OTP-Methoden – eine Auseinandersetzung

Password Stuffing oder Spraying sind Angriffe, denen jedes System direkt ausgesetzt ist, sobald man eine Log-in-Möglichkeit anbietet. Es gibt viele Möglichkeiten, diese Angriffe zu verlangsamen, zum Beispiel durch Einschalten von Captures, Blockieren von IP-Adressen, von denen die entsprechende Anfragen kommen, oder durch das temporäre Sperren von angegriffenen Accounts.

Dennoch kann man dieser Situation mit solchen Mitteln nicht Herr werden, denn man kann sich diesen Angriffen nicht entziehen und die Methoden der Hacker werden immer ausgefeilter, indem etwa die Anzahl der Quellsysteme dynamisch skaliert wird. Wenn man keine besseren Maßnahmen trifft, ist eine erfolgreiche Account-Übernahme nur eine Frage der Zeit.

Eine dieser Maßnahmen ist die Nutzung von One-Time-Passwords (OTPs). Das Sinnbild dafür, das vermutlich allen im Kopf erscheint, ist eine App mit vielen Zahlenreihen, die sich ändern, die man erst nutzen kann, nachdem man einen speziellen QR-Code eingescannt hat. Hierbei handelt es sich bei dem sogenannten TOTP, dem Time-based-OTP.

  • Was ist ein OTP genau?
  • Was beinhaltet so ein QR-Code?
  • Welche Arten gibt es?
  • Was sind die Unterschiede?
  • Wie funktionieren diese?
  • Worauf sollte man bei der Einführung achten?
Diese und viele weitere Fragen werden in diesem Vortrag geklärt.

Lernziele

Teilnehmer:innen sollten nach dem Vortrag nicht nur wissen, wie OTPs funktionieren, worauf es bei dem Einsatz der entsprechenden Methoden (TOTP, HOTP, OCRA) ankommt und welche Herausforderungen OTPs mit sich bringen. Sie sollte auch verstehen, warum heute haupsächlich eine bestimmte Methode zum Einsatz kommt und was es mit den QR-Codes und OTP-URLs auf sich hat.

Speaker

 

Dimitrij Drus
Dimitrij Drus ist Senior Consultant bei INNOQ und beschäftigt sich seit vielen Jahren mit Architektur und Entwicklung von verteilten und eingebetteten Systemen mit den Schwerpunkten Sicherheit und Verfügbarkeit.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden