DSM 6.x und darunter 2FA geht nicht mehr

Alle DSM Version von DSM 6.x und älter

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Ich kann mich auf der DSM nicht mehr anmelden da die Codes von der 2FA nicht mehr funktionieren.
Das ging aber vor einigen Wochen noch, da ich es wegen Handywechsel umgestellt und getestet habe.
Der Link "Sie haben ihr Mobil...." sollte ja ne Mail senden, schreibt es auch, aber ich weiß nicht wo hin... Hinterlegt müsste aber eine Mail Adresse sein sonst geht das doch nicht. oder?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Was für eine DS? Eventuell ältere? -> BIOS Batterie leer -> Zeit stimmt nicht -> 2FA geht nicht oder auf dem Mobilgerät passt die Systemzeit nicht.
Du kannst dich einfach als admin anmelden ohne 2FA, wenn du den einfachen Reset ausführst. Gelöscht wird dabei nix.
 

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Ich habe noch einen Notfall admin Zugang und hab die 2FA deaktiviert.
Jetzt wollte ich es einrichten und es passte einfach der Code nicht. hab verschiedene Time Dienste gewechselt ... nichts.
Jetzt hab ich die syno sigin app installiert und damit geht es sofort.
Ich will jetzt aber nicht für jede 2FA eine App installieren, das wäre ja 10 Jahre Rückschritt
Die Zeit Dienste in der FW kann ich noch mal abgleichen, sonnst fällt mir da auch nichts ein.... Zeit ist auch die gleiche per Minute (sekunden zeigt es ja nicht an)
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
Kann es sein dass du in die 2FA "Falle" vom neuen DSM 7 getappt bist? ;)

Ich meine damit folgendes:
Früher unter DSM 6 konntest du ohne Probleme im DSM unter Optionen > Persönlich > Konto > Anmeldemethode > die 2 FA Seite jederzeit Aufrufen.
DAS darfst du unter DSM 7 aber jetzt nicht mehr tun!
Grund:
Früher wurde dir dort der QR Code gezeigt und du konntest damit mehrere handy usw für 2 FA "anlernen".
JETZT mit DSM 7 geht das nicht mehr, weil sofort beim Öffnen der 2FA Option automatisch IMMER ein neuer QR Code erstellt wird!
Das wäre die Erklärung warum deine Codes jetzt nicht mehr gehen.
Mir ist es auch damals beim Einrichten der Test DS118 passiert mit DSM 7.
handy 1 eingerichtet, alles ok. Dann wie gewohnt Optionen 2FA aufgerufen Code mit handy 2 eingelesen, alles gut - Ja, aber nicht für handy 1!
Dessen Codes waren auf einmal alle falsch! Es hatte sich ja der QR Code geändert!
Abhilfe:
1x QR Code anzeigen lassen und fotografien/screenshot usw machen und handy 1 damit einrichten.
Dann nie mehr die Optionen 2FA aufrufen!
Sondern handy 2 mit dem kopierten/gesicherten QR Code ebenfalls einlesen. JETZT laufen beide handy mit funktionierendem Code. *)

Anmerkung:
Ich habe überhaupt umgestellt auf SecureSignIn, also die APP Funktion am handy welches die Genehmigung erteilen muss zum Einloggen.
Ist wie eine Bank APP, User loggt sich mit Namen wie gewohnt auf der DS ein und meldet sich damit an.
Dann bekommst du als admin eine APP Info: User X möchte sich Anmelden, wollen Sie Genehmigen/Ablehnen > du tippst auf Genehmigen, bestätigst mit Fingerabdruck oder handy PIN Code usw und jetzt läuft die Anmeldung von deinem User erst weiter.
Das Zahlencode abtippen entfällt und du siehst sofort ob jemand sich unberechtigt Anmelden möchte.

*) Solltest du doch wieder mal die 2FA Optionenseite aufgerufen haben, dann bleibt nichts anderes über als die handys neu "anzulernen", wie erwähnt nur 1 x QR Code anzeigen und sofort "sichern".
Handy1 läuft damit.
Handy 2, oder tablett usw usw dürfen jetzt aber nur mehr mit dem gesicherten Code eingelesen werden!

