2-Faktor Authentifizierung nur für externen Zugriff

DJCook

Benutzer
Mitglied seit
07. Feb 2023
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich suche nach einer Möglichkeit, nur den externen Zugriff besser abzusichern über 2-Faktor Authentifizierung bei meiner DS920. Für den Zugang aus dem internen LAN ist mir das zu umständlich, außerdem befürchte ich mich auszusperren, sollte mein Handy den Geist aufgeben.
Frage an die Experten: kann ich nur den externen Zugang besser absichern? Wenn ja, wie funktioniert das?

VG, Chris
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Du kannst die 2FA nur für den jeweiligen User einstellen, zwischen intern und extern wird dort nicht unterschieden. Eventuell wäre VPN die bessere Lösung für dich, sofern nur du auf deinen NAS zugreifen willst. Für alle Anwender im vorhandenen Netzwerk funktioniert die Verbindung. Erst wenn du extern Zugriff ermöglichen willst, wäre VPN nicht die richtige Wahl.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.258
Punkte
259
kann ich nur den externen Zugang besser absichern?
Auch wenn ich selber die 2FA nicht nutze: Du kannst bei der 2FA über "Vertrauenswürdige Geräte verwalten" die 2FA für einzelne Geräte/Clients aktivieren bzw. dann auch wieder deaktivieren.

2FA_vertrauenswürdig.png

Somit kannst Du alle Clients im LAN als vertrauenswürdig einstufen und dann sollte die 2FA nur noch für den externen Zugriff vorhanden sein.

Edit: Ich habe das gerade mal mit zwei Clients im LAN durchgespielt und es funktioniert. D.h. mein Arbeits-PC hier ist als vertrauenswürdig eingestuft und es kommt keine 2FA Abfrage und bei meinem Smartphone, das nicht als vertrauenswürdig eingetragen ist, kommt die 2FA Abfrage.


Noch ein Nachtrag: Du kannst im Protokollcenter dann auch sehen welcher Client sich über welche IP mit welcher Authentifizierungsmethode eingeloggt hat. Für einen Client mit aktivierter 2FA gibt es dann diese zwei Einträge:

User [xyz] from [192.168.x.xx1] signed in to [DSM] successfully via [password].​
User [xyz] from [192.168.x.xx1] has successfully passed the first authentication of 2FA via [password]​

Ohne 2FA dann halt nur den einen Eintrag:

User [abc] from [192.168.x.xx2] signed in to [DSM] successfully via [password].​

VG Jim
 
Zuletzt bearbeitet:

DJCook

Benutzer
Mitglied seit
07. Feb 2023
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Super! Vielen Dank für den Tipp!
Werde ich morgen direkt so umsetzen.
 

Snyder

Benutzer
Mitglied seit
07. Nov 2014
Beiträge
172
Punkte für Reaktionen
15
Punkte
24
Naja aber ist das Smartphone außerhalb des LAN dann nicht auch vertrauenswürdig?
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.947
Punkte für Reaktionen
778
Punkte
134
ja ist es. Dort wird nicht unterschieden woher der Login kommt.
 

Snyder

Benutzer
Mitglied seit
07. Nov 2014
Beiträge
172
Punkte für Reaktionen
15
Punkte
24
Nicht optimal, wenn das Handy verloren geht o.ä.
Gut, das Gerät selbst ist auch noch gesichert.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.947
Punkte für Reaktionen
778
Punkte
134
wenn man das so genau machen will, muss man einfach so diszipliniert sein und das Hnady nicht als vertrauenswürdig einstufen ;-)
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.258
Punkte
259
Nicht optimal, wenn das Handy verloren geht o.ä.
Wenn das Handy verloren gehen sollte und dann auch noch jemand die Login-Hürden (PIN, Fingerabdruck, Gesichtserkennung) des Handys überwindet, ist die Frage ob es bei dem Handy dann noch eine zusätzliche 2FA für das NAS gibt sicherlich das geringste Problem. :LOL:

Die von mir beschriebene Variante mit den vertrauenswürdigen Geräten bei der 2FA ist eigentlich genau das was der TE gebrauchen kann, weil er dann die 2FA zusätzlich nutzen kann, ohne zu Hause durch diese zusätzlichen Hürde beim einloggen "ausgebremst" zu werden. Und wie Kachelkaiser ja bereits geschrieben hat muss man ein Smartphone ja auch nicht als vertrauenswürdiges Gerät einstufen, da darüber halt ein Zugriff zu Hause, aber auch von unterwegs erfolgen kann.

VG Jim
 

DJCook

Benutzer
Mitglied seit
07. Feb 2023
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Nicht optimal, wenn das Handy verloren geht o.ä.
Gut, das Gerät selbst ist auch noch gesichert.
Wenn einer mein Handy in die Hand bekommt und es entsperren kann, dann habe ich ein RIESEN Problem. Mir geht es nur darum, dass sich kein fremdes Gerät ohne 2FA anmelden kann von extern. Das hilft schon ungemein und verbessert die Sicherheit deutlich. Bisher habe ich aus Angst vor fremdem Zugriff den externen Zugang komplett deaktiviert...
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Wenn einer mein Handy in die Hand bekommt und es entsperren kann, dann habe ich ein RIESEN Problem.
Du kannst ja direkt nach dem Verlust das Vertrauen deines Handys entziehen.

1675868247642.png
 
  • Like
Reaktionen: ronnie

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Du kannst ja direkt nach dem Verlust das Vertrauen deines Handys entziehen
Gibt wohl noch andere Gründe, warum das ein riesen Problem ist als nur der zweite Faktor zum Zugriff auf die DS.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Das hilft dir auch nicht weiter, wenn du sensible Daten auf deinem Telefon hast inkl. vielleicht weiterer Zugänge zu anderer Hard- und Software.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Es ist wie mit dem Haustürschlüssel. Wenn man den verliert bleibt auch ein Risiko. Aber mir ist klar dass hierzu zunächst einmal die Verbindung hergestellt werden muss zu welcher Tür der Schlüssel passt.
Wenn aber Schlüssel und Ausweisdokument abhanden kommen ist die Gefahr größer dass man hier zugleich die Anschrift hat zu welcher der Schlüssel passen könnte.

Ein anderes Beispiel mit der Girocard bzw. Debit/Kreditkarte mit kontaktloser Bezahlfunktion. Hier kann relativ zügig Waren im Wert von kleinen Beträgen bezahlt werden bis man überhaupt bemerkt dass die Karte abhanden oder entwendet wurde.

Wenn man in dem Fall eines abhanden gekommenen Handys worauf sensible Daten ungeschützt gespeichert sind, ist das ohnehin grob fahrlässig.

Also lassen wir doch einmal die Kirche im Dorf mit dem verloren gegangen Handy.

In allen drei Fällen aus dem Alltag sind sofortige Maßnahmen zu ergreifen um einen möglichen Schaden so gering wie möglich zu halten.
Da ist ein verlorenes Handy in meiner Sicht nicht schlimmer als andere verloren gegangene persönliche Gegenstände.

Man selbst muss eben präventiv dafür Sorge tragen das Risiko so gering wie möglich zu halten.
 

ronnie

Benutzer
Mitglied seit
30. Apr 2022
Beiträge
17
Punkte für Reaktionen
5
Punkte
53
Direkt zu disem Thema fiel mir auf :
2FA habe ich für einen Benutzer mit Admin Rechten hier auf der DS 220+ aktiviert. Beim Login kommt auch die Abfrage und muss diese mit der App bestätigen. Soweit alles gut.
Vom Smartphone aus geh ich üblicherweise ja auf die mobile Webseite und nur dann kommt die Abfrage überraschenderweise nicht. Nach erfolgtem Login kann ich aber im Browser auf die Desktop-Seite wechseln und habe somit 2FA umgangen.
Habe ich eine Einstellung übersehen oder ist die Sicherheitseinstellung wirklich so wirkungslos ?
 

RainerK

Benutzer
Mitglied seit
28. Apr 2016
Beiträge
46
Punkte für Reaktionen
4
Punkte
8
Guten Tag,

ich springe mal mit meinem "2FA-Problem" in diesem Thread auf, um nicht einen neuen aufzumachen:

Wie kann ich auf meiner DS218+ unter DSM 7.1.1-42962 Update 4 die 2FA für mein Admin-Konto endgültig abschalten? Alle bisherigen Versuche scheiterten, nach jedem neuen Login werde ich damit konfrontiert:
1677235272376.png

Ist 2FA für ein Admin-Konto tatsächlich obligatorisch?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Systemsteuerung > Benutzer > Erweitert oder so steckt die grundlegende Einstellung, ob diverse Gruppen oder Benutzer 2FA benutzen müssen.
 

RainerK

Benutzer
Mitglied seit
28. Apr 2016
Beiträge
46
Punkte für Reaktionen
4
Punkte
8
@Fusion, danke für die schnelle Rückmeldung. Mit Deinem Hinweis "Systemsteuerung > Benutzer > Erweitert" konnte ich die 2FA nicht loswerden (vermutlich hast Du eine andere DSM-Version), allerdings fand ich unter "Systemsteuerung > Sicherheit > Konto" diese Einstellmöglichkeit
1677334819078.png
die mich nach Wegklicken von "2-Faktor-Authentifizierung für die folgenden Benutzer erzwingen" endlich vom 2FA-Zwang erlöst hat.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Nein, nur vergessen, dass das umgezogen ist. Aber hast ja trotzdem gefunden. :)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat