Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Deutsch
Entry № 537

HMAC-basiertes Einmalpasswort (HOTP)

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist HMAC-basiertes Einmalpasswort (HOTP)?

HMAC-basiertes Einmalpasswort (HOTP)Ein in RFC 4226 definierter ereignisbasierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und einem monoton steigenden Zähler ableitet.

HOTP ist der ursprüngliche IETF-OTP-Standard und die Basis, auf der TOTP aufbaut. Client und Server teilen ein symmetrisches Geheimnis und einen Zähler; bei jeder Authentifizierung wird HMAC-SHA1 über den Zähler berechnet, das Ergebnis auf einen 6- bis 8-stelligen Code gekürzt und der Zähler inkrementiert. Da keine Zeitkomponente einfließt, bleiben Codes gültig, bis sie benutzt oder übersprungen werden – ideal für Hardware-Tokens und Backup-Codes auf Papier. Das Protokoll muss ein Vorausschaufenster vorsehen, um versehentliche Tastendrücke und damit Zählerdrift zu tolerieren. Für die alltägliche MFA wurde HOTP weitgehend durch TOTP abgelöst, der Algorithmus bildet aber weiterhin die Grundlage vieler Hardware-Tokens im Unternehmensumfeld.

Beispiele

  1. 01

    Ein YubiKey im HOTP-Modus, der bei jedem Tastendruck einen neuen 6-stelligen Code ausgibt.

  2. 02

    Papier-Backup-Codes, die ein Unternehmens-VPN-Portal ausgibt.

Häufige Fragen

Was ist HMAC-basiertes Einmalpasswort (HOTP)?

Ein in RFC 4226 definierter ereignisbasierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und einem monoton steigenden Zähler ableitet. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.

Was bedeutet HMAC-basiertes Einmalpasswort (HOTP)?

Ein in RFC 4226 definierter ereignisbasierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und einem monoton steigenden Zähler ableitet.

Wie schützt man sich gegen HMAC-basiertes Einmalpasswort (HOTP)?

Schutzmaßnahmen gegen HMAC-basiertes Einmalpasswort (HOTP) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für HMAC-basiertes Einmalpasswort (HOTP)?

Übliche alternative Bezeichnungen: RFC 4226, Ereignisbasiertes OTP.

Verwandte Begriffe

Siehe auch