Was ist ein Einmal-Passwort?
Ein Einmal-Passwort (OTP, One-Time-Password) ist ein Kennwort, das nur für eine einzelne Login-Sitzung oder Transaktion gültig ist. Einmal-Passwörter werden verwendet, um die Risiken von herkömmlichen Authentisierungsmethoden mit statischen Kennwörtern zu minimieren. Deshalb variiert man Passwörter bei jedem Vorgang und fügt als zusätzliche Sicherheitsstufe für OTP-Implementierungen auch Zwei-Faktor-Authentifizierungsverfahren (2FA) hinzu, um die Identität einer Person mithilfe einer weiteren vertrauenswürdigen Quelle zu überprüfen.
Was sind die Vorteile von Einmal-Passwörtern oder Secrets?
Wenn es um den Schutz sensibler Informationen geht, wenden Cybersicherheitsexperten unterschiedliche Taktiken an. Die Implementierung von Einmal-Passwörtern ist dabei eine effektive Praxis, um Informationen teilen zu können.
Der wichtigste Vorteil ist, dass sie nicht anfällig für Replay-Angriffe sind, bei denen Bedrohungsakteure mit zuvor aufgezeichneten Daten eine fremde Identität vortäuschen. Einmal verwendete Passwörter sind als Kennwort für eine zukünftige Sitzung oder einen späteren Anmeldeversuch schlicht nicht mehr einsetzbar. Zeitbasierte OTP-Token bleiben nur für eine kurze Zeitspanne (normalerweise weniger als eine Minute) gültig.
Außerdem besteht jedes Einmal-Passwort aus zufällig generierten Zeichenfolgen, sodass musterbasierte Passwort- oder Wörterbuchangriffe ins Leere laufen. Für den Einsatz bei besonders schützenswerten, privilegierten Aktivitäten innerhalb einer Organisation sind sie daher ideal.
Wie werden Einmal-Passwörter eingesetzt? Das Beispiel Password Safe
BeyondTrust Password Safe ist eine Lösung zur Verwaltung von privilegierten Anmeldeinformationen, die Passwörter automatisch integriert, verwaltet, rotiert und deren Verwendung im Unternehmensumfeld absichert. Für Benutzerkonten lassen sich individuelle und besonders komplexe Passwörter generieren, die nur von Computern gelesen werden können (dafür ist eine der Komplexität und Passwortlänge entsprechende Rechenleistung erforderlich). Darüber hinaus beschränkt die BeyondTrust-Lösung den Einsatz eines Passworts auf eine einzelne Instanz. Sobald eine Sitzung abgeschlossen ist, wird das Kennwort für die nächste Sitzungsanfrage automatisch erneuert und auf Anfrage zugeteilt.
Mit Password Safe können OTP-Token zur Absicherung jeder privilegierten Account-Sitzung und auch in Verbindung mit Zwei-Faktor-Authentifizierung (2FA) eingesetzt werden, um ein hohes Maß an Vertrauen in die Identität des Benutzers zu gewährleisten. Per Mausklick auf den Menü-Punkt „Change password after any release“ wird diese Funktionalität schnell bereitgestellt. Durch Kombination von Einmal-Passwörtern und Password Safe kann jeder Kunde seine Sicherheitslage verbessern, indem für jede Sitzung und jede Einzelverbindung ein individuelles Passwort bereitgestellt wird. Mit diesem einfachen und sehr effektiven Sicherheitsmodell hindern Sie Bedrohungsakteure daran, Konten in Ihrer IT-Umgebung mithilfe von Angriffen zu kompromittieren, die statische (oder veraltete) Kennwörter nutzen.
OTPs und PAM: Das müssen Sie wissen
Der klassische Ansatz sieht vor, dass Konten ein Passwort nur für eine Sitzung einsetzen. Damit sind zwar die meisten Sicherheitsanforderungen abgedeckt, aber ein PAM-Tool (Privileged Access Management) hebt die Sicherheit bei Zugriffen auf besonders schützenswerte Konten auf ein noch höheres Sicherheitsniveau. Für solche Einsatzszenarien können OTP-Token speziell für die Zugriffsanforderung eines einzelnen Benutzers auf Basis verschiedener Sicherheitsvoraussetzungen generiert werden. Diese zusätzlichen Sicherheitskontrollen ermöglichen einen granularen Zugriff, der nach Bedarf und Freigabe gesteuert wird.

Einmal-Passwörter im Vergleich zu statischen Passwörtern
Oft arbeiten wir mit Kunden zusammen, die noch nicht auf vollständig dynamische Zugriffsprozesse vorbereitet sind. Kern solcher Workflows ist immer eine zentrale, auditierte und zugriffsgesteuerte Lösung, die kritische Anmeldedaten schützt. Durch die Speicherung von statischen privilegierten Anmeldeinformationen, die mit modernen Verschlüsselungs- und Freigabeverfahren geschützt werden, lässt sich so die Sicherheitsposition eines Unternehmens verbessern, um wichtige Compliance-Vorgaben einzuhalten. Statische Speichermodelle ermöglichen auch einen nahtlosen phasenweisen Ansatz für das vollständige Management privilegierter Zugriffe.
Einmal-Passwörter im Vergleich zu dynamischen Secrets
Moderne Kontenprozesse unter Einbindung dynamischer Secrets fungieren wie Einmal-Passwörter. Im Kern basieren sie auf den gleichen Sicherheitsprinzipien wie Least Privilege und Zero Standing Privileges (ZSP), auch wenn die Umsetzung etwas komplexer sein kann und die richtigen Werkzeuge auf Unternehmensseite erfordert. Dabei muss nicht nur ein Passwort neu generiert, sondern ein vollständiges Konto mit den zugewiesenen Berechtigungen berücksichtigt werden.
OTP-Implementierung — Best-Practice-Empfehlungen für Einsatzszenarien
Es gibt zahlreiche Anwendungsfälle und Methoden, bei denen Einmal-Passwörter als Sicherheitsmethode zum Schutz sensibler Daten zum Einsatz kommen. Wichtig ist, dass dabei die erwünschten Kriterien für einen einfachen Zugriff und die Sicherheit erreicht werden. Mit dem richtigen PAM-Tool balancieren Sie diese Anforderungen aus.
Für weitere Informationen über BeyondTrust und Unterstützung beim IT-Management privilegierter Konten, kontaktieren Sie uns für eine Produktdemo.

Jason Jones, Senior Product Manager
Jason has been building business applications and software products going on 15 years. With a background in Development, QA, Product Management, and wearing as many hats as possible at a medical startup, he has extensive experience with the entire product lifecycle. Jason has been working on BeyondTrust products for the past 7 years and has a primary focus on our Privileged Password and Session Management solutions.