TOTP (Time-based One-Time Password) ist ein Verfahren zur Erzeugung zeitlich begrenzter Einmalpasswörter. Eine Authenticator-App (z. B. Google Authenticator, Authy) generiert alle 30 Sekunden einen neuen sechsstelligen Code auf Basis eines gemeinsamen Geheimnisses und der aktuellen Uhrzeit. TOTP ist eine weit verbreitete Methode für Zwei-Faktor-Authentifizierung und funktioniert offline. Im ISMS wird TOTP als Maßnahme zur Absicherung privilegierter Zugänge eingesetzt. Im Vergleich zu SMS-Codes gilt TOTP als sicherer, da es nicht über das Mobilfunknetz abgefangen werden kann.