DSM 6.x und darunter 2FA geht nicht mehr

Alle DSM Version von DSM 6.x und älter

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
Secure Sign wenn das Handy kein Netz hat.

Dann klickst du nach der Eingabe vom Benutzernamen und der Anforderung am handy (die dann natürlich nicht kommt weil handy nicht verfügbar ist) nach 2 Versuchen auf den jetzt neu erscheinenden blauen Hinweistext : "Mit anderer Anmeldemethode verbinden", daraufhin fordert deine Synology dich auf das korrekte Kennwort für den zu Beginn eingetragenen (anfordernden) Usernamen einzugeben und danach erfolgt das Einloggen.

Heißt aber, dass eine echte 2FA (Passwort + Einmalpasswort) vom Prinzip sicherer ist als Secure SignIn?
Nö, Secure Signin ist sicherer.
Du meldest dich mit Username an, die Anforderung geht jetzt an allle REGISTRIERTEN Endgeräte (handy, tablett usw) die du damals bei der Einrichtung von Secure SignIn eingetragen und aktiviert hast.
Nur diese Registrierten Geräte können die Anmeldung jetzt genehmigen durch tippen auf "Genehmigen", JETZT öffnet sich am handy zunächst die weitere Verifizierung die du für dein handy nutzt! Also zB du verwendest den Iris-Scan, dann fordert dich dein handy jetzt auf deinen Augenscan am handy durchzuführen und erst nachdem "DU" erkannt worden bist, leitet das handy die Genehmigung zur Anmeldung weiter.
Zusätzlich erscheint in unterschiedlichen Zeitintervallen eine Ziffern-Sicherheitsabfrage!
Das bedeutet folgenden Ablauf:
Jemand meldet sich via Webbrowser auf der Synology mit Namen an und zusätzlich erscheint unten 1 Kreis mit Ziffern.
Secure SignIn setzt jetzt den "Anmeldewunsch" an die registrierten Geräte ab und du tippst am handy auf "Genehmigen", danach zeigt dir dein handy 3 verschiedene Kreise mit unterschiedlichen Ziffern an, du musst auf jenen tippen welcher dem Kreis mit der Ziffer am PC Bildschirm entspricht.
Zu letzt dann der Verifizierungsprozess am handy, Fingerprint, PIN Eingabe, Iris-Scan, Gesichtsscan usw. was immer du auch am handy verwendest.
Hast du also auf "Genehmigen" getippen, wurde der richtige Kreis mit Ziffer angetippt und der Fingerprint/Pin/Gesichts-/Irisscan erfolgreich absolviert dann schaltet das handy die Genehmigung an die Synology durch und der Ameldevorgang wird dort fortgesetzt.

Wie erwähnt in unregelmässigen Abständen erscheint EIN KREIS am PC Bildschirm bei der Anmeldung, am handy erscheinen dann 3 Kreise mit Ziffern und nur wenn der Kreis bestätigt wird, der auch am PC angezeigt wird, geht es weiter mit dem Iris-Scan, Gesichtssan, Fingerprint Scan usw.
secure_signin_zahlenkreisabfrage.png
Oben im Bild ist eine der 3 Ziffern auch am PC bei der Anmeldung zu sehen, du musst hier diese Ziffern antippen.
Ich habe bis jetzt noch kein Muster erkennen können, wann diese zusätzliche "Kreiszahlenabfrage" kommt
 

DS-Thorsten

Benutzer
Mitglied seit
01. Mrz 2020
Beiträge
56
Punkte für Reaktionen
28
Punkte
18
Hab auf einer Synology mal SecureSignIn eingerichtet.
Anmeldung und Komfort mega. Klasse!

Man kann jedoch direkt bei der Anmeldung eine alternative Anmeldung wählen und dann reicht "nur" das Passwort.
Damit ist das doch kein durchgängiges 2FA, wenn ich einfach sagen kann ich verzichte und nehme direkt das Passwort.
Das meinte ich hier:
https://www.synology-forum.de/threads/2fa-geht-nicht-mehr.124769/post-1053350
Oder hab ich wieder was übersehen?

Klar, man bekommt das evtl. auf dem Handy mit, dass jemand eine Freigabe wollte. Und ich kann ein total langes Passwort verwenden das ich quasi nie eingeben muss und es so auch extrem unwahrscheinlich ist, dass es jemand mit mitlesen kann.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.214
Punkte für Reaktionen
1.034
Punkte
224
Das verwenden der App alleine aktiviert nicht die Zwei-Faktor-Authentifizierung, das was du gerade machst, nennt Synology Kennwortlose Anmeldung. Man kann Secure SignIn verwenden, um das Passwort zu ersetzen und um es als zweiten Faktor zu verwenden. Um das Konto damit zusätzlich ab zu sichern, musst du wie folgt vorgehen:
  1. Öffnen Sie DSM > Persönlich > Konto und klicken Sie auf 2-Faktor-Authentifizierung.
  2. Wenn Sie sich unter DSM > Systemsteuerung > Synology-Konto bereits beim Synology-Konto angemeldet haben, können Sie entweder Anmeldegenehmigung, Verifizierungscode (OTP) oder Hardware-Sicherheitsschlüssel für den zweiten Anmeldeschritt auswählen.
  3. Wenn Sie sich noch nicht beim Synology-Konto angemeldet haben, ist der Verifizierungscode (OTP) die einzige verfügbare Option für den zweiten Anmeldeschritt.

Siehe auch:

https://kb.synology.com/de-de/DSM/help/DSM/SecureSignIn/2factor_authentication?version=7

https://kb.synology.com/de-de/DSM/help/SecureSignIn/iPhone?version=7
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.167
Punkte für Reaktionen
115
Punkte
83
Sehe ich das richtig dass für Secure Signin der DS immer von außen erreichbar sein muss? Also entweder per Portfreigabe oder Synology Konto?
Da ich nur VPN nutze kann ich es dann also nicht verwenden?
Macht dann so gar keinen Sinn.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Die DS muss an dem Synologykonto angemeldet sein, das dann auch für Secure Signin verwendet wird. Die einfachste Lösung ist, Quickconnect zu nutzen. Ansonsten geht es vermutlich über Port 443, wie der ganze andere Webtraffic auch. Habe ich noch nicht probiert, QC läuft bei mir eh mit.
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.167
Punkte für Reaktionen
115
Punkte
83
QC läuft bei mir nicht. Warum auch? Angemeldet bin ich im Synology Konto.
Na, dann nehme ich halt weiter den Code Generator. Habe ich ja auch allen meinen mobil Geräten drauf.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.214
Punkte für Reaktionen
1.034
Punkte
224
Die Anmeldung im Konto wird genutzt, um die Anmeldung bzw. die Infos darüber zu pushen. Bei den Codegeneratoren ist das anders, da muss nur der Zeitschlüssel zwischen beiden Geräten stimmen, aber keine Verbindung über das Internet.

QC läuft bei mir nicht. Warum auch? Angemeldet bin ich im Synology Konto.
Was hat das eine mit dem anderen zu tun?
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.167
Punkte für Reaktionen
115
Punkte
83
Es gibt bei mir hier halt keinen Zugriff von außen außer per VPN. Also weder QC noch per Protfreigabe.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat