Zeitbasierte OTP

Zu den populärsten Methoden heute zählen die zeitbasierten OTP: Der sechsstellige Zahlencode läuft nach etwa 30 Sekunden ab, um sogleich einem neuen Platz zu machen – ganz egal, ob der Vorgänger in der Zwischenzeit zum Einsatz kam.

Token. Für die Erzeugung diese Codes wird ein «Token» verwendet: Dieses nicht zu übersetzende Wort beschreibt Geräte oder Programme, die Sicherheitselemente anfertigen können. Bei privaten Anwendern handelt es sich dabei meistens um das Smartphone, das meistens nur eine Armlänge entfernt herumliegt. Das Smartphone wird also zum Token.

Zeitkritisch. Der Server des Anbieters generiert diese Codes ebenfalls und wird Sie nur einlassen, wenn der Code übereinstimmt. Dazu ist es wichtig, dass die Uhrzeit des Servers mit jener des Tokens übereinstimmt, wobei unterschiedliche Zeitzonen kein Problem sind. Da ein Smartphone die Uhrzeit automatisch und präzise nachjustiert, können Sie diesen Aspekt getrost ignorieren.

OTPs bieten einige angenehme Eigenschaften.

Komfort. Zum einen ist der Code sehr komfortabel abzulesen und einzugeben – denn eine aktivierte 2FA sollte so wenig Arbeit machen, wie nur möglich.

Keine Telefonnummer. Ausserdem müssen Sie für die 2FA Ihre heilige Mobilnummer nicht preisgeben, wie es zum Beispiel bei einer SMS der Fall wäre. Mehr noch: Sie brauchen überhaupt keine Mobilnummer, sondern generieren diese Codes bei Bedarf auch am Tablet. Die Mobilnummer ist kein Bestandteil dieses Systems. Sie wird jedoch bei einigen Apps für die Registrierung verlangt, wie wir noch sehen werden.

Synchronisierung. Wenn die verwendete App dazu in der Lage ist, lassen sich die Token zwischen mehreren Geräten synchronisieren. Das kann neben dem Smartphone auch das eigene Tablet oder das Smartphone des Partners sein.

Voraussetzungen. Die erste Voraussetzung besteht natürlich darin, dass der Dienst diese Form der 2FA überhaupt anbietet. Nicht alle machen dabei mit; so verwendet Apple ein eigenes System. Andere Dienste wie Google bieten gleich mehrere Formen der 2FA, darunter auch OTP. Und wieder andere, meist kleinere Dienste bieten überhaupt keine 2FA: Ob es sinnvoll ist, das Konto unter «bettybossi.ch» mit einer 2FA abzusichern, ist Ansichtssache – angeboten wird es jedenfalls nicht.

Tatsächlich ist vor allem die Absicherung der grossen Dienste wichtig, die oft auch persönliche und finanzielle Details speichern, etwa Kreditkarten oder persönliche Daten. Auch Cloud-Dienste müssen unbedingt abgesichert werden.

Sie könnten jetzt bei jedem Dienst nachsehen, ob und welche 2FA er anbietet – oder Sie sehen zuerst auf der Website https://twofactorauth.org nach:

Tippen Sie den Namen des Dienstes ein. Anschliessend sehen Sie, ob und welche Form der 2FA angeboten wird. Das Häkchen der Begierde steckt in der Spalte «Software Token» ganz rechts: