Diskussion:Einmalkennwort

Eine mögliche Redundanz der Artikel Einmalpasswort, One-Time-Password-System und One-Time-Pad wurde von Juli 2006 bis März 2007 diskutiert (zugehörige Redundanzdiskussion). Bitte beachte dies vor der Anlage einer neuen Redundanzdiskussion.

Kann bitte jemand für mich klären ob es mit einem zeitgesteuerten Token möglich ist zu einem ganz bestimmten Zeitpunkt T mit Tokenintervall V zwei Authentifizierungen bzw. Autorisierungen durchzuführen?

• Wenn ja => Problem der Sicherheit, da es sich dann nicht mehr um ein Einmalpasswort handelt.
• Wenn nein => Problem der raschen Reaktion, da ich dann innerhalb eines Intervalls zum Zeitpunkt T nur eine Handlung setzen kann.

Ich bitte um rasch Klärung!

Schluderbacher 22:08, 10. Feb. 2007 (CET)Beantworten

Also meines Wissens ist das in der Tat so, dass bei zeitgesteurten Token (z.B. RSA SecureID) in der Tat das Passwort nur einmal gültig ist und man schlimmstenfalls eben eine Minute warten muss, wenn man sich zweimal hintereinander authentifizieren muss. Für meine Anwendungsszenarien passt deshalb auch ein ereignisgesteuerter Mechanismus besser, aber ob das wirklich ein Vorteil ist, ist sicherlich vom Einsatzszenario abhängig. --St.N.W.S. 15:26, 4. Mai 2008 (CEST)

Nach meiner persönlichen Erfahrung mit RSA SecureID ist es durchaus möglich, den Token innerhalb des Tokenintervalls mehrfach zu verwenden.--85.179.247.109 12:14, 5. Jun. 2009 (CEST)Beantworten

In der Einleitung stehe: "Auch hat es keinen Einfluss auf die Sicherheit einer Verschlüsselungsmethode." Das halte ich für fragwürdig. Wenn ich z.B. an ein VPN denke, in dem zur Verschlüsselung MS-CHAP verwendet wird, dann wird der Schlüssel für die Verschlüsselung aus dem zur Authentifizierung benutzten Passwort berechnet. Da die meisten Einmalkennwörter reine Zahlenfolgen mit 6-8 Ziffern sind, bedeutet das, dass die Verschlüsselung "leicht" mit einer Brute-Force-Attacke zu knacken ist, da man nur 10^6 bis 10^8 Möglichkeiten durchprobieren muss. Insofern kann mit einem naiven Einsatz von Einmalkennwörtern eine deutliche Verschlechterung der Sicherheit der nachfolgenden Verschlüsselung verbunden sein. --St.N.W.S. 15:34, 4. Mai 2008 (CEST)

Falsch, Bruteforce bezieht sich auf ein feststehendes Passwort. Da hast Du abhängig von der Passwortkomplexotät eine bestimmte Anzahl von Versuchen, bis Du es findest. Bei OTP hast Du immer nur EINEN Versuch, das Passwort aus dieser Menge an Möglichkeiten zu erraten. Beim nächsten Versuch ist vielleicht sogar das Passwort, das gerade falsch war, das richtige.--2A02:8109:928F:D400:BCA6:5B66:CE50:BD5C 09:52, 28. Jan. 2024 (CET)Beantworten

Heisst das jetzt einfach gesagt, dass irgendwo Server stehen die Rund um die Uhr nichts anderes machen als Einmalkennwörter zu berechnen, damit ich mich zu Rund um die Uhr über den Token einloggen kann? --Stryke89 12:26, 21. Feb. 2012 (CET)Beantworten

Nein. Das Einmalkennwort wird erst beim versuch des Anmeldens wieder vom Server erzeugt, da die aktuelle Uhrzeit immer abgerufen werden kann. 91.5.18.215 02:28, 26. Jul. 2016 (CEST)Beantworten

Der Dienst in dem Link <<KYPS – Nichtkommerzieller Dienst für Einmalkennwörter für Google Mail, Yahoo Mail, und andere Websites>> ist abgeschaltet. Kann also theoretisch gelöscht werden. (nicht signierter Beitrag von 93.213.84.4 (Diskussion) 17:42, 1. Jun. 2013 (CEST))Beantworten

– GiftBot (Diskussion) 04:12, 1. Dez. 2015 (CET)Beantworten

Kann man die gebräuchlichen Abkürzungen mit einpflegen, um weitere Recherchen zu erleichtern?

• TOTP
• HOTP
• OCRA

--2A02:8109:928F:D400:BCA6:5B66:CE50:BD5C 09:56, 28. Jan. 2024 (CET)Beantworten

TOTP wird im Abschnitt Einmalkennwort#Zwei-Faktor-Authentisierung erwähnt. Gruß --Rmcharb (Disk.)