2-Stufen Verifizierung

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Im Zuge einiger Aktivitäten zur Erhöhung der Sicherheit habe ich gestern den Admin-Account meiner 2 Diskstations auf 2-Stufen-Verifizierung mittels Google Authenticator umgestellt. Das klappt auch bestens. Nun meine Fragen:

1) Man kann die 2-Faktoren Authentifizierung NICHT MEHR rückgängig machen, obwohl man den Haken in der Systemsteuerung ja einfach wieder wegnehmen kann. Nur ändert das nichts, und ich werde trotzdem bei jedem Login nach den Code gefragt. Es hilft nur ein Reset der Diskstation, und dann muss man den Admin neu anlegen. Frage zu diesem Reset: Reicht es danach, wenn ich den Admin mit gleichem Passwort wie zuvor sowie alle Netzwerkeinstellungen wieder einrichte, oder ist mehr zu tun? Apps, Kopano Mailserver, Homepage - bleibt das alles samt der Einstellungen erhalten? Lösche ich mit dem Reset nicht den Admin (meinen eigenen Account) raus und damit auch den zugehörigen User aus Kopano? Würde es schneller gehen, vorher das "Hakerl" bei 2-Stufen Auth rauszunehmen und dann die Synology-Einstellungen zu exportieren und nach dem Reset wieder zu importieren?

2) Leider habe ich die Anmelde-Codes in der Authenticator App nur auf meinem Handy und nicht wie bei anderen Anbietern auf Handy und iPad. Angeblich gibt es mit der DSM Version 6 anders als bei Version 5 keine Möglichkeit, weitere Geräte hinzuzufügen. Hat dazu jemand eine Lösung?

3) Habe getestet, ob das Zusenden eines Notfallcodes im Falle von Handyverlust klappt. Hat funktioniert. Angeblich kann man sich diesen Code nur 5-mal zusenden lassen, dann muss man ein Reset machen. Ich sehe nirgends einen Zähler, bin mir daher nicht sicher, ob das so noch stimmt. Weiss jemand etwas dazu?

Danke!
Jens
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Man kann die 2-Faktoren Authentifizierung NICHT MEHR rückgängig machen, obwohl man den Haken in der Systemsteuerung ja einfach wieder wegnehmen kann. Nur ändert das nichts, und ich werde trotzdem bei jedem Login nach den Code gefragt.
das finde ich aber gelinde gesagt "beschissen umgesetzt" von Syno.
 

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Vielen Dank für diesen wertvollen Hinweis, Niklas! Habe ich nirgends gefunden. Sogar auf den Seiten von Synology hab ich nur die Anleitung mit dem Reset gefunden.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.102
Punkte für Reaktionen
2.068
Punkte
259
Zu 2) Habe es bei Synology noch nicht probiert, aber normalerweise kann man jeden Authenticator nehmen, nicht nur den von Google. Es heißt zwar oft „Google-Authenticator“, bei mir tut aber der von Microsoft genau den gleichen Dienst. Auch viele Passwortmanager integrieren inzwischen die Erzeugung von 2FA-Codes. Ich halte allerdings die Verwendung von 2 unabhängigen Apps grundsätzlich für sicherer.

Wenn man die gleichen Startdaten vorgibt, erzeugen Authenticator auf allen Geräten den gleichen Code. Wichtig ist nur die korrekte Zeit und Zeitzoneneinstellung, darauf basiert die Codeberechnung. Es gibt keine Einschränkung der Geräteanzahl, es muß nur jeweils eigens eingerichtet werden. Ein Sync über die einschlägigen Clouddienste würde den Sinn des 2FA-Codes aushebeln, weil dann die Codes über ein ungeschütztes Medium übertragen würden.

Also einfach auf dem iPad noch mal anlegen.

Zu 3) Das ist einfach eine Sperre, die einen Brute-Force-Angriff auf den 2FA-Code verhindern soll. Mal sind es 5, mal sind es 10 Notfallcodes. Die sind auch nur dafür gedacht, dass man im Notfall an den geschützten Account heran kommt, und 2FA dann deaktivieren oder neu einrichten kann. Die sind nicht dafür gedacht, damit regulär zu arbeiten.
 
  • Like
Reaktionen: Jens H und the other

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Vielen Dank, Synchrotron! Hab nun die 2FA auf beiden Geräten eingerichtet. Das Problem war, dass man im Nachhinein kein weiteres Gerät hinzufügen kann, was nach Deinen Ausführungen nun ja logisch ist. Durch Deaktivieren und neuem Einrichten des 2FA für beide Geräte klappts aber nun. In einem älteren Thread wurde behauptet, dass es mit DSM auf mehreren Geräten nicht funktioniert, deshalb hab ichs gar nicht erst probiert:

https://www.synology-forum.de/threa...wei-oder-mehreren-smartphones-moeglich.77077/
Offene Frage: Was wird beim Reset im Falle von Handyverlust alles gelöscht? Nur der Admin-Account und die Netzwerkeinstellungen? Oder auch alle Dateien des Admins und alles was damit verknüpft war (Kopano Mails etc.)?
 

Steco84

Benutzer
Mitglied seit
06. Sep 2019
Beiträge
31
Punkte für Reaktionen
3
Punkte
8
1) Man kann die 2-Faktoren Authentifizierung NICHT MEHR rückgängig machen, obwohl man den Haken in der Systemsteuerung ja einfach wieder wegnehmen kann. Nur ändert das nichts, und ich werde trotzdem bei jedem Login nach den Code gefragt.

Das selbe Problem, dass ich die 2 Wege Authentifizierung nicht deaktivieren konnte hatte ich auch. Habe dann im Netz gelesen das man noch in den Persönlichen Einstellungen zusätzlich den Haken raus nehmen muss. Seitdem klappt es wieder nur mit dem Benutzerpasswort.

Unbenannt.JPG
 
  • Like
Reaktionen: Jens H

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Ich habe nur Angst, das vor lauter verschlüsseln und 2 Stufen Verifizierung irgendwann mal was nicht mehr geht und man nicht mehr ums verrecken in seine Syno reinkommt.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Keine Sorge - einfacher Reset direkt an der DS wird dann helfen.
Laufwerke oder Ordner werden verschlüsselt, aber das ist ein anderes Thema. ?
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Hab nun die 2FA auf beiden Geräten eingerichtet. Das Problem war, dass man im Nachhinein kein weiteres Gerät hinzufügen kann
Du kannst immer und zu jeder Zeit die Codes auf so vielen weiteren Geräten erzeugen lassen wie du das möchtest.
Ich habe das im Detail hier erklärt <klick>

Es wurde zwar schon erklärt aber zur Sicherheit hier nochmal:
Du kannst die 2 FA jederzeit, auch ohne Reset, ein- bzw. ausschalten!
Es gibt 2 Stellen im DSM 6 für die 2 FA:

1. der Admin der Diskstation legt fest ob eine 2 FA benützt werden MUSS, oder ob eine 2 FA benützt werden KANN.
DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > ganz hinunterscrollen zu 2 FA und die Einstellung setzen > mit "Übernehmen" rechts unten bestätigen.

2. Wenn im Punkt 1 der Admin die 2 FA auf "KANN" gesetzt hat, also in Punkt 1. kein "Zwang" vorgegeben wurde durch den Admin, dann kann jeder User selber frei wählen ob er die 2 FA nutzen will oder nicht.
Wenn der Admin in Punkt 1 also keine Option gesetzt hat, kann der User die 2 FA für sich frei wählen:
DSM > ganz rechts oben im Menü auf "Optionen" (= das Kopf-Icon zwischen Sprechblase und Lupe) klicken > Persönlich > Register "Konto".
Hier den Haken setzen auf 2-Stufen Verifzierung > 2-Stufen Verifzierung anklicken und den Assistenten folgen.
Jeweils mit OK rechts unten bestätigen.
Sollte der Haken "inaktiv" also hellgrau sein, dann hat der Admin, wie in Punkt 1. beschrieben die 2 FA zwingend vorgeschrieben! Der User MUSS dann die 2 FA nutzen und kann daher den Haken nicht abwählen, so lange bis der Admin in 1. den "Zwang" wieder aufhebt.
 
Zuletzt bearbeitet:

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Danke, habe ich mittlerweile schon gefunden. Was ich aber nicht sehe, ist die Möglichkeit, 2FA auf „kann“ zu setzen. Es geht nur an oder aus.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
@Jens H Die Option "kann" ist standardmäßig aktiviert. Das kann man nicht abschalten. Aber man kann 2FA erzwingen oder nicht.

Also wenn die 2FA erzwungen wird, müssen die User/Admins die 2FA verwenden. Wenn hier das Häkchen nicht gesetzt ist, kann jeder User selbst frei entscheiden ob er 2FA verwenden möchte.


Globale Einstellungen:
syno-dsm-2fa.png

Benutzerspezifische Einstellung:
syno-dsm-2fa-user.png
 
  • Like
Reaktionen: Jens H

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
278
Punkte für Reaktionen
7
Punkte
18
Ah jetzt hab ich’s. Wenn ich es auf der Admin Ebene deaktiviere, kann es jeder User unter „persönlich“ trotzdem anwählen. Danke!
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Genau so ist es gedacht.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat