Gewöhnliche Passwörter – wie sicher sie auch immer gewählt werden – haben einen Nachteil: Kennt auch jemand anderes die Zeichenfolge, ist die Sicherheit nicht mehr gegeben. Eine Lösung wäre, das Kennwort häufig zu wechseln, aber selbst die vorbildlichsten Nutzer machen dies nicht stündlich. Die Lösung ist TOTP: ein Passwort, dass nur für einen kurzen Zeitraum gültig ist und dann wieder verfällt. Die Internet Engineering Task Force (IETF) hat den Time-based One-time Password Algorithm 2011 im RFC 6238 veröffentlicht, um für mehr Sicherheit im Internet zu sorgen.
Besonders beliebt sind solche Einmalpasswörter im Zuge von Multi-Faktor-Authentifizierung. Dabei verwenden Nutzer zur Anmeldung bei einem Webdienst zunächst ihr persönliches, feststehendes Kennwort; zusätzlich wird ein zeitbegrenztes Passwort zu genau diesem Anmeldevorgang erzeugt. Der Nutzer erhält dies z. B. per App oder durch ein extra dafür vorgesehenes Gerät (Token).
Ist das Passwort einmal genutzt oder wird in einem bestimmten Zeitraum nicht genutzt, verfällt es. Kriminellen wird es somit sehr schwer gemacht, den zweiten Faktor zu bekommen. Auch wenn sie das eigentliche Passwort kennen, haben sie nur wenige Möglichkeiten, auch das TOTP zu erlangen, bzw. keine Zeit, dieses zu knacken.