Question 1

Was ist der Unterschied zwischen TOTP und HOTP?

Accepted Answer

TOTP (zeitbasiertes OTP) generiert alle 30 Sekunden einen neuen 6-stelligen Code mit dem aktuellen Zeitstempel als Eingabe — das ist, was Authenticator-Apps wie Google Authenticator verwenden. HOTP (HMAC-basiertes OTP) generiert Codes basierend auf einem Zählerwert, der bei jeder Verwendung erhöht wird, wodurch jeder Code gültig bleibt, bis er verwendet wird, anstatt zeitlich abzulaufen.

Question 2

Ist es sicher, OTPs im Browser zu generieren?

Accepted Answer

Dieses Tool verwendet die Web Crypto API mit HMAC-SHA1 vollständig in Ihrem Browser — Ihr geheimer Schlüssel verlässt Ihr Gerät nie. Das Speichern des geheimen Schlüssels in einem Browser-Tool ist jedoch weniger sicher als eine dedizierte Authenticator-App (wie Authy oder Google Authenticator), die Geheimnisse in geschütztem App-Speicher speichert, manchmal mit biometrischer Sperre.

Question 3

In welchem Format muss der geheime Schlüssel sein?

Accepted Answer

Der geheime Schlüssel muss in Base32-Kodierung vorliegen — mit den Zeichen A-Z und 2-7 sowie optionalen Füllzeichen `=`. Die meisten 2FA-Setup-QR-Codes kodieren das Geheimnis in Base32 innerhalb einer otpauth://-URI. Typische Geheimlängen sind 16 oder 32 Zeichen (80 oder 160 Bit).

Question 4

Warum hat TOTP ein 30-Sekunden-Fenster?

Accepted Answer

RFC 6238 definiert den Standard-Zeitschritt als 30 Sekunden als Gleichgewicht zwischen Benutzerfreundlichkeit (genug Zeit, um den Code zu lesen und einzugeben) und Sicherheit (kurz genug, damit ein gestohlener Code nicht lange verwendet werden kann). Die meisten Server akzeptieren auch Codes aus angrenzenden Zeitfenstern (±30 s), um leichten Uhrendrift zu ermöglichen.

Question 5

Wofür wird ein otpauth://-URI verwendet?

Accepted Answer

Ein otpauth://-URI codiert alle Parameter, die zum Hinzufügen eines Kontos zu einer Authenticator-App benötigt werden — den Typ (totp/hotp), den Aussteller, den Kontonamen, das Geheimnis, den Algorithmus, die Stellenanzahl und die Periode. Wenn dieser URI als QR-Code kodiert wird, können Authenticator-Apps ihn scannen, um sich automatisch zu konfigurieren.

OTP-Generator

Häufig gestellte Fragen

Comments & Feedback