Zeitbasiertes Einmalpasswort (TOTP)

TOTP ist ein weit verbreiteter Zweitfaktor-Mechanismus, bei dem die Authenticator-App des Nutzers (Google Authenticator, Authy, 1Password) und der Server denselben symmetrischen Seed teilen und denselben HMAC-SHA1-Hash über die aktuelle, in 30-Sekunden-Fenster zerlegte Unix-Zeit berechnen. Der angezeigte 6- bis 8-stellige Code ändert sich automatisch und ist nur kurz gültig, was den Wert ausgespähter oder per Phishing erbeuteter Codes verringert. Nach der Provisionierung des Seeds (meist per QR-Code) arbeitet TOTP vollständig offline. Hauptschwächen sind Echtzeit-Phishing-Proxys (AiTM), die Codes weiterleiten, Schadsoftware auf dem Gerät und ein Seed-Diebstahl serverseitig; wo möglich, sind FIDO2 und Passkeys vorzuziehen.