2-Stufen Verifizierung

[Jens H]

Im Zuge einiger Aktivitäten zur Erhöhung der Sicherheit habe ich gestern den Admin-Account meiner 2 Diskstations auf 2-Stufen-Verifizierung mittels Google Authenticator umgestellt. Das klappt auch bestens. Nun meine Fragen:

1) Man kann die 2-Faktoren Authentifizierung NICHT MEHR rückgängig machen, obwohl man den Haken in der Systemsteuerung ja einfach wieder wegnehmen kann. Nur ändert das nichts, und ich werde trotzdem bei jedem Login nach den Code gefragt. Es hilft nur ein Reset der Diskstation, und dann muss man den Admin neu anlegen. Frage zu diesem Reset: Reicht es danach, wenn ich den Admin mit gleichem Passwort wie zuvor sowie alle Netzwerkeinstellungen wieder einrichte, oder ist mehr zu tun? Apps, Kopano Mailserver, Homepage - bleibt das alles samt der Einstellungen erhalten? Lösche ich mit dem Reset nicht den Admin (meinen eigenen Account) raus und damit auch den zugehörigen User aus Kopano? Würde es schneller gehen, vorher das "Hakerl" bei 2-Stufen Auth rauszunehmen und dann die Synology-Einstellungen zu exportieren und nach dem Reset wieder zu importieren?

2) Leider habe ich die Anmelde-Codes in der Authenticator App nur auf meinem Handy und nicht wie bei anderen Anbietern auf Handy und iPad. Angeblich gibt es mit der DSM Version 6 anders als bei Version 5 keine Möglichkeit, weitere Geräte hinzuzufügen. Hat dazu jemand eine Lösung?

3) Habe getestet, ob das Zusenden eines Notfallcodes im Falle von Handyverlust klappt. Hat funktioniert. Angeblich kann man sich diesen Code nur 5-mal zusenden lassen, dann muss man ein Reset machen. Ich sehe nirgends einen Zähler, bin mir daher nicht sicher, ob das so noch stimmt. Weiss jemand etwas dazu?

Danke!
Jens

 

[Wollfuchs]

Man kann die 2-Faktoren Authentifizierung NICHT MEHR rückgängig machen, obwohl man den Haken in der Systemsteuerung ja einfach wieder wegnehmen kann. Nur ändert das nichts, und ich werde trotzdem bei jedem Login nach den Code gefragt.

das finde ich aber gelinde gesagt "beschissen umgesetzt" von Syno.

 

[niklas]

Hallo,
zu 1:
Man muß auch in der Systemsteuerung unter dem Benutzer folgendes machen:

Grüße

 

[Jens H]

Vielen Dank für diesen wertvollen Hinweis, Niklas! Habe ich nirgends gefunden. Sogar auf den Seiten von Synology hab ich nur die Anleitung mit dem Reset gefunden.

 

[Synchrotron]

Zu 2) Habe es bei Synology noch nicht probiert, aber normalerweise kann man jeden Authenticator nehmen, nicht nur den von Google. Es heißt zwar oft „Google-Authenticator“, bei mir tut aber der von Microsoft genau den gleichen Dienst. Auch viele Passwortmanager integrieren inzwischen die Erzeugung von 2FA-Codes. Ich halte allerdings die Verwendung von 2 unabhängigen Apps grundsätzlich für sicherer.

Wenn man die gleichen Startdaten vorgibt, erzeugen Authenticator auf allen Geräten den gleichen Code. Wichtig ist nur die korrekte Zeit und Zeitzoneneinstellung, darauf basiert die Codeberechnung. Es gibt keine Einschränkung der Geräteanzahl, es muß nur jeweils eigens eingerichtet werden. Ein Sync über die einschlägigen Clouddienste würde den Sinn des 2FA-Codes aushebeln, weil dann die Codes über ein ungeschütztes Medium übertragen würden.

Also einfach auf dem iPad noch mal anlegen.

Zu 3) Das ist einfach eine Sperre, die einen Brute-Force-Angriff auf den 2FA-Code verhindern soll. Mal sind es 5, mal sind es 10 Notfallcodes. Die sind auch nur dafür gedacht, dass man im Notfall an den geschützten Account heran kommt, und 2FA dann deaktivieren oder neu einrichten kann. Die sind nicht dafür gedacht, damit regulär zu arbeiten.

 

[Jens H]

Vielen Dank, Synchrotron! Hab nun die 2FA auf beiden Geräten eingerichtet. Das Problem war, dass man im Nachhinein kein weiteres Gerät hinzufügen kann, was nach Deinen Ausführungen nun ja logisch ist. Durch Deaktivieren und neuem Einrichten des 2FA für beide Geräte klappts aber nun. In einem älteren Thread wurde behauptet, dass es mit DSM auf mehreren Geräten nicht funktioniert, deshalb hab ichs gar nicht erst probiert:

https://www.synology-forum.de/threa...wei-oder-mehreren-smartphones-moeglich.77077/
Offene Frage: Was wird beim Reset im Falle von Handyverlust alles gelöscht? Nur der Admin-Account und die Netzwerkeinstellungen? Oder auch alle Dateien des Admins und alles was damit verknüpft war (Kopano Mails etc.)?

 

[Steco84]

1) Man kann die 2-Faktoren Authentifizierung NICHT MEHR rückgängig machen, obwohl man den Haken in der Systemsteuerung ja einfach wieder wegnehmen kann. Nur ändert das nichts, und ich werde trotzdem bei jedem Login nach den Code gefragt.

Das selbe Problem, dass ich die 2 Wege Authentifizierung nicht deaktivieren konnte hatte ich auch. Habe dann im Netz gelesen das man noch in den Persönlichen Einstellungen zusätzlich den Haken raus nehmen muss. Seitdem klappt es wieder nur mit dem Benutzerpasswort.

 

[Jens H]

Danke, hat niklas oben schon geschrieben, aber doppelt hält besser.

 

[Speicherriese]

Ich habe nur Angst, das vor lauter verschlüsseln und 2 Stufen Verifizierung irgendwann mal was nicht mehr geht und man nicht mehr ums verrecken in seine Syno reinkommt.

 

[Thonav]

Keine Sorge - einfacher Reset direkt an der DS wird dann helfen.
Laufwerke oder Ordner werden verschlüsselt, aber das ist ein anderes Thema. ?

 

[Kurt-oe1kyw]

Hab nun die 2FA auf beiden Geräten eingerichtet. Das Problem war, dass man im Nachhinein kein weiteres Gerät hinzufügen kann

Du kannst immer und zu jeder Zeit die Codes auf so vielen weiteren Geräten erzeugen lassen wie du das möchtest.
Ich habe das im Detail hier erklärt <klick>

Es wurde zwar schon erklärt aber zur Sicherheit hier nochmal:
Du kannst die 2 FA jederzeit, auch ohne Reset, ein- bzw. ausschalten!
Es gibt 2 Stellen im DSM 6 für die 2 FA:

1. der Admin der Diskstation legt fest ob eine 2 FA benützt werden MUSS, oder ob eine 2 FA benützt werden KANN.
DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > ganz hinunterscrollen zu 2 FA und die Einstellung setzen > mit "Übernehmen" rechts unten bestätigen.

2. Wenn im Punkt 1 der Admin die 2 FA auf "KANN" gesetzt hat, also in Punkt 1. kein "Zwang" vorgegeben wurde durch den Admin, dann kann jeder User selber frei wählen ob er die 2 FA nutzen will oder nicht.
Wenn der Admin in Punkt 1 also keine Option gesetzt hat, kann der User die 2 FA für sich frei wählen:
DSM > ganz rechts oben im Menü auf "Optionen" (= das Kopf-Icon zwischen Sprechblase und Lupe) klicken > Persönlich > Register "Konto".
Hier den Haken setzen auf 2-Stufen Verifzierung > 2-Stufen Verifzierung anklicken und den Assistenten folgen.
Jeweils mit OK rechts unten bestätigen.
Sollte der Haken "inaktiv" also hellgrau sein, dann hat der Admin, wie in Punkt 1. beschrieben die 2 FA zwingend vorgeschrieben! Der User MUSS dann die 2 FA nutzen und kann daher den Haken nicht abwählen, so lange bis der Admin in 1. den "Zwang" wieder aufhebt.

 

[Jens H]

Danke, habe ich mittlerweile schon gefunden. Was ich aber nicht sehe, ist die Möglichkeit, 2FA auf „kann“ zu setzen. Es geht nur an oder aus.

 

[luddi]

@Jens H Die Option "kann" ist standardmäßig aktiviert. Das kann man nicht abschalten. Aber man kann 2FA erzwingen oder nicht.

Also wenn die 2FA erzwungen wird, müssen die User/Admins die 2FA verwenden. Wenn hier das Häkchen nicht gesetzt ist, kann jeder User selbst frei entscheiden ob er 2FA verwenden möchte.


Globale Einstellungen:


Benutzerspezifische Einstellung:

 

[Jens H]

Ah jetzt hab ich’s. Wenn ich es auf der Admin Ebene deaktiviere, kann es jeder User unter „persönlich“ trotzdem anwählen. Danke!

 

[luddi]

Genau so ist es gedacht.