CyberGlossary

Identität und Zugriff

HMAC-basiertes Einmalpasswort (HOTP)

Auch bekannt als: RFC 4226, Ereignisbasiertes OTP

Definition

Ein in RFC 4226 definierter ereignisbasierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und einem monoton steigenden Zähler ableitet.

HOTP ist der ursprüngliche IETF-OTP-Standard und die Basis, auf der TOTP aufbaut. Client und Server teilen ein symmetrisches Geheimnis und einen Zähler; bei jeder Authentifizierung wird HMAC-SHA1 über den Zähler berechnet, das Ergebnis auf einen 6- bis 8-stelligen Code gekürzt und der Zähler inkrementiert. Da keine Zeitkomponente einfließt, bleiben Codes gültig, bis sie benutzt oder übersprungen werden – ideal für Hardware-Tokens und Backup-Codes auf Papier. Das Protokoll muss ein Vorausschaufenster vorsehen, um versehentliche Tastendrücke und damit Zählerdrift zu tolerieren. Für die alltägliche MFA wurde HOTP weitgehend durch TOTP abgelöst, der Algorithmus bildet aber weiterhin die Grundlage vieler Hardware-Tokens im Unternehmensumfeld.

Beispiele

  • Ein YubiKey im HOTP-Modus, der bei jedem Tastendruck einen neuen 6-stelligen Code ausgibt.
  • Papier-Backup-Codes, die ein Unternehmens-VPN-Portal ausgibt.

Verwandte Begriffe