Hardware Sicherheitsschlüssel YubiKey Bio - FIDO Edition

[NASSucher]

Hallo zusammen,

ich spiele mit dem Gedanken bei mir die Anmeldung sicherer zu machen mit Hilfe einem Hardware Sicherheitsschlüssel in dem Fall den YubiKey Bio - FIDO Edition
Unter Synology gibt es eine Liste von kompatiblen allerdings komme ich mit den Bezeichnungen nicht klar.

1.) Würde dieser mit dem Synology NAS funktionieren?
2.) Was passiert bei einem Defekt oder Verlust des Schlüssels, kann ich mich dann trotzdem noch anmelden?

 

[plang.pl]

1.) Würde dieser mit dem Synology NAS funktionieren?

Ich bin mir ziemlich sicher, dass das nicht geht

 

[NASSucher]

OK, war mein Gedankengang falsch oder die Frage falsch gestellt?
Ich dachte ich könnte die Admin Anmeldung darüber sicherer machen wenn ich mich über meinen PC auf dem NAS einlogge. Sprich Einlogg Versuche über das Admin Konto nur noch mit Unterstützung einen Extra Schlüssels.

 

[plang.pl]

DSM kann das so nicht umsetzen

 

[Jim_OS]

Unter Synology gibt es eine Liste von kompatiblen allerdings komme ich mit den Bezeichnungen nicht klar.

Die Liste ist vom Juli 2021 und inzwischen werden von DSM offiziell nur noch USB Speichermedien unterstützt. Wenn irgendein USB-Sicherheitsschlüssel noch funktionieren sollte dann wohl nur mit "Bastelarbeit".

Statt eines USB-Schlüssels solltest Du einfach mal die 2FA in Betracht ziehen, wenn es um eine zusätzliche Sicherheit bei der Anmeldung geht.

VG Jim

 

[Synchrotron]

Synology bietet eine eigene Lösung für 2FA, alternativ zu den bekannten zeitbasierten Ziffercodes.

Die Lösung von Synology heißt SecureSignIn. Dabei lädt man sich eine App auf das Handy und verknüpft sie mit dem Synology-Konto und der / den DS - für jeden User eine eigene Verbindung. Wenn man sich dann anmeldet, geht eine Abfrage an die App, man bestätigt dort, und ist drin. Alternativ stellt die App auch selbst 6-Stellige zeitbasierte Codes zur Verfügung, falls man mal offline sein sollte.

Das Anmelden mit SecureSignIn klappt sehr gut. Was für mich eine super Sache ist: Die App gibt es auch für die Apple Watch (ich glaube auch für Android-Watches). Kein Fummeln nach dem Handy - Anmelden, kurz warten, ein Bing am Handgelenk, 1x bestätigen, fertig.

Wenn man „nicht noch eine App“ haben will, dann halt mit den Ziffercodes. Ich habe Authy verwendet, ebenfalls auf der Watch und dem iPhone. Auch gut, aber nicht ganz so komfortabel.

 

[NASSucher]

Was passiert wenn dies eingerichtet ist und z.B. die App vom iPhone gelöscht ist oder das iPhone verloren geht.
Wie kann man sich dann noch anmelden?

 

[Synchrotron]

Worst case indem du (mit physischem Zugriff) deine DS zurück setzt, dadurch den default Admin wieder aktivierst und dich dann neu einrichtest. Du kannst die App aber auf verschiedenen Geräten installieren, und es funktionieren auch die Ziffercodes, falls es mal mit der Online-Verbindung hakt.

Grundsätzlich kannst du 2FA machen, wie du willst - wenn du / jemand körperlich Zugang zur DS hat, kann das Anmelden umgangen werden. Also zusätzlich besser die Verschlüsselung der User aktivieren, in deren Verzeichnissen relevante Daten liegen.

Ist der Hardware-Key weg, dürfte es ähnlich aussehen.

 

[NASSucher]

Ok danke für die Hilfe und Infos.

 

[sky63]

Ich hab es zwar nicht ausprobiert aber laut Synology unterstützt DSM 7.1 FIDO2 Hardware Token als zweiten Faktor bei Secure SignIn. Und auch wenn die Liste von 07.2021 ist, ist es ja die aktuell gültige.
Sicher das das nicht geht?

Gruss,
Sky

 

[Jim_OS]

inzwischen werden von DSM offiziell nur noch USB Speichermedien unterstützt.

Korrektur: Zumindest bei der Synology 2FA lässt sich ein USB-Stick noch auswählen.


Somit könnte/sollte es doch funktionieren.

VG JIm

 

[alexhell]

Ich verstehe die Diskussion nicht, dass Synology nur noch Speichermedien als USB akzeptiert. Der Stick wird doch nicht an die NAS angeschlossen sondern an das Gerät, dass sich anmelden will. Würde ja sonst keinen Sinn machen, wenn man sich nur zu Hause anmelden kann. Und da DSM dies implementiert hat, wüsste ich nicht wieso es nicht gehen soll.

 

[Jim_OS]

Was mich betrifft: Ich habe leider keine Ahnung wie das Zusammenspiel zwischen USB Dongle und DS bzw. DSM ist. Das dieser dann an einen Client angeschlossen wird ist richtig.

Ob man auf einen USB Dongle setzen sollte wenn Synology scheibt

​

Wir haben die Kompatibilität von Sicherheitsschlüsseln von Drittanbietern auf Synology-Produkten getestet und überprüft. Allerdings können die Tests in den Synology-Labors nicht alle Aspekte abdecken. Außerdem können Änderungen an Firmware oder Hardware die Gerätekompatibilität und Stabilität beeinträchtigen. Synology garantiert nicht die Kompatibilität mit Sicherheitsschlüsseln von Drittanbietern und behält sich das Recht vor, diese Liste jederzeit ohne vorherige Ankündigung zu aktualisieren.​

muss jeder für sich selber entscheiden.

VG Jim

 

[alexhell]

Das ist eigentlich echt traurig... Weil ein Yubikey ist eigentlich ein Standard Key. Und wenn sie sowas anbieten und es dann irgendwann nicht garantieren können bzw. wollen, dass es weiterhin funktioniert dann ist das ein Armutszeugnis von Synology finde ich. Ich persönlich will nicht für alles eine extra App haben.

 

[Jim_OS]

Ich habe mich auch lange gegen eine 2FA "gesträubt", aber a) ist es ja eine zusätzliche Sicherheitsebene und b) wird es von immer mehr Anbietern/Diensten (zwangsweise) verlangt. Ich nutze dafür den Google Authenticator weil dieser a) von so ziemlich jeden Anbieter/Dienst unterstützt wird und man b) irgendeine "Kröte schlucken" muss. Google's Sammelwut hin oder her, aber da ich eh auf/mit x Geräten Android nutze macht der Google Authenticator den Kohl auch nicht mehr fett.

VG Jim

 

[Synchrotron]

Der Authenicator muss vom Anbieter überhaupt nicht unterstützt werden. Manche Anbieter schreiben zwar „Google-Autheticator“, aber das ist Unfug. Man kann für die 6-stelligen, zeitbasierten Ziffercodes jeden Authenticator nehmen, der sie nach dem Standardverfahren erzeugt.

Der Microsoft-Authenticator erzeugt sie ebenso, viele Passwortmanager tun es, viele Apps (manche allerdings nur für ihren eigenen Einsatzzweck). Den Passwortmanager auch für den zweiten Faktor finde ich schlecht, weil dann beide Teile des Schlüssels am gleichen Ort liegen.

Meine persönliche Präferenz ist Authy: Plattformübergreifend, z.B. auch für die Apple Watch, gut auf mehreren Geräten zu installieren, schlank, unabhängiger Anbieter, für private Nutzung kostenlos.

 

[alexhell]

Ja bei TOTP kann man jede App nutzen, die das unterstützt. Aber bei einem Yubikey muss der Anbieter das schon unterstützen.

 

[Jim_OS]

@Synchrotron
Zu Teil 1: Jepp

Zu Teil 2: Ich nutze halt den Google Authenticator weil ich eh div. Dienste von Google nutze. Jeder Authenticator hat sicherlich irgendwelche Vor- und Nachteile. Bei Authy hat mich z.B. gestört das man dort - sofern das immer noch so ist - erst einen Account mit Handy-Nr. und Email anlegen muss und das die 2FA Daten in einer Cloud gespeichert werden. Klar sonst wäre plattformübergreifend wohl schlecht möglich.

So wird wohl jeder seine Präferenzen haben. Wer eh viel von Google nutzt nutzt ggf. den Google Authenticator. Wer viel von MS nutzt nutzt ggf. den MS Authenticator, .... Apple .... usw. Ich wollte nicht noch einen zusätzlichen Dienst(anbieter) für die 2FA nutzen, auch wenn dieser kostenlos ist, wenn ich Google Dienste eh nutze.

Ach ja: Weil ich viel Linux nutze war die Anwendung des Google Authenticator dafür damals die "Standard-Vorgehensweise" über die ich als erstes gestolpert bin: sudo apt install libpam-google-authenticator -y

VG Jim

 

[Kachelkaiser]

Ich schmeiße hier mal noch AEGIS mit in die Runde: ohne Cloud, Open Source, Backup-Fähigkeit, die man in Kombi mit versch. Tools auch als Sync verwenden kann.

https://github.com/beemdevelopment/Aegis
https://getaegis.app/

 

[NSFH]

Also um es abzukürzen: Yubikey funktioniert sowohl in der passwortlosen Authentifizierung durch blosses Anstecken an den PC als auch für 2FA!
Wird auch so auf der Yubikey Homepage beschrieben.
Ist ungemein praktisch, wenn man nicht ständig sein Smartphone nutzen will/kann. Wer da schon mal im Keller im Serverraum war und dort der GSM Empfang=Null ist weiss wo der praktische Nutzen gegenüber einem Authenticator liegt.

Die obige Anmerkung Synology unterstützt keine USB-Sticks ist sinnfrei, weil die Anmeldung über einen PC erfolgt und nicht an der Syno selbst.