Was sind Einmalpasswörter? Der Code, der nur einmal gilt

Einmalpasswörter sind kurze Codes, die nur ein einziges Mal funktionieren. Meist sind es sechs Ziffern, die Sie beim Anmelden zusätzlich eingeben. Danach sind sie verbraucht. Genau das macht sie sicher: Selbst wer den Code mitliest, kann ihn nicht ein zweites Mal verwenden. Sie begegnen Einmalpasswörtern überall – beim Online-Banking, beim Einkaufen, beim Anmelden auf einem neuen Gerät.

Warum ein normales Passwort wiederverwendet wird – ein Einmalpasswort nicht

Ihr normales Passwort bleibt gleich. Sie geben es heute ein, morgen wieder, nächstes Jahr noch. Das ist praktisch, aber auch die Schwäche: Wird es einmal bekannt, ist es dauerhaft ein Problem.

Ein Einmalpasswort dreht dieses Prinzip um. Es entsteht frisch für genau eine Anmeldung und verfällt sofort danach. Oft gilt es nur wenige Minuten. Ein abgefangener Code ist deshalb wertlos, sobald er benutzt oder die Zeit abgelaufen ist.

Woher der Code kommt

Einmalpasswörter erreichen Sie auf drei Wegen. Welcher genutzt wird, hängt vom Dienst ab.

• Per SMS: Eine Kurznachricht mit dem Code kommt aufs Handy. Der bekannteste Weg, weil er kein zusätzliches Programm braucht.
• Per Authenticator-App: Eine kleine App auf dem Handy erzeugt alle 30 Sekunden einen neuen Code. Sie funktioniert auch ohne Empfang und ohne Internet.
• Per E-Mail: Manche Dienste schicken den Code ins Postfach.

Allen gemeinsam ist: Der Code ist nur für Sie bestimmt und nur kurz gültig.

Der Unterschied zur Zwei-Faktor-Authentifizierung

Diese beiden Begriffe werden oft verwechselt. Der Zusammenhang ist einfach: Das Einmalpasswort ist das Werkzeug, die Zwei-Faktor-Authentifizierung ist das Verfahren.

Wenn ein Dienst nach Passwort und einem Code fragt, nutzt er zwei Faktoren – und das Einmalpasswort ist dabei der zweite Faktor. Das Einmalpasswort ist also der konkrete Code, den Sie eintippen. Die Zwei-Faktor-Authentifizierung ist der übergeordnete Schutz, zu dem dieser Code gehört.

Warum die App-Variante sicherer ist als die SMS

Die SMS ist bequem, hat aber eine Schwachstelle. In seltenen Fällen gelingt es Kriminellen, eine Telefonnummer auf eine fremde SIM-Karte umzuleiten. Dann landen die Codes beim Falschen. Das ist aufwendig und selten, aber möglich.

Eine Authenticator-App umgeht das. Der Code entsteht direkt auf Ihrem Gerät und wird nirgendwo verschickt. Es gibt also nichts abzufangen. Für die meisten Menschen ist die SMS dennoch ausreichend – die App ist die etwas sicherere Wahl für besonders wichtige Konten.

Worauf Sie achten sollten

Ein Einmalpasswort ist nur für Sie. Kein seriöser Dienst und keine echte Bank wird Sie jemals am Telefon nach diesem Code fragen. Wer das tut, hat Betrug im Sinn.

Diese Masche ist verbreitet: Ein angeblicher Bank-Mitarbeiter ruft an und bittet um den „Sicherheitscode”, den Sie gerade per SMS bekommen haben. Geben Sie ihn weiter, bestätigen Sie damit in Wahrheit eine Überweisung des Betrügers. Die Regel ist deshalb klar: Einmalpasswörter nur selbst eingeben, niemals weitersagen.

Häufige Fragen

Warum läuft der Code so schnell ab? Die kurze Gültigkeit ist Absicht. Je kürzer ein Code gilt, desto weniger Zeit bleibt jemandem, ihn zu missbrauchen. Wenn ein Code abläuft, fordern Sie einfach einen neuen an.

Ich bekomme die SMS mit dem Code nicht – was tun? Meist liegt es am Empfang. Ein kurzer Moment Geduld oder ein erneutes Anfordern hilft oft. Bleibt es dabei, prüfen Sie, ob die hinterlegte Handynummer noch stimmt.

Klingt das nicht kompliziert? Nein. Sie müssen nur eine kurze Zahl ablesen und eintippen – mehr nicht. Schwieriger als das Lesen einer SMS ist es nicht. Wichtig ist allein, den Code niemals am Telefon weiterzugeben.

Brauche ich für jeden Dienst eine eigene App? Nein. Eine einzige Authenticator-App kann die Codes für viele Konten gleichzeitig verwalten.

Verwandte Artikel

• Was ist Zwei-Faktor-Authentifizierung?
• Was sind Passkeys?
• Sicheres Online-Banking: Was wirklich schützt