2 Faktor Authentifizierung (Two-Factor): Handy weg+Forgot Password klappt nicht mehr

Status
Für weitere Antworten geschlossen.

Slide83

Benutzer
Mitglied seit
17. Dez 2013
Beiträge
34
Punkte für Reaktionen
0
Punkte
0
Zum anderen wird hier wieder die Mär verbreitet, der System-admin müsse aus Sicherheitsgründen deaktiviert werden(...)Und die Deaktivierung des 'admin' verhindert in keiner Weise die Nutzung von 'root' - ist also auch in dieser Hinsicht völlig irrelevant.

bitte zeige mir, wo ich auch nur im entferntesten irgendwas von deaktivieren gesagt habe?
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
@ ong10: Verstehe ich das richtig. Wenn ein Mensch meine DS komplett klaut und dann den Reset-Knopf drückt, muss er beim nächsten Anmelden nur lesen was im Handbuch steht und er kommt komplett an alle Daten (die nicht verschlüsselt sind) und kann munter fröhlich mein Gerät weiter nutzen?!?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Entweder das, oder er baut die Platten aus und schließt sie sonstwo an und liest sie aus.

Was dachtest du?
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Ja, das er die Platten ausbauen kann und sonstwo anschließt und ausliest ist klar aber das es so unglaublich einfach mit dem Reset-Taster in unter 2 Min geht die DS zu kapern finde ich doch schon etwas befremdlich muss ich sagen. Zumal er dann auch noch das komplette Setup nutzen kann und einfach mit der DS weiter arbeiten könnte.
Ich hätte mir da schon eher sowas vorgestellt, wie das der Taster die Einstellungen zurücksetzt, so ne Art Rücksetzen auf Werkseinstellungen. Das liest sich in dem Handbuch ja so, also ob man diesen Reset des Adminpassworts im laufenden Betrieb durchführen kann und dann sind die verschlüsselten Ordner im dummsten Fall ja entschlüsselt
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
bitte zeige mir, wo ich auch nur im entferntesten irgendwas von deaktivieren gesagt habe?
Was meintest Du sonst mit
... dir einen sep. account (mit adminrechten) anzulegen und den richtigen admin/root nicht, bzw für notfälle zu nutzen..
Technisch macht es nämlich in diesem Kontext keinen Unterschied, ob ein User mit Admin-Zugehörigkeit oder der admin verwendet wird!
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Das liest sich in dem Handbuch ja so, also ob man diesen Reset des Adminpassworts im laufenden Betrieb durchführen kann und dann sind die verschlüsselten Ordner im dummsten Fall ja entschlüsselt

Meines Wissens werden die Ordner dann ausgehangen. Anders wäre auch schlecht. ;)

[h=3]2. Reset the administrator password and network settings[/h] This section will guide you through the necessary steps to reset the administrator password and network settings. After resetting your Synology NAS, your system configuration will result in:

  • To restore admin account to default value.
  • To reset the UI management port to 5000/5001.
  • To reset IP, DNS, gateway, and other net interfaces to DHCP.
  • To disable PPPoE.
  • To disable auto block.
  • To disable firewall rules.
  • To unmount encrypted folders and disable Mount automatically on startup.
  • To remove high-availability cluster.
 
Zuletzt bearbeitet:

ong10

Benutzer
Mitglied seit
20. Mai 2010
Beiträge
262
Punkte für Reaktionen
3
Punkte
18
Hallo,

ich habe meine DS noch mit einem Kensington Lock an einem fetten Rohr festgemacht. Hilft vielleicht nicht viel - aber sollte einem "ich klemm mir das Ding mal unter die Arme" vorbeugen :)

Olaf
 

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
Fällt das jetzt unter Paranoia, oder steht das Teil an einem öffentlich zugänglichen Ort?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Kensington Lock ist ja eh nur ein Drähtchen. Ganz gleich, wie "fett" das Rohr ist, das Kabel ist mit dem zweitgünstigsten Seitenschneider in 3s durch. ;)
 

ong10

Benutzer
Mitglied seit
20. Mai 2010
Beiträge
262
Punkte für Reaktionen
3
Punkte
18
Hallo,

naja, öffentlicher Ort würde ich nicht sagen. Kensington ist nicht doll - aber immerhin ein kleiner zusätzlicher Schutz - dann braucht ein Einbrecher nicht nur einen Schraubendreher - dafür reicht's hoffentlich :)

Olaf
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
An der Stelle muss ich nochmal ansteigen.
Es wurde davon gesprochen, dass das Admin Konto keine 2-Faktor-Authentifizierung besitzen soll um das Problem des TEs zu verhindern. Dafür lediglich ein sehr starkes Kennwort. Wie kann ich denn den Admin von der 2-Faktor-Authentifizierung ausschließen?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Na, die legst du ja für jeden Benutzer separat fest.
 

DigiMuc2016

Benutzer
Mitglied seit
21. Okt 2016
Beiträge
248
Punkte für Reaktionen
2
Punkte
24
Zum anderen wird hier wieder die Mär verbreitet, der System-admin müsse aus Sicherheitsgründen deaktiviert werden - was Unsinn ist, denn sichere Passwörter sollten die Empfehlung sein, für alle User.

Das ist kein Unsinn, denn es ist einfach so, dass Usernamen wie admin, administrator oder andere leicht zu erratende Namen ein gewisses Sicherheitsrisiko darstellen.

