Diskstation Admin-Account mit Google Authenticator nicht mehr erreichbar

[isch83]

Guten Morgen Zusammen,

ich habe meine Diskstations mittels Passwort und als zweiten Faktor Google Authenticator gesichert.

Bei einer Diskstation hatte ich wiederholt Probleme mit der Zeitsynchronisation weshalb die Diskstation und die Google App nicht mehr synchron waren.
Ich habe mir dann recht einfach mit dem Notfall-Code geholfen. Allerdings habe ich nicht bedacht das nach 5 Codes es keine Notfall Codes mehr gibt.
Jetzt kann ich mich jedenfalls nicht mehr als Admin anmelden.

Ich hab schon ein bisschen nach dem Problem gesucht und festgestellt das ich nicht der erste bin.

Hier im Forum und im Internet habe ich gefunden das man einen Reset des Admin Accounts durchführen soll. Da ich allerdings derzeit nicht vor Ort bei der DS bin suche ich nach einer anderen Lösung per Software/Konsole.

Weiß jemand wo die 2 Faktor Autentifizierung abgespeichert ist? Bzw. wäre es nicht möglich per Konsole den Admin User zu kopieren und am gesperrten Account die 2 Faktor Autentifizierung zu deaktivieren?

Meine Passwörter kenne ich ja alle

Ich bin allerdings auch für alle anderen Ideen offen

 

[Merthos]

Wenn Du auf die Konsole kommst, dann stell doch einfach die Zeit richtig.

 

[isch83]

Ja das war die Lösung. Danke für den Denkanstoß mit der Uhrzeit!

Auf der DS war die Uhrzeit eine Minute vor dem Handy. Hab das ganze eine Minute zurückgedreht und schon bin ich wieder dran gekommen.

Merkwürdig ist allerdings das die Uhrzeit nicht korrekt eingestellt war obwohl ich einen Zeitserver nutze.

 

[luddi]

Merkwürdig ist allerdings das die Uhrzeit nicht korrekt eingestellt war obwohl ich einen Zeitserver nutze.

Hoffentlich verwendest du für beide Geräte den gleichen Zeitserver um den Drift möglichst gering zu halten.

Aber kleine Time drifts sind auch hier laut Spezifikation erlaubt.

Quelle: http://tools.ietf.org/html/rfc6238

6. Resynchronization
...
This limit can be set both forward and backward from the calculated
time step on receipt of the OTP value. If the time step is
30 seconds as recommended, and the validator is set to only accept
two time steps backward, then the maximum elapsed time drift would be
around 89 seconds, i.e., 29 seconds in the calculated time step and
60 seconds for two backward time steps.
...

 

[isch83]

Also auf der DS habe ich den Standardserver benutzt. Dort waren wir zwei Minuten vor der Zeit.
Auf dem Handy (Android) habe ich keinen Einfluss auf den Zeitserver. Hier wird die Uhrzeit aus dem Netz gezogen.

 

[Matthieu]

Der Google-Authenticator hat einen eigenen Mechanismus zur Zeitkorrektur. Welche Server da angefragt werden, weiß ich aber nicht.
Wie viel Offset erlaubt ist, hängt davon ab wie Synology den Dienst konfiguriert hat. Das PAM-Modul welches mit dem Authenticator durch Google bereitgestellt wird, verweist darauf auch bei der Konfiguration. Empfohlen werden dort glaube ich 2 Minuten.

MfG Matthieu