DSM 6.x und darunter 2-Faktor-Authentifizierung lokal deaktivieren?

[Oceanwaves]

Hallo,

ich habe heute die 2-Faktor-Authentifizierung aktiviert. Solange ich mich von außen via HTTPS an meiner DiskStation anmelde, erhöht das ja die Sicherheit ein bisschen.

Allerdings finde ich es etwas blöd, wenn ich mich auch bei einer Anmeldung im heimischen LAN immer mit Benutzer/Passwort und PIN anmelden muss. Gibt es eine Möglichkeit, bei Login über ein bestimmtes Netz oder eine bestimmte IP die 2-Faktor-Authentifizierung zu deaktivieren?

 

[isch83]

Hi,

ich wüsste nicht wie das gehen sollte.
Man legt ja den 2 Faktor für den einzelnen Benutzeraccount fest und nicht für einen Netzwerkstatus.

Außerdem ist der Grundsatzgedanke bei solchen 2 Faktorverfahren immer das man ein Passwort hat (fester Wert) und etwas wechselendes zufälliger Zahlencode.
Bekommt ein Dieb nur einen Teil in die Finger kann er damit nichts machen. Hierbei ist für das Verfahren egal ob man intern oder extern ist.
Oft werden solche Verfahren bei Firmen-Notebooks oder Netzwerkanmeldungen angewendet. Teilweise auch noch komplexer.

 

[Oceanwaves]

Das ist schon klar. Ich laufe auch mit mehr als einem RSA-Token herum...

Wenn ich mich mit meinem Firmen-Notebook von Zuhause per VPN mit dem Firmennetz verbinde, brauche ich auch ein RSA-Token. Bin ich mit dem Notebook im lokalen Firmennetz, reicht aber Benutzername und Passwort.

Die DiskStation weiß ja auch, von welcher IP-Adresse der Aufruf erfolgt. Und wenn der Aufruf von der IP 192.168.47.11 (mein PC, der direkt neben der DS steht) kommt, dann soll Benutzername/Passwort reichen. Ich finde es zu Hause etwas übertrieben, erst eine Etage höher zu laufen und mein Handy zu holen, nur weil ich mal eben schauen will, ob auf der externen Backup-Platte noch genug Platz ist.

Wenn jemand hier ins Haus einbricht und versucht, per Login an die Daten auf der Syno zu kommen, dann hilft mir die Authentifizierung auch kaum. Dann wäre es für ihn einfacher, die Kabel abzuziehen und die Syno einfach unter den Arm zu nehmen.

 

[Erebus]

Im firmennetz ist die sicherheit auch ein wenig höher. Deine VPN einwahl hat da sicher eine andere IP als die des Lokalen lans und trennt das so.
Die ds macht das am benutzeraccount fest. Gibt sicher eine möglichkeit das zu ändern, aber ich denke der aufwand ist höher (und die verbundenen probleme) als das handy zu holen.

 

[drmaniac]

dumme Frage, aber kann man nicht irgendwie cookies o.ä. setzen lassen, die einen bestimmten PC dann (der zuhause direkt neben der Station) als vertrauenswürdig ausweisen? Ich habe nämlich am Wochenende alle meine gmail accounts auf zwei-faktor umgstellt und da ist das dann machbar. Ich würde sonst auch verrückt werden, wenn ich jedesmal beim mail check eine sms erst auswerten muss :/

 

[Puppetmaster]

Die Two-Pass-Auth kann man entweder einschalten, oder man läßt es. Synology hat es nicht vorgesehen, zwischen internem und externem Netz zu unterscheiden.

Das ist im Grunde dasselbe Thema, das hier auch seit Jahren immer wieder einmal kommt: Warum wird nicht in den Benutzeraccounts ein Flag etabliert, mit dem man steuern kann, ob der Benutzer sich überhaupt von extern anmelden kann...
So könnte man beispielsweise jeden Zugang eines admins von ausserhalb schon einmal verhindern.

Ich kann nur immer wieder darauf hinweisen, solche Dinge dann direkt als Feature-Request an Synology zu senden. Wenn es genügend Stimmen gibt, die solch eine Funktion fordern, wird Synology ggf. tätig.

 

[Matthieu]

Das ist im Grunde dasselbe Thema, das hier auch seit Jahren immer wieder einmal kommt: Warum wird nicht in den Benutzeraccounts ein Flag etabliert, mit dem man steuern kann, ob der Benutzer sich überhaupt von extern anmelden kann...
So könnte man beispielsweise jeden Zugang eines admins von ausserhalb schon einmal verhindern.

Ich halte das für "security through obscurity". Dessen Gewinn an Sicherheit ist stark umstritten. Sieht man von Brute-Force mal ab (dafür gibt es Autoblock), werden gezielte Angriffe meist aus dem lokalen Netz kommen. Das zeigt meiner Ansicht nach auch Synolocker, der Lücken im VPN-Server ausgenutzt hat um überhaupt logisch ins Netz zu kommen. Auch durch falsch konfigurierte Proxys oder gekaperte Tunnel-Verbindungen lassen sich lokale IPs bekommen. Und dann wäre da noch die "SOHOpeless broken" Router, die jüngst wieder Thema in Las Vegas waren.

@Oceanwaves: Wenn du dich per VPN verbindest, ist das ein gänzlich anderer Authentifizierungsmechanismus und eine ganz andere Software als beim lokalen Login. Deshalb lässt sich das auch technisch besser realisieren.

MfG Matthieu

 

[TheGardner]

...und vielleicht setzt Synology da auch in Zukunft mal etwas um! Aber zur Zeit solls halt nur die 2-Wege-Auth geben! Mehr ist vom Veranstalter (noch) nicht vorgesehen!

 

[Iarn]

Dumme Frage: würde es nicht helfen mit zwei Accounts zu arbeiten? Einer für 2 Faktor und einer für intern und ohne 2 Faktor.

 

[drmaniac]

Es wäre halt "schöner" könnte man alles mit einem durchführen

 

[TheGardner]

Wie geschrieben! (Derzeit) nicht möglich! Ich habe nach der Umstellung auf VPN und die Deaktivierung des Admin Users die Zwei-Wege-Auth wieder deaktiviert, da der Zugang (für mich) nun so hinreichend geschützt ist!

 

[Puppetmaster]

Dumme Frage: würde es nicht helfen mit zwei Accounts zu arbeiten? Einer für 2 Faktor und einer für intern und ohne 2 Faktor.

Was gewinnt man denn dadurch?
Der User ohne 2 Faktor Auth wird ja auch von aussen auf die DS gelangen, da kann man sich die 2 Faktor Auth auch gleich ganz sparen.

 

[TheGardner]

Wahrscheinlich meint er einen stinknormalen Benutzer ohne... und einen Admin mit 2-Wege-Auth! Das würde noch Sinn machen! Mit nem normalen Benutzer kann man bei Einbruch noch nicht viel veranstalten (gegenüber nem Admin-User). So hatte ichs monatelang! Der normale User konnte blos bisschen mit der D/L Station und der FileStation rummachen und ich fauler Sack musste nicht ständig die 2-Wege-Auth anwenden!

 

[drmaniac]

Hat nichts mit Faulheit zu tun, sondern mit Effizienz ;-) *hust*

 

[Wilisch]

Dumme Frage: würde es nicht helfen mit zwei Accounts zu arbeiten? Einer für 2 Faktor und einer für intern und ohne 2 Faktor.

Das ist sinnlos, weil ich bei keinem Account festlegen kann Anmeldung nur intern

 

[SoRRy_frEAk]

Hallo liebe Gemeinde,

das Thema ist zwar schon etws älter aber ich muss es leider nochmal aufgreifen ( in eine andere Richtung).
Ich hab die 2-Faktor Auth. aktiviert und diese funktioniert auch einwandfrei. Nun wollte ich, falls das Handy mal nicht greifbar ist, die 2-Faktor Auth. auf meinem Tablet einrichten,
nur leider verstehe ich gerade nicht wie ich in DSM den Barcode nochmal angezeigt bekomme. Habt ihr dazu vielleicht eine Lösung?

mfg SoRRy_frEAk

 

[Matthieu]

Das dürfte nur über eine Neueinrichtung der 2FA gehen. Dann müssen beide Geräte mit dem Barcode gefüttert werden.

MfG Matthieu

 

[SoRRy_frEAk]

Und wie mache ich das?
Denn wenn ich den Hacken bei 2FA herausnehme und speichere und danach wieder einschalte und speichere, passiert einfach nix!

mfg SoRRy_frEAk

 

[Matthieu]

Hallo,
steht hier unter dem Stichwort "zurücksetzen":
https://help.synology.com/dsm/?section=DSM&version=5.2&link=MainMenu/account.html

MfG Matthieu

 

[SoRRy_frEAk]

Hallo,
steht hier unter dem Stichwort "zurücksetzen":
https://help.synology.com/dsm/?section=DSM&version=5.2&link=MainMenu/account.html

MfG Matthieu

Super genau das habe ich gesucht! Danke!

mfg SoRRy_frEAk