Authentifizierung, die mehr als zwei Schritte erfordern.

Um OTPs zu aktivieren, müssen Sie in den Sicherheitseinstellungen der einzelnen Konten die Zwei-Faktor-Authentifizierung (2FA) auswählen. Beachten Sie jedoch, dass zwar die meisten Dienste 2FA anbieten, aber nicht alle. 2FA ist ein entscheidender Aspekt bei der Absicherung Ihrer Konten, daher sollten Sie Dienste meiden, die dies nicht anbieten.

Facebook

Dies sind die Schritte, denen Sie folgen können, um 2FA für Ihr Facebook-Konto zu aktivieren:

1. Melden Sie sich in Ihrem Facebook-Konto an.
2. Klicken Sie auf Ihr Profilfoto und dann auf Einstellungen & Privatsphäre > Einstellungen.
3. Wählen Sie die Option Kontenübersicht und dort unter Kontoeinstellungen die Option Passwort und Sicherheit.
4. Wählen Sie Zweistufige Authentifizierung, wählen Sie gegebenenfalls Ihr Konto, falls Sie mehrere Meta-Konten besitzen, und geben Sie Ihr Passwort ein, falls Sie danach gefragt werden.
5. Sie erhalten einen Code an Ihre hinterlegte E-Mail-Adresse.
6. Folgen Sie den Anweisungen auf dem Bildschirm, um die Einrichtung abzuschließen.

Wenn Sie Facebook in der mobilen App nutzen, können Sie die OTP-Methode wählen (z. B. SMS oder App-basiert).

Nach der Aktivierung können Sie „Diesem Gerät vertrauen“ wählen. Das bedeutet, dass Sie Ihr OTP nicht jedes Mal neu eingeben müssen, wenn Sie sich auf diesem Gerät anmelden. Wir empfehlen dies jedoch nicht, da es die zusätzliche Sicherheit, die 2FA bietet, zunichte macht.

X (ehemals Twitter)

Gehen Sie für X so vor:

1. Öffnen Sie die App und gehen Sie zu Mehr > Einstellungen und Datenschutz.
2. Tippen Sie auf Sicherheit und Kontozugriff > Sicherheit.
3. Wählen Sie Zwei-Faktor-Authentifizierung.
4. Wählen Sie zwischen SMS, einer Authentifizierungs-App oder einem Sicherheitsschlüssel.
5. Folgen Sie den Anweisungen, um das OTP für Ihr Konto zu aktivieren.

Reddit

Und so funktioniert’s bei Reddit:

1. Melden Sie sich in Ihrem Reddit-Konto an.
2. Navigieren Sie zu Benutzereinstellungen.
3. Klicken Sie auf Datenschutz & Sicherheit.
4. Klicken Sie unter Zwei-Faktor-Authentifizierung auf Aktivieren.
5. Wählen Sie Ihre bevorzugte Methode für den Empfang von OTPs.
6. Schließen Sie die Einrichtung ab, indem Sie den Anweisungen folgen.

LinkedIn

So geht’s:

1. Gehen Sie auf Ihre LinkedIn-Startseite und klicken Sie oben auf Sie.
2. Wählen Sie im Dropdown-Menü die Option Einstellungen & Datenschutz.
3. Klicken Sie links im Menü auf Einloggen und Sicherheit.
4. Finden Sie die Option Zweistufige Authentifizierung, klicken Sie auf den Pfeil und dann auf den Einrichten-Button.
5. Sie erhalten jetzt einen Code an Ihre E-Mail-Adresse. Geben Sie diesen auf der noch geöffneten LinkedIn-Seite ein.

Google-Konten (Gmail, YouTube etc.)

1. Melden Sie sich in Ihrem Google-Konto an und gehen Sie zu Sicherheit.
2. Wählen Sie unter Anmeldung bei Google die Option 2-Schritt-Verifizierung.
3. Klicken Sie auf Starten und folgen Sie den Anweisungen.
4. Wählen Sie, wie Sie OTPs erhalten möchten (z. B. Google Authenticator oder SMS).
5. Schließen Sie die Einrichtung ab.

Mailfence

Als einer der privatesten und sichersten E-Mail-Anbieter bietet Mailfence auch 2FA:

1. Melden Sie sich in Ihrem Mailfence-Konto an.
2. Klicken Sie oben rechts auf Ihr Profil-Icon oder Ihren Namen und wählen Sie im Dropdown-Menü Einstellungen.
3. Gehen Sie unter Benutzerkonto auf Sicherheit.
4. Finden Sie den Abschnitt Zwei-Faktor-Authentifizierung und klicken Sie auf den Button „Richten Sie die Zwei-Faktor-Authentifizierung ein“.
5. Wählen Sie eine App Ihrer Wahl für die Generierung von OTPs.
6. Folgen Sie den Schritten, um die Einrichtung abzuschließen.

Soll ich OTP für all meine Konten aktivieren?

Wenn Sie diesen Leitfaden bis hierher gelesen haben, möchten Sie wahrscheinlich Ihre Online-Sicherheit verbessern.

In diesem Fall ist die Einrichtung von One-Time-Passwörtern für all Ihre Konten eine solide Strategie zur Verbesserung Ihrer Cybersicherheit.

Auch wenn der Aktivierungsprozess repetitiv erscheinen mag, überwiegen die Sicherheitsvorteile bei weitem diese kleinen Unannehmlichkeiten. Ob für Social Media oder Banking-Dienste – OTPs verringern das Risiko eines unbefugten Zugriffs erheblich.

Es mag Ihnen vielleicht entmutigend erscheinen, 2FA für all Ihre Konten auf einmal zu aktivieren. Deshalb empfehlen wir Ihnen, Schritt für Schritt vorzugehen.

E-Mail sollte das erste Konto sein, für das Sie ein One Time Password aktivieren. Denn Angreifende, die Zugang zu Ihrem E-Mail-Konto haben, könnten die Passwörter anderer Konten zurücksetzen und so eine Kettenreaktion von Sicherheitsverletzungen auslösen.

Sobald dies geschehen ist, nehmen Sie sich Konten vor, in denen Sie sensible Informationen speichern. Dazu gehören Konten, die Sie täglich nutzen: Finanzdaten, Cloud-Speicher und soziale Medien.

Selbst wenn ein Konto keine kritischen Informationen enthält, kann es schwerwiegende Folgen haben, wenn Sie die Kontrolle über dieses Konto verlieren. Datenschutzverletzungen haben gezeigt, dass Angreifende oft schwächere Plattformen ins Visier nehmen, um sich Zugang zu wertvolleren Plattformen zu verschaffen. OTPs sind ein entscheidender Schritt, um die Grenzen Ihrer Online-Identität zu sichern.

Ist ein One Time Password wirklich sicher?

OTPs sind zwar eine wirksame Sicherheitsmaßnahme, aber Sie müssen wissen, dass keine Methode völlig narrensicher ist. OTPs stärken Ihre Verteidigung gegen einfachen Passwortdiebstahl erheblich, sind aber keine Wunderwaffe.

SMS-basierte OTPs sind besonders anfällig für Sicherheitsbedrohungen wie einen SIM-Karten-Swap. In einem solchen Fall kapern Angreifende Ihre Telefonnummer, um an das OTP zu gelangen.

Aus diesem Grund raten wir von der Nutzung dieser Methode ab. Stattdessen empfehlen wir eine sicherere Variante wie eine entsprechende App oder ein spezielles Gerät.

App-basierte OTPs sind viel sicherer, da die Codes lokal auf Ihrem Gerät generiert und nicht über das Netzwerk übertragen werden. Dennoch ist es wichtig, Ihr Smartphone oder Gerät mit einer starken PIN oder mit biometrischen Sicherheitsmerkmalen zu schützen, da auch ein nicht gesperrtes Gerät kompromittiert werden kann.

Trotz dieser potenziellen Risiken sind OTPs nach wie vor eine der besten Optionen zur Erhöhung der Sicherheit. In Kombination mit starken, eindeutigen Passwörtern und der Vorsicht vor Phishing-Angriffen bilden sie eine starke Verteidigung gegen die meisten Cyberangriffe.

Was sind die Nachteile der Verwendung eines OTPs?

OTPs sind zwar eine effektive Methode zum Schutz Ihrer Konten, haben aber auch einige Nachteile. Dies sind einige mögliche Probleme, die Sie beachten sollten.

Bequemlichkeit

Mit OTPs bekommen Sie einen zusätzlichen Schritt bei Ihrem Anmeldevorgang. Die Eingabe eines Codes dauert zwar nur ein paar Sekunden, aber für Nutzende, die sich häufig anmelden oder mehrere Konten verwalten, kann dies eine gefühlte Belastung sein. Für manche mag die Bequemlichkeit eines reinen Passwortzugangs besser sein, auch wenn die Sicherheit dadurch stark eingeschränkt ist.

Geräteabhängigkeit

Wenn Sie sich auf App- oder SMS-basierte OTPs verlassen, kann der Verlust Ihres Smartphones erhebliche Probleme verursachen. Wenn Ihr Telefon gestohlen wird, kaputt geht oder einfach nur verlegt wird, kann es sein, dass Sie von mehreren Konten ausgesperrt werden. Die meisten Plattformen bieten zwar Backup-Codes oder Wiederherstellungsoptionen an, aber die Wiederherstellung des Zugangs kann zeitaufwändig und frustrierend sein.

Schwachstellen

Wie bereits erwähnt sind OTPs nicht immun gegen Bedrohungen. SMS-basierte OTPs können durch SIM-Swapping abgefangen werden. Selbst App-basierte OTPs, die zwar viel sicherer sind, können kompromittiert werden, wenn Ihr Smartphone mit Malware infiziert wird. Es könnte auch eine Sicherheitslücke bestehen, wenn Sie die App aktualisieren.

Backup und Wiederherstellung

Ein übersehener Aspekt von OTPs ist die Notwendigkeit von Backup- und Wiederherstellungsplänen.

Wenn Sie die Wiederherstellungscodes nicht an einem sicheren Ort aufbewahren, könnten Sie dauerhaft aus Ihren Konten ausgesperrt werden, wenn Sie den Zugang zu Ihrer OTP-Methode verlieren. Einige Dienste bieten alternative Methoden an, um den Zugang wiederherzustellen, aber dieser Prozess erfordert oft einen Identitätsnachweis und kann einige Zeit in Anspruch nehmen.

System-Kompatibilität

Nicht alle Dienste bieten OTP oder Multi-Faktor-Authentifizierung an, wodurch einige Konten weniger geschützt sein könnten. Zudem unterstützen einige Plattformen nur bestimmte OTP-Methoden, sodass Sie möglicherweise mehrere OTP-Einstellungen verwalten müssen.

Abschließende Worte zum Thema One Time Password

Damit sind wir am Ende unseres Artikels angelangt. Ich hoffe, Sie verstehen jetzt besser, was ein One Time Password ist und wie 2FA im Allgemeinen funktioniert.

Wenn Sie sich Ihrer Online-Privatsphäre und Sicherheit bewusst sind, sollten Sie noch heute Ihr kostenloses Mailfence-Konto einrichten, das Folgendes beinhaltet:

• Ende-zu-Ende-verschlüsselte E-Mails
• einen sicheren Online-Speicher
• einen sicheren Kalender
• ein Tool zur Verwaltung von Kontakten
• … und vieles mehr!

Haben Sie Fragen? Schauen Sie in unserer Wissensdatenbank nach (in englischer Sprache), oder schreiben Sie uns an support@mailfence.com.