Der Begriff „One-Time-Passcodes (OTP)“ bezeichnet einmalig gültige Codes, die zur Authentifizierung oder Transaktionsfreigabe verwendet werden. Ein OTP kann per App (z. B. TOTP/HOTP), SMS, E-Mail, Push-Benachrichtigung oder Sprachanruf bereitgestellt und verfällt nach kurzer Zeit oder nach einmaliger Nutzung. Ziel ist es, das Risiko durch abgefangene oder wiederverwendete Passwörter zu reduzieren und zusätzliche Sicherheitsschichten (MFA/2FA) bereitzustellen.
Verfahren & Algorithmen: Unterstützung von TOTP (Zeit-basiert, RFC 6238) und HOTP (Zähler-basiert, RFC 4226) sowie einmalige Codes per E-Mail/SMS/Voice.
Bereitstellung & Enrollment: Benutzer-Onboarding mit QR-Code/Seed-Provisionierung, Wiederherstellungscodes, Gerätebindung und optionalem Gerätevertrauen.
Kanäle & Zustellung: Multi-Channel-Versand (App, SMS, E-Mail, Push, Voice), Fallback-Logik, Wiederholversand (Resend) und Zustellbarkeitsprüfung.
Sicherheitsrichtlinien: Konfiguration von Code-Länge, Gültigkeitsfenster, Drift-Toleranz, maximalen Fehlversuchen, Rate-Limiting/Throttling, Sperrung und Wiederherstellung.
Schutzmaßnahmen: Replay-Schutz, Anti-Brute-Force, IP-/Geräte-Reputation, Risiko-/Kontextbewertung mit Step-Up-Authentifizierung.
Schlüsselverwaltung: Sichere Speicherung von Secrets (z. B. HSM/KMS), Rotation, Widerruf, Audit-Trails und Versionsverwaltung.
Developer-Schnittstellen: REST-/GraphQL-APIs, SDKs für Mobile/Web, Webhooks für Ereignisse (z. B. „OTP verifiziert“), Mandantenfähigkeit und Mandanten-Policies.
Nutzererlebnis & Barrierefreiheit: Auto-Fill/Auto-Read (wo zulässig), Maskierung, lokalisierte Texte/Vorlagen, Offline-Codes (App-basiert) und klare Fehler-/Hilfetexte.
Compliance & Protokollierung: DSGVO-konforme Verarbeitung, Nachvollziehbarkeit (Logging), Reporting und Monitoring (Erfolgsquote, Zustellzeiten, Fehlversuche).
Administrationsfunktionen: Richtlinien pro Anwendung/Gruppe, Ausnahmen (Break-Glass), Recovery-Flow, Benutzer-Self-Service (z. B. Kanalwechsel, Token-Reset).
Ein Mitarbeiter meldet sich in einem SaaS-Dashboard an und bestätigt den Login mit einem 6-stelligen TOTP aus einer Authenticator-App.
Ein Kunde erhält für die Passwort-Zurücksetzung einen Code per E-Mail, der 10 Minuten gültig ist.
Für eine Banküberweisung wird eine Transaktion per SMS-OTP oder App-Push bestätigt (Step-Up-Authentifizierung).
Ein Admin genehmigt eine risikoreiche Aktion (API-Schlüssel erzeugen) per einmaligem Code, ausgelöst über Push-Benachrichtigung.
Ein neuer Geräte-Login wird über Voice-Call-OTP verifiziert, weil der Nutzer keinen App-Zugriff hat.
Bei der Benutzeranlage im HR-System wird die E-Mail-Adresse via einmaligem Bestätigungscode verifiziert.
Hinweis: SMS-/E-Mail-OTPs erhöhen die Sicherheit, sind jedoch anfälliger für Phishing und SIM-Swap als App-basierte TOTP-Verfahren. Eine risikobasierte Kombination und klare Richtlinien sind empfehlenswert.
Aktuelle Marktübersicht - Software zum Thema "Cyber Security" oder "Internet Security", informieren Sie sich über verfügbare Softwarelösungen und Anbieter, vergleichen Sie Funktionen und greifen Sie auf detaillierte Programmbeschreibungen zu.