DSM 7.2 2FA wird immer wieder abgefragt

[Ghost108]

Guten Morgen,

wir nutzen 2FA auf unserer Synology.
Immer wieder (ich würde sagen, alle 3 Monate - aber genau weiß ich es nicht), werden wir auf den iPhone Apps wieder nach dem 2FA gefragt.
Gibt es eine Möglichkeit, dieses Zeitfenster zu verlängern bzw bestimmte Geräte als "sicher" zu definieren, sodass bei diesen Geräten nach der Anmeldung kein 2FA mehr notwendig ist?

 

[maxblank]

Ja, die Möglichkeit gibt es. Bei der DSM-Anmeldung kann angehakt werden, dass auf diesem Gerät nicht mehr nach 2FA gefragt wird. Wobei das in meinen Augen allerdings doch genau gegen den Sinn von 2FA geht.

 

[Ghost108]

ja diesen Haken haben wir bereits mehrfach bei den Apps gesetzt - DENNOCH wird man wieder danach gefragt

 

[maxblank]

Entspricht doch dem Sinn von 2FA, dass regelmäßig geprüft wird, ob der Anender im Besitz des zweiten Faktors ist. Wenn es so störend ist, abschalten.

 

[Ghost108]

es entspricht aber nicht dem Sinn, wenn ich die Option aktiviere, das nicht mehr danach gefragt werden soll, wenn ich ein Gerät als sicher markiere.

 

[bertoal]

Du musst mal im Forum suchen, das Thema hab es vor kurzem schon einmal - ggf gab es da eine Lösung, wobei ich auch bei @maxblank bin, dass spätestens in diesen Intervallen eine Überprüfung nicht von Nachteil ist (sonst kann man ja auch auf 2fa verzichten)

 

[maxblank]

das nicht mehr danach gefragt werden soll, wenn ich ein Gerät als sicher markiere.

Doch, tut es und in manchen Bereichen wurden die Anbieter sogar gesetzlich dazu verpflichtet, siehe Online-Banking.

 

[Ghost108]

mag sein. aber wenn ich eine Option anbiete "nicht mehr danach fragen", dann sollte diese Option auch funktionieren

 

[bertoal]

Dann mal SuFu bemühen und ggf synology kontaktieren

Edit: anderen geht es mir monatlich noch schlechter

 

[maxblank]

Dann frag doch mal in einem Ticket beim Synology Support nach und dann bitte hier eine Info hinterlassen, was die gemeint haben.

 

[Ghost108]

erledigt - Verknüpfung hiermit auf das bestehende Thread:
https://www.synology-forum.de/threa...a-authentifiziert-werden.135727/#post-1204266

 

[maxblank]

Prima, danke dir - bin auf die Antwort des Supports gespannt.

 

[Kaiser Wilhelm]

Meines Wissens ist das Anhaken in einem Cookie hinterlegt und wenn man den löscht, dann wird eben erneut die 2FA abgefragt.

Solange ich auf meinem PC und Firefox nicht die entsprechenden Cookies für die Weboberfläche lösche, wird auch nicht erneut nachgefragt.

 

[Kachelkaiser]

ja genau. Siehe hier

https://kb.synology.com/de-de/DSM/help/DSM/SecureSignIn/2factor_authentication?version=7

Anmerkung:​

• Gespeicherte Geräte werden nur erkannt, wenn Sie sich mit demselben Konto und im selben Browser anmelden. In den folgenden Szenarien ist 2FA erforderlich, auch wenn Sie ein Gerät zuvor als gespeichert markiert haben:
  • Sie melden sich mit demselben Konto, aber in einem anderen Browser an.
  • Sie haben die Cookies von Ihrem Browser gelöscht.
  • Sie markieren ein Gerät als gespeichert, wenn Sie sich als Benutzer A anmelden, und markieren dasselbe Gerät als gespeichert, wenn Sie sich als Benutzer B anmelden. Wenn Sie sich danach als Benutzer A erneut anmelden, ist 2FA dennoch erforderlich.

 

[geimist]

Wobei das in meinen Augen allerdings doch genau gegen den Sinn von 2FA geht.

Das sehe ich anders. Ich habe keine Sorge, dass z.B. auf meinem iPhone jemand die NoteStation App kompromitiert (wenn jemand Zugriff auf mein iPhone hat, habe ich andere Probleme). Für mich ist 2FA in zusätzlicher Vektor für externe Zugriffe, aber nicht für Apps innherhalb von Geräten, denen ich vertraue. Dort möchte ich gern für eine App entscheiden, nicht mehr gefragt zu werden (u.a. weil das Ausfüllen des OTP nicht gerade elegant funktioniert). Das kann man zwar durch Setzen des Schalters, aber diese Einstellung geht halt verloren.

 

[maxblank]

Da die meisten Angriffe allerdings über infizierte Geräte im internen Netzwerk kommen, habe ich dazu eine andere Einstellung.
Ich übertrage auch bei mir im internen Netzwerk den Datenverkehr verschlüsselt und auch meine internen Anmeldeportale sind gesichert, als ob diese im Internet zugänglich wären. Das kann aber jede(r) machen, wie er / sie möchte.

 

[geimist]

Natürlich. Jede Konstellation ist anders und jeder muss sein Risiko selbst bewerten.