Auch Synology rät "Wie erreicht man ein Extra an Sicherheit für den Synology NAS", " Neues Konto als Administrator erstellen und das standardmäßige System-Admin-Konto deaktivieren"

Und beides, die Kombination aus User-Name/ Passwort erhöhen die Sicherheit.
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
@ Puppetmaster: Ich habe bislang nur die Option gefunden, dass ich die 2-Faktor-Authentifizierung entweder für alle User oder für alle Admins einschalten kann..
Leider finde ich nicht die Möglichkeit pro User zu selektieren
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Hat sich das Konzept seit DSM 6.x verändert? Zumindest davor konntest du in den Optionen des jeweiligen Accouts die 2factor auth aktivieren.
 

independence2206

Benutzer
Mitglied seit
30. Nov 2013
Beiträge
560
Punkte für Reaktionen
24
Punkte
38
Auth.PNG

So sieht das bei mir aus.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
622
Punkte
174
Da habe ich doch grade mal gekuckt, dass unter DSM 6.02 und DSM 6.1 nur folgendes geht:

2F-Auth entweder für Alle oder nur für Admins

Bei den einzelnen Usern lässt sich da nix einstellen.


Nachtrag:
independence2206 war schneller :)
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Tja, dann gibts das wohl nicht mehr.
 

IngoF

Benutzer
Mitglied seit
17. Okt 2011
Beiträge
268
Punkte für Reaktionen
18
Punkte
18
An der Stelle muss ich nochmal ansteigen.
Es wurde davon gesprochen, dass das Admin Konto keine 2-Faktor-Authentifizierung besitzen soll um das Problem des TEs zu verhindern. Dafür lediglich ein sehr starkes Kennwort. Wie kann ich denn den Admin von der 2-Faktor-Authentifizierung ausschließen?

Kleine Frage dazu. Ich habe meine Zwei Faktor Authentifizierung für Admin aktiviert.
Ab und zu drücke ich dann auch die Schaltfläche "Telefon verloren" weil gerade mein Handy im anderen Raum liegt und ich zu faul bin aufzustehen.

Heute kam der Hinweis dass meine Maximale Anzahl erreicht wurde und keine PIN mehr per Mail bekomme

Wo kann mann diese Anzahl zurücksetzen, erhöhen oder deaktivieren?
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
2FA:
Da gibt es zuerst einmal den Hinweis, das JEDER ganz nach belieben für sich frei Entscheiden kann ob er das nutzen möchte oder nicht. Es ist also durchaus auch möglich, dass nur ein einziger normaler User die 2 FA nutzt und alle anderen nicht.
JEDER User kann sich diese 2 FA selbst einschalten ---> DSM > Optionen (=das Kopficon rechts oben in der Menüzeile) > Persönlich > Register "Konto" > Haken setzen auf 2-Stufen Verifizierung > 2-Stufen Verifizierung Schaltfläche anklicken und den Anweisungen folgen. > oK. SOFERN vom Admin nichts anderes definiert wurde!

Aber der Admin einer Diskstation kann aber auch seine Nutzer zwingen, dass sie die 2 FA bindend verwenden müssen, dies erfolgt im DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > unten bei 2-Stufen Verifizierung durchsetzen für "Alle" oder Admingruppe, dh. hier haben dann die User keine eigene Entscheidungsgewalt über die 2FA.
Setzt der Admin die Durchsetzung auf die admingruppe, so kann dieser User in der Gruppe admin in seinen Optionen (siehe Eingangsposting) den Haken gar nicht entfernen von der 2FA! Er ist bereits gesetzt und hellgrau/inaktiv! Er MUSS zwingend die 2FA einrichten.
Lässt also ein Admin die Option "2FA durchsetzen" aus und aktiviert den Haken nicht, dann kann jeder User in seinen Optionen völlig frei Entscheiden ob er das mit der 2 FA haben möchte oder nicht, es besteht dann kein Zwang dazu.

Telefoncodes:
Ihr habt damals bei der Erstellung der 2FA eine Codeliste erhalten, sie wurde euch angezeigt und sie wurde als pdf angeboten und als Email.
ABER die Anzahl ist begrenzt auf, ich glaube 10 Codes oder so. Nach "Verbrauch" dieser 10 Notfallcodes ist Ende.

Daher mein dringender Rat, bitte installiert euch doch den Auth Generator auf Handys eurer Geschwister, Eltern, Frau/Freundin usw. sie können ja ohne Benutzername und dazugehörenden Kennwort nichts damit Anfangen. ABER wenn euer handy abhanden kommt, könnt ihr einfach den Code von diesen Geräten eintragen. Einfach mit den Geräten noch mal das QR Fenster scannen und/oder den Code händisch eintippen. Einfach in Optionen auf die 2-Stufen Verifizierung klicken > Weiter > email, egal was hier steht > Weiter > HIER wird euch jetzt wieder das QR Fenster angezeigt. Einfach mit den anderen handys scannen und gut ist. Oder auf den blauen Text klicken und den Code händisch eintippen. Danach auf ABBRECHEN gehen! Sonst wird ein neuer QR Code mit neuem Schlüssel erstellt.

Wenn tatsächlich kein Zugriff mehr möglich ist, dann kann euch n.m.W. nur mehr der Synology Kundendienst helfen indem er in eurem Synologykonto die 2 FA für eure DS deaktiviert. Selber kann man das aus Sicherheitsgründen nicht tun.
Normalerweise sollte aber der kleine Reset das admin Kennwort zurücksetzen und die 2 FA aufheben, ebenso bei Zutritt über ssh PuTTY/winSCP. AUCH wenn die 2 FA aktiv ist, so kann man sich über die Konsole auf die DS verbinden, es ist nur das Adminkonto und das richtige Passwort notwendig, ABER nicht vergessen dann von admin umschalten auf User "root", siehe Beitrag weiter oben mit welchem Befehl das durchgeführt wird.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat