Zwei-Faktor-Authentifizierung vs. One-Time-Password (OTP) – Unterschied und Zusammenhang

Immer wieder werden die Begriffe Zwei-Faktor-Authentifizierung und One-Time-Password synonym verwendet, sogar von Branchengrößen. Dabei ist das eigentlich falsch. Es gibt durchaus Unterschiede aber auch Abhängigkeiten zwischen den beiden Begriffen.

Eine Zwei-Faktor-Authentifizierung, fordert, wie der Name schon sagt, einen zweiten Faktor neben dem klassischen, primären Passwortschlüssel. Streng genommen, würde es sich sogar bei einem Login mit Benutzername und zwei verschiedenen Passwörtern um eine Zweifaktorauthentifizierung handeln; auch wenn das keinen Mehrwert für die Sicherheit darstellen würde.

In der Regel werden als zweiter Faktor sogenannte Einmalpasswörter, auch One-Time-Passwords genannt, benutzt. 

Diese werden entweder einer Liste entnommen oder von einem Generator generiert. Auf alle Fälle muss bei diesen OTPs gewährleistet werden, dass Server und Client (System und Benutzer) immer synchron wissen, welches OTP gerade gültig ist.

Zurück zum Thema: Zweifaktor-Authentifizierung nutzt oft One-Time-Passwords als zweiten Faktor, doch OTPs können auch jenseits der Zwei-Faktor-Authentifizierung als autarker Sicherheitsmechanismus verwendet werden.

Der Zahlungsdienstleister „Klarna“ zum Beispiel verzichtet vollständig auf die Abfrage des klassischen Passworts. Stattdessen wird bei jedem Login eines bekannten Benutzers die Zustellung eines Einmalpassworts an den Benutzer per SMS ausgelöst.

Dieses Vorgehen ist sogar ziemlich schlau, denn es minimiert die Risiken, die durch die Speicherung eines Passworts beim Webdienstleister entstehen. Im Falle eines Sicherheitsvorfalls könnten Angreifer keine sensiblen Logindaten erbeuten.

Ein zusätzliches Sicherheitsrisiko entsteht durch das ausschließliche OTP-Login nicht. Ganz im Gegenteil durch den Wegfall der Passwort-Zurücksetzen-Funktionen“ wird ein potentieller Angriffsvektor geschlossen, da diese Funktion schlicht obsolet wird.