Mit HOTP und TOTP sind zwei Algorithmen standardisiert, die offen sind und nach heutigem Dafürhaltenvom Algorithmus her als sicher angesehen werden können.
Viele Hersteller klassischer Hardware-Token und aber auch Smartphone-Apps bedienen sich dieser Algorithmen, um Einmalpasswörter zu erzeugen. Immer wieder taucht in unseren Projekten die Frage auf, ob denn HOTP- oder TOTP-Token eingesetzt werden sollen.
Das kommt drauf an.
HOTP und TOTP sind, wie eingangs erwähnt, nach heutigem Kenntnisstand per se als sicher anzusehen. D.h. aus einem oder mehrerer gewonnenen OTP-Werte könnten keine zukünftigen OTP-Werte berechnet werden. Ebenso kann im Falle von HOTP aus der Kenntnis des Zählers kein zukünftiger OTP-Wert berechnet werden. In beiden Fällen geht der symmetrische, geheime Schlüssel in einen HMAC-SHA1 Algorithmus ein. Zusätzlich wird das Ergebnis auf 6 oder 8 stellen gekürzt, so dass die Angriffsmöglichkeiten weiter schwinden.
In der praktischen Handhabung unterscheiden sich HOTP und TOTP aber sehr. Wenn man sich dies vor Augen hält, kann es bei der Entscheidungsfindung entsprechend helfen.
Ich starte nicht mit HOTP, damit ich mit TOTP aufhören kann. Es ist lediglich eine historische Herangehensweise. HOTP ist der ältere Algorithmus. (HOTP: RFC4226, Dezember 2005, TOTP: RFC6238, Mai 2011).
HOTP
Nachteile
- Die TAN-Liste. HOTP ist ereignisbasiert. Ein Tastendruck zählt einen Zähler hoch. Der so erzeugte OTP-Wert wird erst ungültig, wenn entweder dieser OTP-Wert oder ein nachfolgender OTP-Wert benutzt wird. Wenn der Benutzer sich einen OTP-Wert drückt, hat er alle Zeit der Welt, diesen einzutippen. Das bedeutet aber auch, dass er sich diesen OTP-Wert aufschreiben kann. Und den nächsten. Und noch einen. Somit ist der Benutzer in der Lage, sich eine TAN-Liste zu erzeugen. Diese kann er mit seinen Arbeitkollegen teilen, in die Schreibtischschublade legen oder ins Portemonnaie stecken.
Vorteile
- HOTP ist ereignisbasiert. Das macht ihn robust und stromsparend. Naja, das mit dem Strom lassen wir mal gerade bei Seite. Aber es existiert nicht das Problem, dass die Uhr des Tokens aus der Synchronisation mit dem Server läuft. Weil er keine Uhr hat. Der Mechanismus, einen out-of-sync HOTP-Token wieder zu synchronisieren ist ebenso einfach und robust. In der Praxis ist der HOTP-Token einfacher anzuwenden als ein TOTP-Token.
- Der HOTP-Token lässt sich nicht so leicht klonen. Wenn man bspw. einen Google Authenticator ausrollt, so kann der QR-Code, der das geheime Seed enthält, auf zwei oder mehreren Smartphones gescannt werden. Wenn man nun anfängt, sich mit dem Smartphone 1 zu authentisieren, so zählt das Smartphone 1 den Zähler hoch. Im Server wird ebenfalls der Zähler hochgezählt. Kommt nun der Kollege mit dem gleichen Seed auf dem Smartphone 2, so erzeugt er einen bereits verbrauchten OTP-Wert. Die Zähler zwischen den Smartphones laufen auseinander.
- Im Falle eines Angriffs: Wenn ein Angreifer den QR-Code scannt und sich erfolgreich anmeldet, wird dadurch der Zähler im Server hochgezählt. Wenn nun der legitime Besitzer kommt, erzeugt er einen bereits verbrauchten OTP-Wert und kann sich nicht anmelden. Wenn der Angreifer sich schon öfters als einmal angemeldet hat, dann wird auch das Resynchronisieren des legitimen Benutzers fehlschlagen. Ein Angriff ist somit also potentiell leichter zu bemerken.
TOTP
Nachteile
- Die Uhr und die Synchronität. Der TOTP-Token ist zeitbasiert. D.h. in diesem kleinen Token tickt eine Uhr, die möglichst genau so schnell gehen soll, wie die in dem Server. Es existieren hier Mechanismen, diese synchron zu halten. So kann bei jeder Authentisierung das Offset der Uhr ermittelt werden. Wenn ein Benutzer sich aber sehr lange nicht anmeldet, dann geht die Uhr sehr falsch, so dass man Probleme bekommen kann. Die Resynchronisierung erweist sich in der Praxis nicht immer so leicht, wie beim HOTP Token.
- Die Uhr im Auslieferungszustand. Die Uhr im Auslieferungszustand könnte schon eine unbekannte Zeitdrift haben, die man erstmal feststellen muss. Der HOTP-Token wird mit dem Counter „0“ ausgeliefert.
- Der TOTP-Token schneidet die Unix-System-Time in Zeitscheiben. Dies können 30 oder 60 Sekunden sein. In manchen Fällen kann das zu Verwirrungen führen. Wählt man die Zeitscheibe falsch, dann schlägt die Authentisierung und die Synchronisation fehl!
- Der TOTP-Token lässt sich leichter Klonen. Im Falle des Google Authenticators kann der QR-Code mit verschiedenen Smartphones gescannt werden. Jedes Smartphone erzeugt zu jedem Zeitpunkt einen gültigen OTP-Wert.
- Lediglich innerhalb der Zeitscheibe von 30 oder 60 Sekunden kann eine Authentisierung fehlschlagen, weil sich in diesem Fenster der Angreifer schonmal angemeldet hat. Nach einer Minute ist aber nichts mehr davon zu merken, dass ein Angreifer einen Klon des Smartphone-Tokens besitzt.
- Mit einem TOTP-Token kann man sich innerhalb von 30 oder 60 Sekunden nur einmal anmelden. Während das für den klassischen Einsatzzweck eines Remote-Zugang durchaus OK ist, kann dies in anderen Fällen problematisch sein. Nutzt man OTP bspw. für die SSH-Server-Farm, so kann es durchaus notwendig sein, sich öfters als alle 30 Sekunden einen OTP-Wert zu erzeugen.
Vorteile
- Es können keine TAN-Listen erzeugt werden.
Fazit
HOTP und TOTP haben beide ihre Vor- und Nachteile. In machen Fällen passt der eine besser, in anderen der andere. Welcher Tokentyp in Ihrem Szenario passt, lässt sich am besten im Rahmen eines Projekts klären. Alle Tokentypen werden von privacyIDEA unterstützt und können in beliebigen Mischbetrieben genutzt werden.