Hinweis:
Bei SecureSignIn ist es genau umgekehrt!
Hier muss zwingend jedesmal der neue QR Code verwendet werden! Du hast Secure SignIn am handy 1 eingerichtet und klickst wieder auf Anmeldemethode Secure SignIn, JETZT auf "Hinzufügen" klicken und den Anweisungen für handy 2 folgen!
Ebenso für weitere Geräte. Es wird dir eine Liste angezeigt welche Clienten du "angelernt" hast für Secure SignIn.
Dabei bekommt jedes Gerät einen "eigenen" QR Code angezeigt und die anderen funktionieren aber weiter!

Hinweis 2:
Manchmal werden zu den SecureSignIn Anmeldungen Zahlenkreise angezeigt, die Person die sich Anmeldet sieht EINEN Zahlenkreis, du auf der handy APP als Admin siehst aber 3 ZAHLENKREISE, du musst auf die Zahl tippen welche bei der Anmeldung angezeigt wird:

secure_signin_zahlenkreisabfrage.png

Die "Zahlenkreise" kommen nach Zufallsprinzip und nur von Zeit zu Zeit!
Wie erwähnt die Zahlenkreise kommen nur von Zeit zu Zeit, normalerweise sieht die Anmeldeanfrag so aus:
secure_signin.png
Hier klickst du nur auf "Genehmigen" und danach Fingerprintprüfung am handy oder handy PIN Eingabe oder Gesichtserkennung/Iriserkennung oder was sonst du auch immer zur Anmeldung als Sicherheit auf deinem handy eingerichtet hast.
Diese Funktion ist ja unabhängig von Synology/SecureSignIn sondern hast du irgendwann am handy selber eingerichtet wo dich dein handy als "DU" identifziert.

Vorteil bei SecureSignIn:
Sollten die Clienten die Genehmigung nicht erteilen können weil nicht verfügbar, Akku leer, entwendet usw usw dann sendet die Synology eine weitere Anmeldeanfrage und wenn dann nach 30 Sekunden wieder von dir keine Freigabe kommt, DANN erscheint zB am PC wo jener der sich angemeldet hat der blaue "Notfalltext": Andere Anmeldemethode verwenden, er klickt dann einfach drauf und kommt wie von früher gewohnt zur Kennwortabfrage, er tippt sein Kennwort ein und ist angemeldet.

secure_singin_anmelden_andere_methode.png

Für den Fall das SecureSignIn nicht zur Verfügung steht.
Also ohne Notfallcode, ohne Notfall-Emails usw.
Einfach wie gewohnt nach Namenseingabe und gescheiterter SecureSignIn Abfrage auf "Andere Anmeldemethode klicken" > Kennwort eingeben > im DSM eingeloggt.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: LutzHase und plang.pl

LutzHase

Benutzer
Mitglied seit
06. Jul 2017
Beiträge
53
Punkte für Reaktionen
9
Punkte
8
Das hört sich plausibel an aber ich bleibe schon beim einrichten hängen.
Ich lösche die alte Verbindung am Handy, setze 2af zurück, setze 2af wieder auf aktiv und dann kommt ja nur der eine QR Code. Und den scanne ich und mit diesen Codes geht es schon nicht...
Ich werde aber die Sign APP mal testen, es kommen ja einige Nas zusammen, dafür ist das dann ok.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
kommen ja einige Nas zusammen
Ich bin sicher dann wird dir SecureSignIn gefallen, du musst nicht mehr wie früher in der Liste der Gerätecodes die Zeile für das gerade "richtige" NAS suchen :)
Die APP zeigt dir den Namen der Synology an wo die Freigabe angefordert wurde. Also den Servernamen welchen du vergeben hast.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Bin auf SecureSignin umgestiegen.

Für mich der Killerfaktor: Die App gibt es auch für die Apple Watch. DS aufrufen, Sekunden später macht es Bing am Handgelenk, 1 Tap, und die DSM-Oberfläche ist offen.

iPhone geht auch, aber im Regelfall ist die Watch einfach die bequemste Lösung.
 
  • Like
Reaktionen: Kurt-oe1kyw

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
@Synchrotron

LASS DICH DRÜCKEN!
DANKE für den Hinweis.
Ich habe das für den Synology Chat auf der Samsung Watch (Android), wusste aber nicht dass dies auch für SecureSignIn vorhanden ist.

secure_singin_samsung_watch_uhr1_.png
secure_singin_samsung_watch_uhr3.png
Funktioniert einwandfrei!

DS aufrufen, Sekunden später macht es Bing am Handgelenk, 1 Tap, und die DSM-Oberfläche ist offen.
Korrekt, genauso auch unter Android mit der Samsung Swatch.
Allerdings ist es hier keine APP sondern einfach nur die Benachrichtigung am handy für die Uhr aktivieren, also bei SecureSignIn den Schieberegler nach Rechts auf "Ein" schieben. Fertig.
 
  • Like
Reaktionen: Synchrotron

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Danke für die lieben Worte - fühle mich gedrückt.

Gibt ganz viel gutes Karma ;) für beide ;);)
 

DS-Thorsten

Benutzer
Mitglied seit
01. Mrz 2020
Beiträge
56
Punkte für Reaktionen
28
Punkte
18
Vorteil bei SecureSignIn:
Sollten die Clienten die Genehmigung nicht erteilen können weil nicht verfügbar, Akku leer, entwendet usw usw dann sendet die Synology eine weitere Anmeldeanfrage und wenn dann nach 30 Sekunden wieder von dir keine Freigabe kommt, DANN erscheint zB am PC wo jener der sich angemeldet hat der blaue "Notfalltext": Andere Anmeldemethode verwenden, er klickt dann einfach drauf und kommt wie von früher gewohnt zur Kennwortabfrage, er tippt sein Kennwort ein und ist angemeldet.

Anhang anzeigen 77770

Für den Fall das SecureSignIn nicht zur Verfügung steht.
Also ohne Notfallcode, ohne Notfall-Emails usw.
Einfach wie gewohnt nach Namenseingabe und gescheiterter SecureSignIn Abfrage auf "Andere Anmeldemethode klicken" > Kennwort eingeben > im DSM eingeloggt.
Ich nutze aktuell 2FA über den Google Authenticator. Mein Ziel war, alle Zugänge über eine "2FA App". Werden jedoch immer mehr und unübersichtlich. + Zahlen eingeben nervt. Daher überlege ich für meine NAS doch auf SecureSignIn zu gehen.

Hab ich das richtig verstanden. 2mal SecureSignIn "ignorieren", dann kann man sich normal per Passwort anmelden? Was bringt dann der 2. Faktor für einen zusätzlichen Schutz, wenn ich auch ohne den mich anmelden kann? Oder hab ich da was übersehen in der Logik?
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.214
Punkte für Reaktionen
1.034
Punkte
224
Secure SignIn ersetzt das Passwort, wenn du dich bereits angemeldet hast. Wenn das dann warum auch immer nicht funktioniert, nimmst du das Passwort. Nach einer erfolgreichen Anmeldung hast du aber nur einen Faktor.

Wenn du dich das erste mal anmeldest, müsste er beides fordern und es dürfte nicht „einfach so“ über die von dir beschriebene Methode gehen. Bei mir wird das Konto entsprechend meiner Richtlinien gesperrt, wenn ich den Code zu oft falsch eingebe.

2FA ist nicht alleine der Code, es bedeutet, dass zwei Faktoren verwendet werden müssen.
 
Zuletzt bearbeitet:

DS-Thorsten

Benutzer
Mitglied seit
01. Mrz 2020
Beiträge
56
Punkte für Reaktionen
28
Punkte
18
OK, dann brauche ich mit Secure SignIn im Normalfall kein Passwort mehr. Praktisch.

Wie ist die Sicherheit einzuschätzen? Secure SignIn auf einem 2. (anderen) Gerät im Vergleich zu einem guten Passwort?

Heißt aber, dass eine echte 2FA (Passwort + Einmalpasswort) vom Prinzip sicherer ist als Secure SignIn?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Secure Sign in funktioniert nach dem Prinzip „Besitz“: Ich muss ein für das Konto angemeldetes Gerät besitzen und entsperrt nutzen können.

Das ist der zweite Faktor zusätzlich zu „Wissen“, dem Passwort.

Zusätzlich generiert die Secure Signin App auch noch zeitbasierte Einmalcodes.

Für mich der Killerfaktor: Secure Signin läuft auch auf meiner Apple Watch. Ein Tap, kurz warten, fertig.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.214
Punkte für Reaktionen
1.034
Punkte
224
Wie ist die Sicherheit einzuschätzen? Secure SignIn auf einem 2. (anderen) Gerät im Vergleich zu einem guten Passwort?
Mir scheint, du hast das Prinzip noch nicht ganz verstanden. Es geht darum, dass die Sicherheit durch einen zweiten, unterschiedlichen Schritt erhöht wird. Oder wie @Synchrotron schreibt, Besitz ./. Wissen – das eine ist nicht „besser“ als das andere, weil wir über zwei unterschiedliche Dinge sprechen, die sich ergänzen sollen.
Heißt aber, dass eine echte 2FA (Passwort + Einmalpasswort) vom Prinzip sicherer ist als Secure SignIn?
Secure SignIn ist eine echte 2FA. Das Einmalpasswort ist grundsätzlich ein unsicheres Passwort, da nur sechsstelliger Zahlencode, da geht es aber wie gesagt – so wie auch bei Secure SignIn – um Besitz, nicht um Wissen, wie beim Passwort. Schau bei Interesse mal in den entsprechenden Wikipedia-Artikel, der klärt schonmal die Grundlagen.
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.167
Punkte für Reaktionen
115
Punkte
83
Wie ist das mit Secure Sign wenn das Handy kein Netz hat. Dann kann ich mich auch nicht einloggen?
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.214
Punkte für Reaktionen
1.034
Punkte
224
Laut Synology:
  • Secure SignIn erfordert die Anmeldung beim Synology-Konto
    • Anmeldegenehmigung benötigt den Push-Benachrichtigungsdienst von DSM und funktioniert nur einwandfrei, wenn das Synology NAS sich mit dem Synology-Konto verbinden kann
Ohne Netz wird das schwierig. Also das NAS kann die Benachrichtigung pushen, wenn es mit dem Internet verbunden ist, aber wenn das Smartphone keine Verbindung hat, kann es die aus meiner Sicht nicht abrufen.

Wenn du schon einmal angemeldet warst, kannst du dich in dem Falle mit deinem Passwort anmelden, ansonsten gab es aber irgendeine Rückfalloption, wenn ich mich recht erinnere.
 

DS-Thorsten

Benutzer
Mitglied seit
01. Mrz 2020
Beiträge
56
Punkte für Reaktionen
28
Punkte
18
Mir scheint, du hast das Prinzip noch nicht ganz verstanden. Es geht darum, dass die Sicherheit durch einen zweiten, unterschiedlichen Schritt erhöht wird. Oder wie @Synchrotron schreibt, Besitz ./. Wissen – das eine ist nicht „besser“ als das andere, weil wir über zwei unterschiedliche Dinge sprechen, die sich ergänzen sollen.

Secure SignIn ist eine echte 2FA. Das Einmalpasswort ist grundsätzlich ein unsicheres Passwort, da nur sechsstelliger Zahlencode, da geht es aber wie gesagt – so wie auch bei Secure SignIn – um Besitz, nicht um Wissen, wie beim Passwort. Schau bei Interesse mal in den entsprechenden Wikipedia-Artikel, der klärt schonmal die Grundlagen.
Ja, ich habs glaub noch nicht ganz begriffen :(

Nochmal zur Secure SignIn bzw. Umsetzung von Synology. Oben wurde gesagt, dass man Secure SignIn 2mal "ins leere" laufen lassen kann und dann auf der Oberfläche eine alternative Anmeldemethode angeboten wird. Und dann ist der Zugang NUR mit dem Passwort möglich. Damit hab ich doch kein echtes 2FA, wenn ich auch "nur" mit dem Passwort rein komme.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Wie ist das mit Secure Sign wenn das Handy kein Netz hat. Dann kann ich mich auch nicht einloggen?
Kein Netz = was ?

Kein Internet, egal wie ? Dann nimmst du den Zahlencode - Secure Signin erzeugt als Alternative auch Zahlencodes.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat