TOTP Codes auf dem Desktop erzeugen

Bild von geralt via pixabay / Lizenz: CC0 Public Domain

Bild von geralt via pixabay / Lizenz: CC0 Public Domain

TOTP (Time-based One-time Password Algorithmus) ist ein Verfahren, bei dem Einmalkennwörter mit zeitlicher Limitierung erzeugt werden. Es findet meistens Anwendung in Verbindung mit einem normalen Kennwort bei der so genannten Zwei-Faktor-Authentifizierung.

Dieses Verfahren hat sich inzwischen weitestgehend durchgesetzt. Neben vielen proprietären Diensten unterstützen auch Open Source Programme wie Nextcloud das TOTP-Verfahren.

Normalerweise empfiehlt es sich hochkomplexe Passwörter zu verwenden und dabei für jeden Dienst ein separates Kennwort zu erzeugen. Da sich nur wenige Menschen so komplexe und zahlreiche Passwörter merken können, haben sich dafür Passwortverwaltungen wie KeePass eingebürgert. Problematisch ist das bei Kennwörtern, die man häufig braucht, wenn man die Kennwortverwaltung nicht zur Hand hat. Hier lohnt sich dann die Kombination aus einem merkbaren Passwort unter dem TOTP-Verfahren.

Letzteres wird meistens mit mobilen Apps in Verbindung gebracht und auf den entsprechenden Anleitungen der Dienste werden in der Regel auch nur Apps für Android oder iOS beworben. Prinzipiell lässt sich TOTP aber auch auf dem Desktopsystem einrichten, was im Alltag je nach Szenario praktischer ist - vor allem wenn man mehrere Geräte parallel auf dem Schreibtisch im Betrieb aber das Smartphone nicht immer zur Hand hat. Die Erzeugung der Einmal-Codes sollte auf einem physisch separierten Gerät erfolgen.

Informationen ermitteln

Um TOTP einzurichten braucht man das so genannte TOTP Geheimnis (Secret). Mit diesem Schlüssel kann man TOTP auf beliebig vielen Geräten gleichzeitig einrichten. Viele Dienste zeigen den Schlüssel bereits in der Einrichtungsroutine an, manche zeigen aber auch nur einen QR-Code. In diesem Fall muss man den Schlüssel aus dem QR-Code auslesen. Unter Linux kann man das z.B. mit den zbar-tools, die bei vielen Distributionen paketiert sind.

Mit dem Befehl zbarimg lassen sich aus einem Screenshot mit dem QR-Code die notwendigen Informationen auslesen:

$ zbarimg screenshot.png

TOTP Programm

Nachdem man die notwendigen Informationen zusammen getragen hat, benötigt man noch ein TOTP-Programm. Hier haben macOS und Windows-Anwender defintiv einen Vorteil, weil komfortable grafische Programme existieren. Für macOS-Anwender empfiehlt sich OTP Manager, für Windows-Nutzer WinAuth. Die Einrichtung ist jeweils selbsterklärend, es muss lediglich ein neuer Account mit den anfragten Informationen angelegt werden.

Linux-Anwender müssen zur Zeit hingegen auf das oathtool zurückgreifen, das eine reine Konsolenanwendung ist. Die benötigten Einmalkennwörter lassen sich über folgenden Befehl erzeugen:

$ oathtool --base32 --totp SCHLÜSSEL

Da die Informationen über den Bash-Verlauf einsehbar sind, ist das alles andere als sicher und auch ziemlich unkomfortabel, aber momentan die einzige existierende Lösung. MacOS-Anwender haben hier ein Plus an Sicherheit, da die Schlüsselinformationen vom OTP-Manager im Schlüsselbund abgelegtwerden.

Abschließend sollte man noch überprüfen, ob die erzeugten Codes auf allen Geräten identisch sind. Die Schlüssel haben dabei Passwortcharakter und sollten unter gar keinen Umständen unverschlüsselt oder gar ins Internet übertragen werden. Es kann sinnvoll sein, diese zusätzlich in der Passwortverwaltung zu hinterlegen.

1000 Buchstaben übrig


Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top