{"id":2149,"date":"2010-08-29T11:56:00","date_gmt":"2010-08-29T09:56:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/ssl-100-one-time-password-per-sms\/"},"modified":"2016-08-23T15:04:03","modified_gmt":"2016-08-23T13:04:03","slug":"ssl-100-one-time-password-per-sms","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/08\/ssl-100-one-time-password-per-sms\/","title":{"rendered":"SSL 100: One Time Password per SMS"},"content":{"rendered":"<p>Die einfachste Form der <strong>User Authentication an einer WatchGuard SSL 100<\/strong> ist die Kombination aus Benutzername und Kennwort, <em>WatchGuard SSL Password<\/em>. Die User und Kennw\u00f6rter k\u00f6nnen auf der SSL100 selbst gepflegt werden oder es erfolgt ein Mapping zu einer externen Benutzerdatenbank, z.B. einem Active Directory. Damit nicht die unbefugte Weitergabe der Zugangsdaten an Dritte die Sicherheit der internen Daten und Programme gef\u00e4hrdet, kann eine zweite Komponente  die Sicherheit erh\u00f6hen: eine <strong>Two-Factor Authentication<\/strong>, also die Kombination aus Wissen und Besitz oder Biometrie). Neben der Kenntnis von Benutzername und Kennwort ist auch noch eine <strong>zweite Komponente<\/strong> erforderlich, z.B. ein OTP Token als Schl\u00fcsselanh\u00e4nger, der zeitgesteuert z.B. alle 60 Sekunden eine neue 6-stellige Zahl anzeigt, die bei der Anmeldung zus\u00e4tzlich abgefragt wird. Hersteller sind u.a. RSA und <a href=\"http:\/\/www.boc.de\/hersteller\/vasco.html\" target=\"new\"><strong>VASCO<\/strong><\/a>. Alternativ ist es auch m\u00f6glich, das <strong>Einmal-Kennwort per E-Mail<\/strong> (z.B. an BlackBerry Handhelds, iPhone oder andere Mobile E-Mail Devices) zu versenden &#8211; oder <strong>per SMS auf ein beliebiges Mobiltelefon<\/strong>.<br \/>Wenn das One Time Password (OTP) per SMS versendet werden soll, bedient man sich in der Regel eines SMS-Providers, bei dem man ein gewisses Kontingent an SMS einkauft. Ein <u>m\u00f6glicher<\/u> Anbieter ist <a href=\"http:\/\/www.clickatell.com\/\" target=\"new\">Clickatell<\/a>. Nach der Aktivierung eines Accounts und dem Kauf eines SMS-Kontingents (hier 400 SMS f\u00fcr 17,60 EUR = 4,4 ct pro SMS) bekommt man von Clickatell drei Zugangsinformationen zugewiesen: USERNAME, PASSWORD und API_ID. Diese drei Angaben ersetzen die Platzhalter in folgender URL: https:\/\/api.clickatell.com\/http\/sendmsg?user=USER&#038;password=PASSWORD&#038;api_id=API&#038;to=[$user-mobile]&#038;text=[$message].<br \/>In der Konfiguration der WatchGuard SSL100 wird diese URL an folgender Stelle eingetragen: <em>Manage System > Notification Settings > SMS Channel > Add SMS Channel > Plugin = HTTP-Plugin > URL > Save > Save (!!!) > Publish (!!!)<\/em><br \/>Au\u00dferdem muss sichergestellt sein, dass <em>WatchGuard SSL Mobile Text<\/em> generell als Authentication Methode enabled ist und auch in den entsprechenden Userkonten, die dieses Verfahren nutzen sollen. Dort muss ebenfalls die Mobilfunknummer eingetragen werden, an die die SMS geschickt werden soll (hier im Format 49171xxxxxxx). Die Nutzung des SMS-OTP macht nat\u00fcrlich nur dann Sinn, wenn in den betreffenden User-Accounts die Anmeldemethode <em>WatchGuard SSL Password<\/em> <strong>disabled<\/strong> wird, denn sonst w\u00e4re ja nach wie vor die einfache Anmeldung nur mit Benutzername und Kennwort m\u00f6glich. Beim Aufruf der Anmeldeseite w\u00e4hlt der User also <em>WatchGuard SSL Mobile Text<\/em> aus und meldet sich zun\u00e4chst mit seinem regul\u00e4ren Benutzernamen und Kennwort an:<\/p>\n<p><a href=\"http:\/\/2.bp.blogspot.com\/_haYpXd-8uFA\/THpKMyh240I\/AAAAAAAAAI8\/-jxfsck2Vpo\/s1600\/SSL100-SMS-OTP-0.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 307px; height: 320px;\" src=\"http:\/\/2.bp.blogspot.com\/_haYpXd-8uFA\/THpKMyh240I\/AAAAAAAAAI8\/-jxfsck2Vpo\/s320\/SSL100-SMS-OTP-0.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5510798677623890754\" \/><\/a><\/p>\n<p><a href=\"http:\/\/4.bp.blogspot.com\/_haYpXd-8uFA\/THpKPddGP6I\/AAAAAAAAAJE\/slQ8zCWFlaU\/s1600\/SSL100-SMS-OTP-1.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 307px; height: 320px;\" src=\"http:\/\/4.bp.blogspot.com\/_haYpXd-8uFA\/THpKPddGP6I\/AAAAAAAAAJE\/slQ8zCWFlaU\/s320\/SSL100-SMS-OTP-1.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5510798723506388898\" \/><\/a><\/p>\n<p>Dadurch wird die Erzeugung des SMS-OTP angesto\u00dfen und wenige Sekunden sp\u00e4ter kommt eine SMS an. Als Absender der SMS tritt bei Clickatell eine +44 Nummer in Erscheinung, da das Gateway wohl in Gro\u00dfbritannien betrieben wird. Der Standard-Text der SMS lautet: Your OTP is xxxxxx. Enter it to login with Mobile Text. Anschlie\u00dfend steht die gewohnte Portaloberfl\u00e4che mit den freigegebenen Icons zur Verf\u00fcgung.<\/p>\n<p><a href=\"http:\/\/1.bp.blogspot.com\/_haYpXd-8uFA\/THpKP2g5SJI\/AAAAAAAAAJM\/a8xkq28vWX0\/s1600\/SSL100-SMS-OTP-2.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 307px; height: 320px;\" src=\"http:\/\/1.bp.blogspot.com\/_haYpXd-8uFA\/THpKP2g5SJI\/AAAAAAAAAJM\/a8xkq28vWX0\/s320\/SSL100-SMS-OTP-2.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5510798730233202834\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die einfachste Form der User Authentication an einer WatchGuard SSL 100 ist die Kombination aus Benutzername und Kennwort, WatchGuard SSL Password. Die User und Kennw\u00f6rter k\u00f6nnen auf der SSL100 selbst gepflegt werden oder es erfolgt ein Mapping zu einer externen Benutzerdatenbank, z.B. einem Active Directory. Damit nicht die unbefugte Weitergabe der Zugangsdaten an Dritte die Sicherheit der internen Daten und Programme gef\u00e4hrdet, kann eine zweite &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/08\/ssl-100-one-time-password-per-sms\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">SSL 100: One Time Password per SMS<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[69,301,329,311,304,330,312],"class_list":["post-2149","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-active-directory","tag-https","tag-one-time-password","tag-ssl-100","tag-ssl-vpn","tag-two-factor-authentication","tag-user-authentication"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2149"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2149"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2149\/revisions"}],"predecessor-version":[{"id":2318,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2149\/revisions\/2318"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2149"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2149"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2149"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}