DSM 7.1 2-FA und neues Handy, komplett ausgesperrt

[Argentum85]

Liebe alle,

Bin neu hier und eröffne diesen Beitrag, da ich bisher nicht fündig geworden bin.
Auf meinem NAS ist die aktuellste DSM 7.1 installiert und letzte Woche habe ich mein neues Handy erhalten.
Die letzten Wochen wurde ich überflutet mit Mails bzgl. gescheitertem Login von ausserhalb. Also habe ich die Mailbenachrichtigung deaktiviert. Auch das Admin-Konto ist inaktiv.
Leider...habe ich vergessen bzw. nicht gewusst, dass man das Telefon neu koppeln muss mit Secure Sign.
In meinem Synology Account habe ich das neue Handy gekoppelt und auch ein OTP erstellt. Beim Login wird jedoch der generierte Code immer abgewiesen und ich weiss nicht warum!
Die Methode mit der Anmeldegenehmigung funktioniert nicht, da springt nix auf.
Die Methode mit der "Telefon verloren" bringt nichts ausser der Fehlermeldung, dass die E-Mail-Benachrichtiung deaktiviert ist.

Ich steh somit vor verschlossenen Toren und weiss nicht weiter.

Kann mir jemand behilflich sein?

Danke und Gruss

 

[mayo007]

Reset durchführen.
Modus 1.

 

[Thonav]

Jepp - Bei laufender DS Büroklammer hinten in den Resetknopf, ca. 4 sek bis zum Beep drinlassen, dann raus das Ding. DS wird dann wieder den "admin" aktivieren und Du kannst Dich ohne PW wieder einloggen.

 

[mayo007]

https://kb.synology.com/de-de/DSM/tutorial/How_to_reset_my_Synology_NAS_7

 

[Argentum85]

Vielen lieben Dank!
Heute morgen konnte ich mein NAS irgendwie nicht finden und dachte, dass ich komplett locked out bin!

Für die Zukunft, was müsste ich machen, wenn ich in Zukunft z.B. ein neues Handy bekomme?

 

[Synchrotron]

Erst mit dem neuen alles korrekt anlegen, bevor du beim alten auf „Zurücksetzen“ tapst.

 

[NASSucher]

Dann kann jeder der sich das DS "schnappt" sich selbst zum Admin machen und auf einem fremden NAS alles machen/anschauen?

 

[Thonav]

Ja - aber nur Ordner einsehen, die nicht verschlüsselt sind...

 

[NASSucher]

Warum dieses?
Kann ich dies nicht als Admin wieder zurück setzen?

 

[Thonav]

Wenn Du den Schlüssel dafür hast, ja. Sonst wohl kaum...

 

[Kurt-oe1kyw]

Dann kann jeder der sich das DS "schnappt" sich selbst zum Admin machen und auf einem fremden NAS alles machen/anschauen?

Nein, wenn du die richtige Einstellung im DSM gewählt hast nicht. Wähl die Option "Admin Passwort behalten auch bei Reset":



ABER WARNUNG!
Du musst halt abschätzen wie hoch dein Risiko ist, das jemand deine private Synology durch Einbruch physikalisch an sich bringt, den Reset durchführt um sich deine privaten Daten anzusehen.
Zumindest bei mir würde sich der Aufwand nicht lohnen, Fotos von diversen Familienfeiern, Urlauben und den Kids. Ich weiß nicht welchen Wert das für Personen ausserhalb der Familie von Wert wäre?

Ich rate lieber die Option inaktiv zu lassen so dass bei Reset der Admin und sein Kennwort zurückgesetzt wird, es kommt häufiger vor das dies der Fall ist, als das Synology entwendet werden
Du kannst sonst mit dem manuellen Reset das admin Kennwort nicht mehr zurücksetzen!

was müsste ich machen, wenn ich in Zukunft z.B. ein neues Handy bekomme?

Für DSM 7 muss ich etwas weiter ausholen da es hier eine gravierende Neuerung zum alten DSM 6 gibt und zwar konkret um den "Einrichtungscode" also zB dein QR Code.

Bei DSM6 konnte man jederzeit die Punkte durchklicken bis zum QR Code, diesen dann anzeigen lassen und das neue handy damit Einrichten.
Der QR Code zum Einlesen war immer der selbe.
Bei DSM7 GEHT DAS NICHT!
Grund:
JEDESMAL wenn du die 2FA Einrichtungsseite auf der DS im DSM7 aufrufst ändert die Synology SOFORT den QR-Code!
Ich habe auch eine Weile gebraucht bis ich es bemerkt hatte auf der DS118 mit DSM7, handy 1 eingerichtet, alles ok.
Persönliche Optionen, Konto wieder aufgerufen, handy 2 eingerichtet, alles ok - aber handy 1 liefert plötzlich "falsche" Zahlencodes.
Also habe ich gesucht und irgendwann gefunden...

Du musst also für dein handy noch mal einen neuen Code erzeugen, also das Prozedere noch mal durchlaufen, sonst kannst du andere/neue Handys nicht koppeln.
ABER wenn du die Seite mit dem QR-Code (oder den Textcode) sehen kannst dann abfotografieren, screenshoot erstellen oä und auf einem separaten USB Stick speichern!
Auf handy 1 führst du die neuerliche 2FA wie gewohnt durch. Danach die Option nicht mehr im DSM auswählen!
Auf handy 2 und den weiteren führst du die APP am handy aus welche du für 2FA gewählt hast und mit + oder Hinzufügen usw. fügst du ein neues, in dem Fall Synology-Gerät, hinzu.
Bei der Einrichtung kommt dann auf der handy APP die Abfrage nach dem QR-Code, jetzt den gesicherten QR Code vom USB Stick einlesen!
handy 1 + 2 liefern jetzt auch unter DSM 7 die korrekten 2FA Zahlencodes zur Freigabe.

Tip:
Warte nicht auf ein neues handy, nimm ein handy deines Vertrauens, also Eltern, Geschwister, Partnerin usw. Installier dort die 2FA APP, sie können damit ja nichts anstellen, sie haben weder Name noch Kennwort sie sehen ja nur Zahlencodes die alleine wertlos sind.
Wenn dein "Haupt" Handy defekt ist, verloren geht usw. ist nichts passiert, nimm eines dieser Ersatzhandys und lies dort deine 2FA für DSMM7 ab.

Du kannst auch SecureSignIn auf mehreren Geräten handys, tablet usw einrichten, funktioniert ebenso:



Einziger Nachteil, wenn alle diese Geräte aktiv sind dann erscheint die Freigabe zur Anmeldung (also deine Genehmigung der Anmeldung) auf all diesen Geräten, das kann auf Dauer nervig sein. Freigeben kannst du dann auf irgendeinem dieser Geräte.

 

[Flessi]

"...auf Dauer nervig..."
Wäre ein temporäres Deaktivieren der Apps auf den Notfall-Handys nicht eine Option um nicht gestört/belästigt zu werden?

 

[EDvonSchleck]

Der Code kann ja jederzeit als Bild oder txt gespeichert werden. Dazu kann man ebenfalls Passwortmanager wie Bitwarden oder Keepass(XC) -beides portable - ganz einfach einzusetzen und auf einen USB oder verschlüsselt in die Cloud zu speichern. Ich sehe da nicht wirklich ein Problem,