Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Popup zu aktuellen Hinweisen nicht mehr anzeigen
Statistik & Tracking
Endgeräteerkennung
Google Analytics
Partnerprogramm
Filter schließen

Einmaliges Kennwort (OTP)

01.12.15 00:00

Auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Einmaliges Kennwort können Sie den Dienst für einmalige Kennwörter (OTP) konfigurieren und die Token der Benutzer einmaliger Kennwörter überwachen oder bearbeiten. Einmalige Kennwörter sind eine Methode zur Verbesserung der Sicherheit für kennwortbasierte Authentifizierung. Das benutzerspezifische Kennwort, das manchmal zu schwach ist, wird durch ein einmaliges Kennwort ergänzt, das für nur eine Anmeldung gültig ist. Selbst wenn ein Angreifer in den Besitz des Kennworts gelangt, kann er sich deshalb nicht damit anmelden.

Einmalige Kennwörter ändern sich im Allgemeinen ständig und in regelmäßigen Abständen. Sie werden automatisch durch einen bestimmten Algorithmus berechnet. Bald nachdem ein neues Kennwort berechnet wird, läuft das alte Kennwort automatisch ab. Um einmalige Kennwörter zu generieren, benötigt der Benutzer entweder ein Mobilgerät mit entsprechender Software oder spezielle Hardware oder ein Sicherheitstoken. Hardware-Token können von Beginn an verwendet werden. Der Endbenutzer muss auf dem Mobilgerät Google Authenticator oder eine ähnliche Software installieren und die Konfiguration implementieren, die im Benutzerportal als QR-Code, auf der Startseite oder auf der Seite OTP-Token verfügbar ist (siehe Seite Benutzerportal). Danach kann das Gerät einmalige Kennwörter in Token-spezifischen Intervallen generieren. Datum und Uhrzeit müssen auf dem Mobilgerät korrekt eingestellt sein, da der Zeitstempel bei der Generierung einmaliger Kennwörter verwendet wird.

Hinweis – Um eine Authentifizierung für die Komponenten, für die ein einmaliges Kennwort erforderlich ist, durchzuführen, muss der Benutzer sein benutzerspezifisches UTM-Kennwort und direkt im Anschluss das einmalige Kennwort eingeben.

Der Administrator kann ebenfalls einmalige Kennwörter manuell generieren. Diese werden dann als Passcodes bezeichnet. In diesem Fall müssen Sie sicherstellen, dass diese zeitlich unbegrenzten einmaligen Kennwörter sicher zum Benutzer übertragen werden. Dieser Vorgang sollte jedoch nur eine Übergangslösung sein, beispielsweise, wenn ein Benutzer vorübergehend keinen Zugriff auf das Gerät hat, mit dem er Kennwörter generiert.

Hinweis – Sobald ein OTP-Token erstellt wurde wird rechts in der Tabelle ein Info-Symbol angezeigt. Sie können den QR-Code und dessen Details ansehen, indem Sie auf das Info-Symbol klicken.

Aktivierung und Konfiguration des Dienstes für einmalige Kennwörter

Zur Konfiguration des Dienstes für einmalige Kennwörter sind folgende Schritte erforderlich:

  1. Nehmen Sie im Bereich OTP-Einstellungen die folgenden Einstellungen vor:

    Alle Benutzer müssen einmalige Kennwörter (OTP) verwenden: Standardmäßig ist diese Option aktiviert und alle Benutzer müssen einmalige Kennwörter verwenden. Wenn nur bestimmte Benutzer einmalige Kennwörter verwenden sollen, deaktivieren Sie die Option und wählen Sie Benutzer oder Gruppen aus oder fügen Sie sie im Feld hinzu.

    Achtung – Wenn Sie die Funktion Alle Benutzer müssen einmalige Kennwörter (OTP) verwenden deaktiviert haben, hat dies automatisch Auswirkungen auf den Bereich Benutzer/Gruppen in anderen Teilen von UTM. Zum Beispiel Umkehrauthentifizierung.

    Hinweis – Die Option Benutzer automatisch erstellen muss für Benutzer mit Hintergrundauthentifizierung aktiviert sein. Diese Option finden Sie im Bereich Definitionen & Benutzer > Authentifizierungsdienste > Allgemeine Einstellungen > Automatische Benutzererstellung.

    OTP-Token automatisch für Benutzer erstellen: Wenn diese Option ausgewählt ist, wird autorisierten Benutzern ein QR-Code zur Softwarekonfiguration auf dem Mobilgerät angezeigt, wenn sie sich das nächste Mal im Benutzerportal anmelden. Damit dies funktioniert, stellen Sie sicher, dass die Benutzer Zugriff auf das Benutzerportal haben (siehe Seiten Verwaltung > Benutzerportal). Wenn sich ein Benutzer im Benutzerportal anmeldet, wird das entsprechende Token in der Liste OTP-Token angezeigt. Es empfiehlt sich, diese Funktion zu aktivieren, wenn Sie Soft-Token auf Mobilgeräten verwenden. Wenn die Benutzer nur Hardware-Token verwenden, sollten Sie stattdessen die Option deaktivieren und die Token hinzufügen oder importieren, bevor Sie die OTP-Funktion aktivieren.

    OTP für Komponenten aktivieren: Hier wählen Sie die UTM-Komponenten aus, auf die die ausgewählten Benutzer mit einmaligen Kennwörtern zugreifen sollen. Wenn Sie die Option OTP-Token automatisch für Benutzer erstellen aktivieren, muss aus Sicherheitsgründen das Benutzerportal aktiviert sein: Da das Benutzerportal Zugriff auf die OTP-Token gewährt, sollte es selbst über mindestens den gleichen Schutz verfügen. Um OTP für sicheren Shell-Zugriff zu aktivieren, müssen Sie für die entsprechenden Token zusätzlich die Verwendung für Shell-Zugriff aktivieren (siehe Manuelles Hinzufügen oder Bearbeiten von OTP-Token). Die entsprechenden Benutzer müssen sich dann mit dem zugehörigen Kennwort, an das das einmalige Kennwort angehängt wird, als loginuser anmelden.

    Achtung – Stellen Sie insbesondere dann, wenn Sie den WebAdmin oder Shell-Zugriff zur Verwendung mit OTP auswählen, sicher, dass die ausgewählten Benutzer Zugriff auf die Token für einmalige Kennwörter haben. Andernfalls ist es möglich, dass Sie sie permanent abmelden.

  2. Nehmen Sie im Bereich Zeitschritt-Einstellungen die folgenden Einstellungen vor:

    Standard-Token-Zeitschritt: Um die Generierung einmaliger Kennwörter auf dem Mobilgerät und in der UTM zu synchronisieren, müssen die beiden Zeitschritte übereinstimmen. Einige Hardware-Token arbeiten mit einem Zeitschritt von 60 Sekunden. Andere Software OTP-Token verwenden einen Zeitschritt von 30 Sekunden, der hier dem Standardwert entspricht. Wenn die Zeitschritte nicht übereinstimmen, schlägt die Authentifizierung fehl. Der hier eingegebene Wert wird automatisch für jedes neue OTP-Token verwendet. Der erlaubte Bereich für den Zeitschritt ist 10-120.

    Maximale Kennwortverzögerung: Mit dieser Option können Sie die maximale Kennwortverzögerung in Zeitschritten festlegen. Dies bedeutet, dass wenn Sie zum Beispiel 3 Zeitschritte angegeben haben, die Uhr des Tokens nicht mehr als 3 Zeitschritte zwischen zwei Anmeldungen abweichen darf. Die maximale Kennwortverzögerung verlangt einen Bereich von 0-10.

    Maximale initiale Kennwortverzögerung: Mit dieser Option können Sie die maximale initiale Kennwortverzögerung in Zeitschritten festlegen. Dies bedeutet, dass wenn Sie zum Beispiel 10 Zeitschritte angegeben haben, die Uhr des Tokens nicht mehr als 10 Zeitschritte zwischen zwei Anmeldungen abweichen darf. Die maximale initiale Kennwortverzögerung verlangt einen Bereich von 0-600.

  3. Klicken Sie auf Übernehmen.

    Ihre Einstellungen werden gespeichert.

  4. Wenn Sie Hardware-Token verwenden, importieren Sie sie oder fügen Sie sie im Bereich OTP-Token hinzu.

    Klicken Sie rechts oberhalb der Liste auf das Importsymbol. Wählen Sie die Methode CSV-Import. Fügen Sie dann die Daten im CSV-Format in das Textfeld ein und klicken Sie auf Speichern.

    PSKC hochladen: OTP-Token, die den OATH-TOPT-Standard verwenden, werden meist als Datei geliefert, die Seriennummern und Schlüssel im PSKC-Format enthalten. Für verschlüsselte Dateien wird der Entschlüsselungsschlüssel meistens auf papierbasis zur Verfügung gestellt. Das standardisierte PSKC-Schema Version 1.0 wird unterstützt (siehe: https://tools.ietf.org/html/rfc6030).

    Hinweis – Zusätzliche Informationen über das TOTP-Profil finden Sie in folgendem Konzept: draft-hoyer-keyprov-pskc-algorithm-profiles-01.txt.

    Klicken Sie rechts oberhalb der Liste auf das Importsymbol. Wählen Sie die Methode PSKC hochladen. Wählen Sie die gewünschte Datei aus und klicken Sie Upload starten. Wenn die Datei verschlüsselt ist, geben Sie den Entschlüsselungsschlüssel ein und klicken Sie Speichern.

    Hinweis – Die Sophos unterstützt lediglich verteilte Schlüssel mit AES/SHA1, aber keine Public-Key-Verschlüsselung/Authentifizierung.

    CSV-Import: Verwenden Sie die vom Verkäufer des Hardware-Token erhaltenen Daten, um eine CSV-Datei zu erzeugen. Verwenden Sie Semikola und UTF-8-Codierung. Die Datei muss drei Spalten mit folgendem Inhalt enthalten: Schlüssel, Zeitschritt, Kommentar. Der Schlüssel - eine eindeutige, gerätespezifische Zeichenfolge - ist vorgeschrieben und sollte im Hexadezimalformat sein und mindestens 128 Bit lang sein. Die anderen Spalten können leer sein. Wenn kein Zeitschritt angegeben wird, wird der Zeitschritt für das Standard-Token, der im Bereich OTP-Einstellungen festgelegt wird, verwendet.

    Nach dem Import/Hochladen können Sie die Einträge mit Hilfe der Schaltfäche Bearbeiten editieren. Außerdem können Sie immer einzelne Einträge hinzufügen, indem Sie auf das Plussymbol klicken (siehe Manuelles Hinzufügen oder Bearbeiten von OTP-Token).

  5. Aktivieren Sie den Dienst für einmalige Kennwörter.

    Klicken Sie auf den Schieberegler oben auf der Seite. Der Schieberegler wird grün.

Wenn OTP-Token automatisch für Benutzer erstellen aktiviert ist, erstellt die UTM den OTP-Token-Eintrag automatisch, sofern er nicht vorab generiert wurde, wenn sich ein Benutzer, für den die Authentifizierung mit einem einmaligen Kennwort konfiguriert ist, erstmals im Benutzerportal anmeldet. Außerdem ist das Zurücksetzensymbol des Eintrags aktiviert.

Mithilfe des Schiebereglers eines Eintrags können sie diesen deaktivieren, zum Beispiel, wenn der Benutzer sein Hardware-Token verloren hat. Mit dem entsprechenden Symbol können Sie einen Eintrag löschen, beispielsweise, wenn ein Hardware-Token beschädigt ist. Achten Sie darauf, dass, wenn die Option OTP-Token automatisch für Benutzer erstellen aktiviert ist, der Benutzer in beiden Fällen eine erneute Authentifizierung durchführen kann, da er Zugriff auf den Token-Schlüssel hat. In der Liste OTP-Token wird ein neuer Eintrag angezeigt.

