Einmaliges Kennwort konfigurieren

Auf dieser Seite können Sie den Dienst für einmalige Kennwörter (one-time password, OTP) aktivieren und konfigurieren.
1. Gehen Sie zu Konfigurieren > Authentifizierung > Einmaliges Kennwort und klicken Sie auf Einstellungen.
2. Aktivieren Sie den Dienst für das einmalige Kennwort, indem Sie auf AN/AUS klicken.
3. Legen Sie den OTP-Dienst-Status fest.
OTP für alle Benutzer
Wenn aktiviert, müssen alle Benutzer einmalige Kennwörter verwenden. Wenn nur bestimmte Benutzer einmalige Kennwörter verwenden sollen, deaktivieren Sie diese Option und wählen Sie Benutzer oder Gruppen aus der Liste aus oder fügen sie welche hinzu.
OTP-Token für Benutzer automatisch erstellen
Wenn diese Option aktiviert ist, wird autorisierten Benutzern ein QR-Code zur Softwarekonfiguration auf dem Mobilgerät angezeigt, wenn sie sich das nächste Mal im Benutzerportal anmelden. Damit dies funktioniert, stellen Sie sicher, dass die Benutzer Zugriff auf das Benutzerportal haben. Wenn sich ein Benutzer im Benutzerportal anmeldet, wird das entsprechende Token in der Liste OTP-Token angezeigt. Es empfiehlt sich, diese Funktion zu aktivieren, wenn Sie Soft-Token auf Mobilgeräten verwenden. Wenn die Benutzer nur Hardware-Token verwenden, sollten Sie stattdessen die Option deaktivieren und die Token hinzufügen, bevor Sie die OTP-Funktion aktivieren.
OTP für Komponenten aktivieren
Hier wählen Sie die Sophos XG Firewall-Komponenten aus, auf die die ausgewählten Benutzer mit einmaligen Kennwörtern zugreifen sollen. Wenn Sie die Option OTP-Token automatisch für Benutzer erstellen auswählen, muss aus Sicherheitsgründen das Benutzerportal aktiviert sein: Da das Benutzerportal Zugriff auf die OTP-Token gewährt, sollte es selbst über mindestens den gleichen Schutz verfügen.
* Wenn Sie WebAdmin auswählen, müssen Sie sicherstellen, dass die ausgewählten Benutzer Zugriff zu das OTP-Token haben. Sonst könnten Sie sie dauerhaft abmelden.
4. Legen Sie die Zeitschritt-Einstellungen fest.
Standard-Token-Zeitschritt in Sekunden
Um die Generierung einmaliger Kennwörter auf dem Mobilgerät und in Sophos XG Firewall zu synchronisieren, müssen die beiden Zeitschritte übereinstimmen. Einige Hardware-Token arbeiten mit einem Zeitschritt von 60 Sekunden. Andere Software-OTP-Token verwenden einen Zeitschritt von 30 Sekunden, der hier dem Standardwert entspricht. Wenn die Zeitschritte nicht übereinstimmen, schlägt die Authentifizierung fehl.
Zulässiger Bereich: 10 - 300 Sekunden
Standard: 30 Sekunden
Maximale Schritte der Sicherheitscodeverzögerung
Mit dieser Option können Sie die maximale initiale Sicherheitscodeverzögerung in Zeitschritten festlegen. Dies bedeutet, dass wenn Sie zum Beispiel 3 Zeitschritte angegeben haben, die Uhr des Tokens nicht mehr als 3 Zeitschritte zwischen zwei Anmeldungen abweichen darf.
Zulässiger Bereich: 0 – 10 Schritte
Standard: 1 Schritt
Maximale Schritte der initialen Sicherheitscodeverzögerung
Mit dieser Option können Sie die maximale initiale Sicherheitscodeverzögerung in Zeitschritten festlegen. Dies bedeutet, dass wenn Sie zum Beispiel 10 Zeitschritte angegeben haben, die Uhr des Tokens nicht mehr als 10 Zeitschritte zwischen zwei Anmeldungen abweichen darf. Diese Option wird nur angewendet, wenn der Benutzer das Token zum ersten Mal anwendet.
Zulässiger Bereich: 0 – 600 Schritte
Standardbereich: 10 Schritte
5. Klicken Sie auf Übernehmen.