OTP steht für „One-Time Passcode“ (oder „One-Time Password“). Es handelt sich um einen einmaligen, kurzlebigen Code, der für eine einzelne Authentifizierungssitzung generiert wird. Im Gegensatz zu einem statischen Passwort verfällt ein OTP nach der Verwendung oder nach Ablauf eines kurzen Zeitfensters – was es Angreifern erschwert, abgefangene Zugangsdaten wiederzuverwenden.

Ein SMS-OTP ist ein Einmalpasswort, das per SMS an die Handynummer eines Benutzers gesendet wird. Es ist die am weitesten verbreitete Form des OTP, aber auch die anfälligste – sie ist anfällig für SIM-Swap-Angriffe, Ausnutzung des SS7-Protokolls und Echtzeit-Phishing. Die Richtlinien des NIST zur digitalen Identität schränken nun die Verwendung von SMS-OTPs für hochsichere Authentifizierung ein.

Einmalpasswörter (OTPs) sind sicherer als statische Passwörter allein, weisen jedoch erhebliche Schwachstellen auf – insbesondere SMS-basierte OTPs, die durch SIM-Swapping oder SS7-Angriffe abgefangen werden können, ohne dass der Angreifer physischen Zugriff auf das Gerät des Opfers benötigt. App-basierte TOTPs sind widerstandsfähiger, aber dennoch anfällig für Echtzeit-Phishing-Relay-Angriffe. Für Anwendungsfälle mit hohen Sicherheitsanforderungen empfehlen die meisten Sicherheitsrahmenwerke mittlerweile, über OTPs hinaus auf phishingresistente Methoden wie die biometrische Verifizierung umzusteigen.

Kann ein OTP abgefangen werden?

SMS-OTPs können durch SIM-Swapping, Schwachstellen im SS7-Protokoll oder Echtzeit-Phishing-Toolkits abgefangen werden. App-basierte TOTPs sind widerstandsfähiger gegen Abfangen, bleiben jedoch anfällig für Gerätekompromittierung und Social Engineering. E-Mail-OTPs hängen vollständig von der Sicherheit des E-Mail-Kontos ab.

Was ist der Unterschied zwischen OTP und biometrischer Authentifizierung?

Die OTP-Authentifizierung erfüllt den Faktor „Was Sie besitzen“ – sie hängt vom Zugriff auf ein Gerät oder einen Posteingang ab, die verloren gehen, gestohlen oder kompromittiert werden können. Die biometrische Authentifizierung erfüllt den Faktor „Was Sie sind“ – sie nutzt ein angeborenes körperliches Merkmal, wie beispielsweise das Gesicht, das nicht kopiert oder übertragen werden kann. In Kombination mit einer Lebendigkeitsprüfung bestätigt die biometrische Authentifizierung zudem, dass die Person physisch anwesend ist und sich in Echtzeit authentifiziert, was bei OTPs nicht möglich ist.

Was ist die OTP-Authentifizierung? | Risiken und Alternativen (2026)

2. Januar 2026

Einmalige Passwörter (OTPs) sind seit über zwei Jahrzehnten ein Eckpfeiler der Online-Sicherheit. Wenn Sie schon einmal einen sechsstelligen Code per SMS erhalten haben, um sich bei Ihrer Bank anzumelden, haben Sie ein solches Passwort verwendet. Doch da Cyberangriffe immer raffinierter werden, hat sich die Frage, die sich Unternehmen und Sicherheitsteams stellen, von „Sollten wir OTPs verwenden?“ zu „Sind OTPs noch sicher genug?“ gewandelt.

In diesem Artikel wird erläutert, was die OTP-Authentifizierung ist, wie die verschiedenen Arten funktionieren, welche spezifischen Sicherheitsrisiken jeweils damit verbunden sind und warum die biometrische Gesichtsverifizierung OTPs zunehmend als Authentifizierungsmethode der Wahl für Anwendungsfälle mit hohen Sicherheitsanforderungen ablöst.

Was ist OTP? Bedeutung und Definition

Ein OTP ist ein computergenerierter Code, der für eine einzelne Authentifizierungssitzung gültig ist und nach kurzer Zeit – in der Regel nach 30 bis 120 Sekunden oder unmittelbar nach der Verwendung – abläuft.

Im Gegensatz zu einem statischen Passwort, das unverändert bleibt, bis der Benutzer es ändert, ist ein OTP jedes Mal einzigartig. Dadurch wird das Risiko von Replay-Angriffen auf Anmeldedaten ausgeschlossen, bei denen ein Angreifer ein abgefangenes Passwort wiederverwendet. OTPs werden per SMS, E-Mail, über eine Authentifizierungs-App oder ein Hardware-Token-Gerät übermittelt.

Die OTP-Authentifizierung wird häufig als Bestandteil der Multi-Faktor-Authentifizierung (MFA) eingesetzt und erfüllt dabei den Besitzfaktor – also die Sicherheitsstufe „Was Sie besitzen“. Dabei wird davon ausgegangen, dass nur der berechtigte Benutzer Zugriff auf das Gerät oder den Posteingang hat, an den der Code gesendet wird.

Wie funktioniert OTP?

Der grundlegende OTP-Prozess umfasst drei Schritte:

Der Benutzer versucht, sich anzumelden oder eine Transaktion abzuschließen.
Das System generiert einen einmaligen, zeitlich begrenzten Code und sendet diesen an das registrierte Gerät oder die E-Mail-Adresse des Benutzers.
Der Benutzer gibt den Code zur Authentifizierung ein. Die Sitzung wird freigegeben, wenn der Code übereinstimmt und noch nicht abgelaufen ist.

OTPs werden mithilfe eines von zwei zugrunde liegenden Algorithmen generiert:

HOTP (HMAC-basiertes Einmalpasswort): Der Code wird auf der Grundlage eines Zählers generiert, der bei jedem Authentifizierungsvorgang erhöht wird. Der Code bleibt gültig, bis er verwendet wird, und läuft nicht nach einer bestimmten Zeit ab.
TOTP (Time-Based One-Time Password):Der Code wird auf Basis der aktuellen Uhrzeit generiert und läuft nach einem festgelegten Zeitraum, in der Regel nach 30 Sekunden, ab. Authentifizierungs-Apps wie Google Authenticator verwenden TOTP.

Bei SMS-OTP kommt keiner der beiden Algorithmen zum Einsatz – der Code wird einfach serverseitig generiert und über das Mobilfunknetz übertragen, ohne dass eine kryptografische Bindung an das Gerät des Benutzers besteht.

Die wichtigsten Arten der OTP-Authentifizierung

SMS-OTP: Ein Einmalcode, der per SMS an Ihre Handynummer gesendet wird. Das am weitesten verbreitete Format, aber auch das anfälligste.
E-Mail-OTP:Ein Code, der an die bei der Registrierung angegebene E-Mail-Adresse gesendet wird. Praktisch, hängt jedoch von der Sicherheit des E-Mail-Kontos ab.
TOTP (Time-Based, App-Generated): Ein von einer Authentifizierungs-App (Google Authenticator, Microsoft Authenticator, Authy) generierter rollierender Code. Sicherer als SMS, da er nicht über das Mobilfunknetz übertragen wird. In der Regel 30 Sekunden lang gültig.
HOTP (zählerbasiert): Ein Code, der bei jeder Verwendung erhöht wird, anstatt nach einer bestimmten Zeit abzulaufen. Wird in einigen Hardware-Token-Implementierungen verwendet.
Hardware-Token:Ein spezielles physisches Gerät (kein Smartphone), das einen Einmalcode anzeigt. In Unternehmens- und Finanzdienstleistungsumgebungen weit verbreitet.

OTP-Authentifizierung: Was ist das Problem?

Mela Abesamis hielt sich immer für vorsichtig, wenn es um Cybersicherheit ging. Sie kannte Phishing-Angriffe und andere gängige Betrugstaktiken und wusste, wie man sie erkennt. Sie war auch daran gewöhnt, von ihrer Bank Einmal-Passcodes (OTPs) zu erhalten, die per SMS an ihr Mobilgerät geschickt wurden, um ihre Identität zu bestätigen.

Doch dann, im Dezember 2021, erhielt Mela eine Nachricht von ihrer Bank, in der stand, dass 50.025 philippinische Pesos (etwa 950 US-Dollar) von ihrem Konto an einen gewissen Mark Nagoyo überwiesen worden waren. Dies war der erste und einzige Hinweis darauf, dass Geld überwiesen worden war. Sie hatte noch nie von Mark Nagoyo gehört, hatte die Zahlung ganz sicher nicht getätigt und während der Transaktion keinen Einmal-Passcode erhalten.

Sie war nicht die Einzige. Über 700 Kontoinhaber waren von dem Betrug betroffen. Im Philippinischen bedeutet das Wort „nagoyo“, jemanden zum Narren zu halten.

Schließlich wurden fünf Personen wegen dieses Betrugs angeklagt. Die Betrüger nutzten Phishing-Techniken, um Bank-Anmeldedaten zu erlangen. So gelang es ihnen, die OTP-Sicherheitskontrollen der Bank vollständig zu umgehen – die Opfer berichteten, dass Transaktionen ohne Auslösung eines OTP abgewickelt wurden – und die Bankkonten der Betroffenen zu leeren.

Die Bank zahlte die betroffenen Beträge zurück, was jedoch das traumatische Erlebnis für die Opfer nicht vollständig ausgleichen konnte.

Dies ist nur ein Beispiel dafür, dass die Umgehung der OTP-Authentifizierung für immer raffiniertere Angreifer eine immer geringere Herausforderung darstellt. In diesem Artikel wird genau untersucht, wie diese Angriffe funktionieren – und wie sicherere Alternativen aussehen.

Sind Einmalpasswörter sicher?

Einmalpasswörter sind sicherer als statische Passwörter allein. Da jeder Code einzigartig ist und schnell verfällt, erhält ein Angreifer durch das Abfangen eines solchen Codes keine wiederverwendbaren Zugangsdaten.

Einmalige Passwörter (OTPs) weisen jedoch eine grundlegende strukturelle Schwachstelle auf: Sie erfüllen lediglich den Besitzfaktor der Authentifizierung – „was man hat“. Jedes Gerät oder jeder Posteingang, der den Code empfängt, kann kompromittiert werden. Ein gestohlenes Smartphone, eine gekaperte Telefonnummer oder ein durch Phishing erlangter Code machen die OTP-Authentifizierung vollständig zunichte, ohne dass der Angreifer dabei Kryptografie knacken muss.

Der Konsens unter Sicherheitsforschern und Regulierungsbehörden hat sich gewandelt. Die Richtlinien des NIST zur digitalen Identität (SP 800-63B) schränken nun ausdrücklich die Verwendung von SMS-OTP für hochsichere Authentifizierung ein, da diese anfällig für Abhörversuche ist. Das britische National Cyber Security Centre rät Organisationen ebenfalls dazu, auf SMS-basierte zweite Authentifizierungsfaktoren zu verzichten, sofern Alternativen verfügbar sind.

Also: Einmalige Passwörter sind besser als reine Passwörter, aber für Anwendungsfälle mit hohen Sicherheitsanforderungen nicht sicher genug – und die Angriffstechniken, die auf sie abzielen, lassen sich immer leichter in großem Maßstab durchführen.

Kann OTP gehackt werden?

Ja – und es gibt mehrere gut dokumentierte Methoden, mit denen Angreifer die OTP-Authentifizierung abfangen oder umgehen können, ohne physischen Zugriff auf das Gerät des Opfers zu benötigen.

SIM-Swap-Angriffe

Die häufigste Art von SMS-OTP-Angriffen. Der Betrüger sammelt persönliche Daten über das Opfer – durch Phishing, Datenlecks oder Social Engineering – und nutzt diese, um den Mobilfunkanbieter des Opfers dazu zu bringen, die Telefonnummer auf eine SIM-Karte zu übertragen, die sich unter der Kontrolle des Angreifers befindet. Alle nachfolgenden SMS-Nachrichten, einschließlich der OTPs, werden dann an den Angreifer weitergeleitet.

Betrugsfälle durch SIM-Swapping nehmen rapide zu. Die britische Betrugsbekämpfungsbehörde Cifas verzeichnete im Jahr 2024 einen Anstieg der unberechtigten SIM-Swaps um 1.055 % – von 289 Fällen im Jahr 2023 auf fast 3.000. In den USA verzeichnete das Internet Crime Complaint Center des FBI im Jahr 2024 gemeldete Verluste durch SIM-Swaps in Höhe von 26 Millionen US-Dollar, und ein einzelner Fall führte zu einem Schiedsspruch in Höhe von 33 Millionen US-Dollar gegen T-Mobile, nachdem ein Swap einen Diebstahl von Kryptowährung ermöglicht hatte.

Die Schwachstelle im SS7-Protokoll

SS7 (Signaling System No. 7) ist ein seit Jahrzehnten bestehendes Protokoll, das vor allem 2G- und 3G-Mobilfunknetze, einschließlich der SMS-Weiterleitung, unterstützt. Es weist einen Konstruktionsfehler auf, der es Angreifern mit Zugriff auf das SS7-Netzwerk – in der Regel hochorganisierten kriminellen Gruppen oder staatlichen Akteuren – ermöglicht, Anrufe und Textnachrichten während der Übertragung abzufangen, darunter auch Einmalpasswörter (OTPs).

In Deutschland nutzten Betrüger über einen ausländischen Netzbetreiber das SS7-Protokoll aus, um SMS-Einmalpasswörter, die an Kunden von O2 Telefonica gesendet wurden, in großem Umfang abzufangen, wodurch sie Bankkonten einer unbekannten Anzahl von Kunden leerräumen konnten.

Phishing in Echtzeit und das Abfangen von Einmalpasswörtern

Eine zunehmende und besonders gefährliche Angriffsmethode. Mit Man-in-the-Middle-Toolkits – darunter weit verbreitete Frameworks wie Evilginx – können Angreifer überzeugende Proxy-Versionen legitimer Anmeldeseiten erstellen. Wenn ein Opfer seine Anmeldedaten und das Einmalpasswort eingibt, erfasst der Server des Angreifers beides in Echtzeit und leitet die Daten an die echte Website weiter, bevor das Einmalpasswort abläuft. Der Angreifer erhält vollständigen Zugriff auf die Sitzung, obwohl das Opfer die Zwei-Faktor-Authentifizierung korrekt abgeschlossen hat.

Für diesen Angriff sind weder SIM-Zugriff noch ein SS7-Exploit oder Malware erforderlich – lediglich eine überzeugende Phishing-Seite und ein automatisiertes Relay. Er umgeht SMS-OTP, E-Mail-OTP und TOTP gleichermaßen.

TOTP-spezifische Risiken

App-basiertes TOTP ist widerstandsfähiger gegen Abhörversuche als SMS, weist jedoch weiterhin Schwachstellen auf, die ausgenutzt werden können:

Diebstahl oder Kompromittierung eines Geräts. Wenn ein Angreifer Zugriff auf ein Gerät erhält, auf dem eine Authentifizierungs-App installiert ist – und dasselbe Gerät zur Abwicklung der Transaktion verwendet wird –, schmilzt die „zweistufige“ Authentifizierung zu einer einzigen Stufe zusammen. Die Einstufung als MFA wird dadurch fragwürdig.
Offenlegung von Sicherungscodes. Die meisten Authentifizierungs-Apps generieren bei der Einrichtung Wiederherstellungscodes. Werden diese Codes unsicher gespeichert (in einer Notiz-App, per E-Mail oder in einem Cloud-Backup), werden sie zu einem Single Point of Failure.
Social Engineering. Angreifer rufen ihre Opfer zunehmend in Echtzeit an, geben sich als Mitarbeiter der Betrugsabteilung einer Bank aus und setzen sie unter Druck, ihren TOTP-Code während eines „Kontoüberprüfungs“-Anrufs vorzulesen.

Was sind die Sicherheitsrisiken der OTP-Authentifizierung?

Das grundlegende Problem der OTP-Authentifizierung besteht darin, dass sie lediglich den Faktor „Besitz“ der Authentifizierung abdeckt. Was Sie besitzen – sei es Ihr Mobiltelefon oder ein Hardware-Token – kann verloren gehen, gestohlen, kompromittiert oder auf Anbieterebene nachgebildet werden. Nachfolgend finden Sie eine Zusammenfassung der wichtigsten Risikofaktoren nach OTP-Typ.

Sicherheitsrisiken bei SMS-OTP

Wie der Fall auf den Philippinen zeigt, müssen Angreifer Ihr Handy nicht stehlen, um SMS-OTPs zu umgehen. SMS-Nachrichten sind unverschlüsselt und an eine Telefonnummer gebunden, nicht an ein bestimmtes Gerät. Die wichtigsten Angriffsvektoren sind SIM-Swapping, die Ausnutzung von SS7 und Echtzeit-Phishing – all dies wurde oben ausführlich behandelt.

Sicherheitsrisiken bei TOTP

TOTP und die App-basierte Authentifizierung bieten mehr Sicherheit als SMS, da der Code lokal generiert und nicht über ein Mobilfunknetz übertragen wird. Wie bereits erwähnt, bleiben jedoch Gerätekompromittierung, Echtzeit-Phishing und Social Engineering weiterhin mögliche Angriffswege. TOTP erfüllt zudem nach wie vor nur den Besitzfaktor – was die Frage aufwirft, ob es sich tatsächlich um eine Multi-Faktor-Authentifizierung handelt, wenn sowohl die Transaktion als auch die Authentifizierung auf demselben Gerät stattfinden.

Bietet die OTP-Authentifizierung ein veraltetes Benutzererlebnis?

Die Pandemie hat die Nachfrage nach nahtlosen, vorrangig auf Fernzugriff ausgerichteten Benutzererlebnissen beschleunigt. Die OTP-Authentifizierung hinkt in mehreren Bereichen hinterher.

Laufender Prozess

Die OTP-Authentifizierung erfordert eine Aktion seitens des Benutzers: das Herbeirufen eines Geräts, das Öffnen einer App oder das Wechseln zwischen Bildschirmen. Das 30-sekündige Ablauffenster von TOTP bedeutet, dass Benutzer, die nicht schnell genug reagieren, mit Authentifizierungsfehlern konfrontiert werden, was zu Reibungsverlusten führt und manchmal sogar dazu, dass der Vorgang ganz abgebrochen wird.

Ein Mangel an Inklusion

Die OTP-Authentifizierung setzt voraus, dass Nutzer über ein mobiles Gerät, eine funktionierende Telefonnummer und die Fähigkeit verfügen, mehrstufige Anweisungen über verschiedene Bildschirme hinweg zu befolgen. Dies ist nicht bei allen der Fall. Für Nutzer mit bestimmten Behinderungen, ältere Menschen oder Personen ohne ständigen Zugang zu Mobilgeräten schafft die OTP-basierte Sicherheit echte Ausgrenzungsbarrieren. Die biometrische Verifizierung erfordert zwar ebenfalls ein Gerät, macht jedoch eine funktionierende Telefonnummer überflüssig und reduziert die kognitiven Schritte auf eine einzige, passive Handlung, was den Anforderungen von WCAG 2.2 AA entspricht.

OTP vs. biometrische Authentifizierung: Ein Vergleich

Während die OTP-Authentifizierung den Faktor „Besitz“ („was man hat“) erfüllt, erfüllt die biometrische Authentifizierung den Faktor „Inhärenz“ – „was man ist“. Ihr Gesicht kann weder verloren gehen noch gestohlen oder auf eine andere Nummer übertragen werden.

OTP-Authentifizierung

Authentifizierungsfaktor: Besitz – „Was Sie haben“ (ein Gerät oder ein Postfach).

Kann es gestohlen oder abgefangen werden? Ja – SMS-OTP durch SIM-Swap, SS7-Exploit oder Phishing-Relay. TOTP durch Gerätediebstahl oder Social Engineering.

Phishing-resistent? Nein – Toolkits für Man-in-the-Middle-Angriffe in Echtzeit überwinden sowohl SMS-OTP als auch TOTP.

Benutzererfahrung: Aktiv – erfordert das Wechseln zwischen Bildschirmen oder Apps, wobei bei TOTP-Codes Zeitdruck besteht.

Überprüft die tatsächliche Anwesenheit? Nein – es wird lediglich der Besitz eines Geräts bestätigt, nicht die Identität der Person, die es in der Hand hält.

NIST SP 800-63B: SMS-OTP ist auf Anwendungen mit hohem Sicherheitsbedarf beschränkt. TOTP erfüllt lediglich die Anforderungen von AAL2.

Biometrische Gesichtsüberprüfung (iProov)

Authentifizierungsfaktor: Inhärenz – „was du bist“ (dein Gesicht).

Kann es gestohlen oder abgefangen werden? Nein – ein Gesicht kann nicht auf ein anderes Gerät übertragen oder während der Übertragung abgefangen werden.

Phishing-sicher? Ja – die Lebendigkeitserkennung erkennt gefälschte Fotos, Videos und KI-generierte Deepfakes.

Benutzererfahrung: Passiv – ein kurzer Gesichts-Scan ohne Anweisungen, ohne Zeitdruck und ohne Bildschirmwechsel.

Überprüft die tatsächliche Anwesenheit? Ja – bestätigt, dass es sich um die richtige Person handelt, um eine echte Person, und authentifiziert diese gerade.

NIST SP 800-63B: Erfüllt die Anforderungen an die biometrische Verifizierung nach AAL2/AAL3 mit Lebendigkeitserkennung

Warum ist die biometrische Verifizierung eine bessere Alternative zur OTP-Authentifizierung?

Während ein einmaliger Passcode abgefangen, weitergegeben oder durch Social Engineering manipuliert werden kann, kann niemand Ihr Gesicht stehlen. Die biometrische Authentifizierung bietet Unternehmen eine sicherere Methode, um Nutzer bei der Erstanmeldung und Registrierung anhand eines amtlichen Ausweises zu verifizieren und wiederkehrende Nutzer in risikoreichen Situationen wie bei Zahlungsautorisierungen oder Kontoänderungen erneut zu überprüfen.

Es kann auch für eine wirklich sichere Kontowiederherstellung genutzt werden – ein Vorgang, der zunehmend anfällig ist und bei dem andere Authentifizierungsmethoden versagen.
Die iProov-Gesichtsauthentifizierung erfolgt Out-of-Band – eine Art der Authentifizierung, die einen völlig separaten Kommunikationskanal nutzt. Die iProov-Technologie geht davon aus, dass das Gerät kompromittiert wurde, und führt die Authentifizierung sicher in der Cloud durch. Selbst wenn ein Angreifer vollen Zugriff auf das Gerät einer Person hat, bleibt der Authentifizierungsprozess sicher.

Wie schneidet die Lebendigkeitserkennung im Vergleich zur OTP-Authentifizierung ab?

Auch einfache biometrische Systeme lassen sich täuschen – Angreifer können eine Maske, ein ausgedrucktes Foto oder ein Video des Opfers vorlegen, um ein einfaches Gesichtserkennungssystem zu überlisten. Hier macht eine zuverlässige Lebendigkeitserkennung den Unterschied.

Die Lebendigkeitserkennung nutzt biometrische Technologien, um zu überprüfen, ob es sich bei der sich authentifizierenden Person um einen echten, lebenden Menschen handelt – und nicht um ein Foto, ein Video, eine Maske oder einen durch KI erzeugten Deepfake. Die OTP-Authentifizierung kann dieses Maß an Sicherheit nicht bieten. Mark Nagoyo war keine reale Person, dennoch gelang es den Betrügern, mit gestohlenen Zugangsdaten Hunderte von nicht autorisierten Transaktionen durchzuführen.

Erfahren Sie, wie die Lebendigkeitserkennung von iProov Maßstäbe in Sachen Sicherheit setzt und andere Lösungen übertrifft.

Wie unterscheidet sich die biometrische Gesichtsverifizierung von der OTP-Authentifizierung?

Die Lebendigkeitserkennung nutzt die Gesichtsverifizierung, um sicherzustellen, dass es sich um die richtige Person und um eine echte Person handelt: zwei Sicherheitsebenen, die eine OTP-Authentifizierung nicht bieten kann.

Eine Lebendigkeitserkennung allein reicht jedoch nicht aus, um zu überprüfen, ob sich eine Person gerade authentifiziert. Die wissenschaftlich fundierten biometrischen Lösungen von iProov sind dazu in der Lage. Dies geschieht mithilfe der Flashmark™-Technologie von iProov, die das Gesicht des Remote-Nutzers mit einer einzigartigen, zufälligen Farbreihenfolge beleuchtet, die sich weder nachstellen noch synthetisch manipulieren lässt, wodurch Manipulationen verhindert werden.

Im Gegensatz zur SMS-OTP-Authentifizierung – bei der Passwörter über anfällige Mobilfunknetze übermittelt werden – handelt es sich bei iProov um eine cloudbasierte Technologie, was bedeutet, dass ihre Sicherheitsmechanismen vor Angreifern verborgen bleiben und ein Abfangen somit wesentlich erschwert wird.

Wie bereits erwähnt, müssen Nutzer bei der OTP-Authentifizierung aktiv einen Code abrufen und eingeben. Die „Genuine Presence Assurance“ von iProov funktioniert hingegen völlig passiv. Mit jedem beliebigen Gerät, das über eine Frontkamera verfügt, blicken Nutzer einfach in die Kamera, und schon ist die Authentifizierung abgeschlossen – ohne Anweisungen, die gelesen werden müssen, ohne Codes, die kopiert werden müssen, und ohne Zeitdruck. Mehr über die sich wandelnde Bedrohungslage für OTPs erfahren Sie im „2025 Threat Intelligence Report“ von iProov.

Wenn Sie Ihre Online-Authentifizierung sicherer und komfortabler gestalten und die Vorteile der biometrischen Authentifizierung nutzen möchten, fordern Sie hier eine Demo an.

OTP-Authentifizierung: Häufig gestellte Fragen

Was bedeutet OTP?: OTP steht für „One-Time Passcode“ (oder „One-Time Password“). Es handelt sich um einen einmaligen, kurzlebigen Code, der für eine einzelne Authentifizierungssitzung generiert wird. Im Gegensatz zu einem statischen Passwort verfällt ein OTP nach der Verwendung oder nach Ablauf eines kurzen Zeitfensters, wodurch es Angreifern erschwert wird, abgefangene Anmeldedaten wiederzuverwenden.
Was ist die OTP-Authentifizierung?: Die OTP-Authentifizierung ist ein Verfahren zur Überprüfung der Identität eines Benutzers mithilfe eines temporären Einmalcodes. Sie wird häufig als zweiter Faktor bei der MFA (Multi-Faktor-Authentifizierung) neben dem Passwort verwendet. Der OTP-Code wird per SMS, E-Mail oder über eine Authentifizierungs-App übermittelt und muss innerhalb eines kurzen Zeitfensters eingegeben werden, um die Authentifizierung abzuschließen.
Was ist ein SMS-OTP?: Ein SMS-OTP ist ein Einmalpasswort, das per SMS an die Handynummer eines Benutzers gesendet wird. Es ist die am weitesten verbreitete Form des OTP, aber auch die anfälligste – sie ist anfällig für SIM-Swap-Angriffe, Ausnutzung des SS7-Protokolls und Echtzeit-Phishing. Die Richtlinien des NIST zur digitalen Identität schränken nun die Verwendung von SMS-OTPs für hochsichere Authentifizierung ein.
Ist OTP sicher?: Einmalpasswörter (OTPs) sind sicherer als statische Passwörter allein, weisen jedoch erhebliche Schwachstellen auf – insbesondere SMS-basierte OTPs, die durch SIM-Swapping oder SS7-Angriffe abgefangen werden können, ohne dass der Angreifer physischen Zugriff auf das Gerät des Opfers benötigt. App-basierte TOTP sind widerstandsfähiger gegen Abfangen, aber dennoch anfällig für Echtzeit-Phishing-Relay-Angriffe. Für Anwendungsfälle mit hohen Sicherheitsanforderungen empfehlen die meisten Sicherheitsframeworks mittlerweile, über OTP hinaus auf phishingresistente Methoden wie Passkeys oder biometrische Verifizierung umzusteigen.
Kann OTP gehackt werden?: Ja. Die gängigsten Methoden sind SIM-Swap-Angriffe (bei denen ein Mobilfunkanbieter dazu gebracht wird, eine Telefonnummer auf eine vom Angreifer kontrollierte SIM-Karte zu portieren), SS7-Missbrauch (das Abfangen von SMS-Nachrichten auf Netzwerkebene) und Echtzeit-Man-in-the-Middle-Phishing (das Weiterleiten von Einmalpasswörtern über eine Proxy-Anmeldeseite, bevor diese ablaufen). Diese Angriffe erfordern keinen Zugriff auf das Gerät des Opfers und werden für Kriminelle ohne technische Vorkenntnisse immer leichter zugänglich.
Kann ein OTP abgefangen werden?: SMS-OTPs können durch SIM-Swapping, Schwachstellen im SS7-Protokoll oder Echtzeit-Phishing-Toolkits abgefangen werden. App-basierte TOTPs werden nicht über das Mobilfunknetz übertragen und sind daher widerstandsfähiger gegen Abfangen, bleiben jedoch anfällig für Gerätekompromittierung und Social Engineering. E-Mail-OTPs sind vollständig von der Sicherheit des E-Mail-Kontos abhängig.
Was ist der Unterschied zwischen OTP und biometrischer Authentifizierung?: Die OTP-Authentifizierung erfüllt den Faktor „Was Sie besitzen“ – sie hängt vom Zugriff auf ein Gerät oder einen Posteingang ab, die verloren gehen, gestohlen oder kompromittiert werden können. Die biometrische Authentifizierung erfüllt den Faktor „Was Sie sind“ – sie nutzt ein angeborenes körperliches Merkmal, wie beispielsweise das Gesicht, das nicht kopiert oder übertragen werden kann. In Kombination mit einer Lebendigkeitserkennung bestätigt die biometrische Authentifizierung zudem, dass die Person physisch anwesend ist und sich in Echtzeit authentifiziert, was bei OTPs nicht möglich ist.

OTP-Authentifizierung: Was ist das? Was sind die Risiken? Was ist die biometrische Lösung?

Inhaltsübersicht

Was ist OTP? Bedeutung und Definition
Wie funktioniert das OTP?
Die wichtigsten Arten der OTP-Authentifizierung
Autenticazione OTP: Qual è il problema?
Sind OTPs sicher?
Kann man das OTP hacken?
Wie hoch sind die Risiken für die Sicherheit der OTP-Authentifizierung?
- Sicherheitsrisiken im Zusammenhang mit OTPs per SMS
- Sicherheitsrisiken bei TOTP
L'autenticazione OTP offerre un'esperienza utente obsoleta?
- Aktiver Prozess
- Ein Mangel an Inklusivität
OTP vs. biometrische Authentifizierung: ein Vergleich
- OTP-Authentifizierung
- Biometrische Gesichtserkennung (iProov)
Perché la verifica biometrica è un'alternativa migliore all'autenticazione OTP?
Inwiefern unterscheidet sich die Anwesenheitserfassung in Echtzeit von der OTP-Authentifizierung?
Inwiefern unterscheidet sich die biometrische Verifizierung der Stimme von der OTP-Authentifizierung?
OTP-Authentifizierung: Häufig gestellte Fragen

Senden Sie mir Einblicke

Zurück zu Blog

Berichte

Videos

Veranstaltungen

Webinare

Infoblätter

Werkzeuge und Rechner

Blog

Dokumentationszentrum

Einblicke in die Industrie

Biometrische Enzyklopädie

Was ist die OTP-Authentifizierung? Funktionsweise, Risiken und Alternativen (2026)

Was ist OTP? Bedeutung und Definition

Wie funktioniert OTP?

Die wichtigsten Arten der OTP-Authentifizierung

OTP-Authentifizierung: Was ist das Problem?

Sind Einmalpasswörter sicher?