Rechts oberhalb der Liste OTP-Token befinden sich ein Suchfeld und Navigationssymbole, mit denen Sie in der Liste navigieren und ihre Einträge filtern können.

Querverweis – Detaillierte Informationen zur Konfiguration von OTP finden Sie in der Sophos Knowledgebase.

Symbol

Im Bereich OTP-Token gibt es einige zusätzliche Symbole

Symbole mit Funktion Bedeutung
Setzt den Token auf den Status "niemals verwendet", den sogenannten initialen Status. Wenn das Zurücksetzen ausgeführt wurde sieht der Benutzer den QR-Code bei der nächsten Anmeldung im Benutzerportal wieder. Die zurücksetzen-Funktion steht zur Verfügung, wenn sich der Benutzer mindestens ein Mal mit OTP angemeldet hat.
Zeigt an, dass das Token so konfiguriert ist, dass es für den entfernten Shell-Zugriff verwendet werden kann.
Zeigt an, dass die Token-Information nicht im Benutzerportal angezeigt wird.
Zeigt zusätzliche Token-Codes an.
Ermöglicht Ihnen, die Zeitverzögerung des Tokens anzusehen.
Zeigt den QR-Code des Tokens und seine Informationen an.

Manuelles Hinzufügen oder Bearbeiten von OTP-Token

Sie können OTP-Token hinzufügen oder bearbeiten.

Tipp – Normalerweise fügen Sie keine einzelnen OTP-Token hinzu, sondern importieren sie entweder – wenn es sich um Hardware-Token handelt – oder generieren sie automatisch auf einem Mobilgerät mit der Option OTP-Token automatisch für Benutzer erstellen.

  1. Öffnen Sie das Dialogfenster, um das OTP-Token hinzuzufügen oder zu bearbeiten.

    Um ein OTP-Token hinzuzufügen, klicken Sie rechts oberhalb der Liste OTP-Token auf das grüne Plussymbol.

    Um ein OTP-Token zu bearbeiten, klicken Sie auf das Bearbeitensymbol vor dem entsprechenden Eintrag in der Liste OTP-Token.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Benutzer: Wählen Sie den Benutzer, dem das Token zugewiesen werden soll, aus oder fügen Sie ihn hinzu.

    Schlüssel: Dies ist der vereinbarte Schlüssel des Hardware-Tokens oder Soft-Tokens des Benutzers. Ein Hardware-Token verfügt über einen unveränderlichen Schlüssel, der vom Hardwarehersteller festgelegt wird. Das Soft-Token wird nach dem Zufallsprinzip von der UTM generiert, wenn OTP-Token automatisch für Benutzer erstellen aktiviert ist. Der Schlüssel sollte im Hexadezimalformat vorliegen und 128 bit lang sein.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu. Dieser Text wird mit dem QR-Code im Benutzerportal angezeigt. Wenn Sie verschiedene Token für eine Person festlegen, z.B. ein Hardware-Token und ein Soft-Token für das Mobiltelefon, ist es sinnvoll, hier eine Erläuterung anzugeben, da dem Benutzer alle QR-Codes nebeneinander angezeigt werden.

  3. Optional können Sie die folgende erweiterte Einstellung vornehmen:

    Benutzerdefinierten Token-Zeitschritt verwenden: Wenn Sie einen anderen Zeitschritt als den im Bereich OTP-Einstellungen festgelegten Standardzeitschritt für Token benötigen, aktivieren Sie diese Option und geben Sie den Wert ein. Der hier festgelegte Zeitschritt muss mit dem Zeitschritt auf dem Gerät, das der Benutzer zur Kennwortgenerierung verwendet, übereinstimmen. Ansonsten schlägt die Authentifizierung fehl.

    Token-Informationen im Benutzerportal verbergen: Wenn diese Option ausgewählt ist, wird das Token nicht im Benutzerportal angezeigt. Dies ist unter Umständen für Hardware-Token sinnvoll, für die keine Konfiguration erforderlich ist, oder wenn die Soft-Token beispielsweise nicht vom Endbenutzer konfiguriert werden sollen, sondern zentral vom Administrator.

    Token kann für Shell-Zugriff verwendet werden: Wenn diese Option ausgewählt ist, kann das Token für den Zugriff auf die UTM über die Kommandozeile verwendet werden. Damit dies funktioniert, muss Shell-Zugriff im Bereich OTP-Einstellungen aktiviert sein und Shell-Zugriff mit Kennwortauthentifizierung muss allgemein für die UTM aktiviert sein (siehe Verwaltung > Systemeinstellungen > Shell-Zugriff). OTP-Token mit Berechtigung für Shell-Zugriff weisen oben rechts ein Kommando-Shell-Symbol auf. Für Shell-Zugriff mit einem einmaligen Kennwort muss sich der Benutzer dann mit dem zugehörigen Kennwort, an das das einmalige Kennwort angehängt wird, als loginuser anmelden.

    Zusätzliche Codes (nur bei Bearbeitung eines OTP-Tokens): Sie können einmalige Kennwörter für Token manuell hinzufügen. Klicken Sie entweder auf das grüne Plussymbol, um jeweils ein einmaliges Kennwort einzugeben, oder verwenden Sie die Schaltfläche Generieren, um zehn einmalige Kennwörter auf einmal zu generieren. Sie können die einmaligen Kennwörter auch mithilfe des Aktionssymbols importieren oder exportieren. Diese einmaligen Kennwörter sind zeitlich unbegrenzt. Ein einmaliges Kennwort wird automatisch gelöscht, wenn sich der Benutzer damit anmeldet. OTP-Token mit zusätzlichen einmaligen Kennwörtern weisen rechts ein Plussymbol auf. Wenn Sie mit dem Mauszeiger darüber fahren, wird die Liste der einmaligen Kennwörter angezeigt.

  4. Klicken Sie auf Speichern.

    Ihre Einstellungen werden gespeichert.

OTP-Token-Zeit synchronisieren

Wenn Hardware-OTP-Token verwendet werden, kann es vorkommen, dass die eingebauten Quartz-Uhren langsamer laufen als die "echten" Uhren. Zum Beispiel die VASCO-Tokenspezifizierung erlaubt eine Zeitverzögerung von 2 Sekunden pro Tag. Nach einigen Monaten könnte die Zeitverzögerung des Hardware-Tokens so groß sein, dass sie nicht mehr den von der UTM berechneten OTPs übereinstimmt und auch so groß, dass sie nicht mehr mit den standardmäßig erwarteten OTP-Fenstern von +/- einem Token-Code entspricht. Also wird der OTP-Code in der UTM nicht erlaubt.

Jedes Mal, wenn ein Benutzer sich an UTM mit einem gültigen Token-Code anmeldet, berechnet UTM ob der Token-Code mehr als einen Zeitschritt entfernt ist oder nicht. Wenn ja, ändert UTM die Token-spezifische Zeitverzögerung automatisch.

Mit UTM können Sie die Zeitverzögerung berechnen und sie synchronisieren. Gehen Sie folgendermaßen vor:

  1. Klicken Sie im Bereich OTP-Token auf das Stoppuhr-Symbol

    Das Dialogfenster OTP-Token Zeit-Offset öffnet sich. Die aktuelle Verzögerung des Tokens wird angezeigt.

  2. Geben Sie den Token-Code ein.

    Der Token-Code ist eine sechsstellige Nummer die vom Hardware-Gerät erstellt wird.

  3. Klicken Sie auf Überprüfen.

    Das Ergebnis wird nach einigen Sekunden angezeigt. Wenn der Code gültig war, zeigt die Meldung an, ob und wie viele Zeitschritte das Token entfernt ist.

  4. Wenn Sie die Verzögerung des Tokens festlegen möchten, klicken Sie auf OK.

    Die Token-Verzögerungszeit ist aktualisiert.

  5. Klicken Sie auf Abbrechen.

    Das Dialogfenster schließt sich.

Related Topics Link IconVerwandte Themen
Schnelle Lieferung
PayPal Express
Qualifizierter Support
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung
Ablehnen Alle akzeptieren Konfigurieren