DSM 7.2 Secure SignIn als zweiten Factor

[Cmd. Toppik]

Moin Gemeinde,

Mich würde mal Eure Meinung interesieren.

Synology bietet ja Mit Secure SignIn mehrer Möglichkeiten zur sicheren Anmeldung an.

-Kennwortlose Anmeldung (kommt in meinen Augen nicht in Frage, da irgendwie der zweite Faktor fehlt.
-OTP (Habe ich im Moment aktiv
-Anmeldegenehmigung (finde ich recht interessant)

Null stellt mir sich die Frage ob die Anmeldegenehmigung vielleicht unsicherer als OTP ist. Die scheint ja über das Synology Konto und damit über die Synology Server zu laufen. Könnte ja ggf. eine Schwachstelle sein.

Wie gesagt mich interessiert mal Eure Meinung dazu und wie Ihr eure Synology absichert.

 

[plang.pl]

Jedenfalls ist dieser zweite Faktor sicherer, als keinen zu nutzen. Tendenziell ist das schon unsicherer als OTP würd ich sagen. Aber das spielt in dem Szenario m.E. keine Rolle

 

[Wile E Coyote]

Servus,
muss man bei der 2FA und dort bei der Anmeldegenehmigung (nicht OTP) nicht den externen Zugriff auf das DSM zulassen? So funktioniert es jedenfalls bei mir, von daher finde ich derzeit OTP besser.

 

[Synchrotron]

Anmeldegenehmigung ist cool - anklicken, kurz warten, die Anfrage auf der Apple Watch öffnen, genehmigen, 2-3 Sekunden später geht der Sesam auf.

Technisch am neutralsten ist die Variante mit OTP. Dabei ist es wichtig, dass die CMOS-Batterie der DS nicht leer ist. Sonst kann sich die Systemzeit verstellen. Das verhindert dann die Freigabe per Code, weil sie zeitabhängig ist.

 

[Ronny1978]

Ich nutze einen Yubikey als Hardware Token. Funktioniert super und scheint mir recht sicher zu sein. Geht aber nicht per QC.

 

[Kachelkaiser]

muss man bei der 2FA und dort bei der Anmeldegenehmigung (nicht OTP) nicht den externen Zugriff auf das DSM zulassen?

ja sehe ich auch so. Deshalb nutze ich es auch nicht, nachdem ich mein DSM nicht nach außen offen habe. Schade eigentlich, denn grundsätzlich fände ich die Option schon schön...

 

[Wile E Coyote]

@Kachelkaiser
genau so sehe ich das auch. Selbst über VPN ist kein direktes Ansprechen der DS bzgl. 2 FA möglich, sondern nur über QC, DDNS oder öffentliche IP.
Schade eigentlich….

 

[Cmd. Toppik]

Bisher nutze ich für meinen Account und den Admin OTP. Finde es nur unbequem wenn wenn ein Gerät bei einem Dienst mal aus der Vertrauenswürdigen Liste fällt oder irgenwas nicht stimmt. Das passiert ja bekannter maßen immer dann wenn es schnell gehen soll.

Von daher scheint die Anmeldegenehmigung eine schöne Sache zu sein. Mich stört daran das es wohl über die Synology Server läuft.

Über die Yubikey denke ich auch gerade nach. Gerade mit den NFC-Chiip für das Smartphone. Das ist sicherlich im moment die sicherste möglickeit. Und vielleicht auch, wenn mann sich daran gewöhnt hat, bequemer.

Servus,
muss man bei der 2FA und dort bei der Anmeldegenehmigung (nicht OTP) nicht den externen Zugriff auf das DSM zulassen? So funktioniert es jedenfalls bei mir, von daher finde ich derzeit OTP besser.

Die DSM Dineste sind bei mir schon seit über 10 Jahren zugänglich. Mir ist Bewust das VPN sicherer ist. Aber ich benutze gerne und viel die Freigabe Links und ähnliche Dienste. VPN Funktioniert supper so lange es nur für Sich ist. Aber sobald man etwas teilen möchte z.b. Photos mit Freunden wird das unpraktisch.

 

[Kachelkaiser]

Aber ich benutze gerne und viel die Freigabe Links und ähnliche Dienste. VPN Funktioniert supper so lange es nur für Sich ist. Aber sobald man etwas teilen möchte z.b. Photos mit Freunden wird das unpraktisch.

Das versteh ich gut. Ich habe aber für die diversen Apps, in denen ich evtl teilen kann, subdomains. Allerdings keinen expliziten Zugang zu DSM per Subdomain etc. Also nur eine für die Filestation oder Photos.

 

[Cmd. Toppik]

Mein erstes Nas vor 10 Jahre hatte ich einfach über DYN DNS und Portfreigaben erreichbar. Sogar über den Standard 5000 Port. Sicherlich heute die schlechteste Möglichkeit wie man es heute machen kann. Allerdings hatte ich nie Ärger mit fremden Zugriffsversuchen. Warscheinich habe ich da einfach Glück gehabt.

Mit der Anschaffung einer Neuen Synology habe ich das Sicherheitskonzept komplett überarbeitet mit Reverse Proxy wenig Ports und eigene Ports. Natürlich behalte ich die Logs im Auge.

Photostation, Drive und co sind so über CNAME und Freigabelinks erreichbar. Das DSM selber kann ich raus nehmen.

Das für mich im Moment die Lösung aus Sicherheit und Nutzbarkeit der Möglichkeiten weshalb ich die Synology habe.

 

[Ronny1978]

wenn mann sich daran gewöhnt hat, bequemer

Naja, "bequem" ist wie "sicher" und liegt immer im Auge des Betrachters. Da ich alle Nutzer zu 2FA zwinge und meine Frau und Kinder einen Yubikey haben, bilde ich mir zumindest ein, dass trotz Zugang von Außen, das NAS halbwegs sicher ist. ;-)

 

[Cmd. Toppik]

Naja, "bequem" ist wie "sicher" und liegt immer im Auge des Betrachters. Da ich alle Nutzer zu 2FA zwinge und meine Frau und Kinder einen Yubikey haben, bilde ich mir zumindest ein, dass trotz Zugang von Außen, das NAS halbwegs sicher ist. ;-)

Die Yubikeys erscheinen mir auch eine interessante und nicht zu unbequeme Lösung zu sein.

Werde mir mal 2 besorgen und es ausprobieren.

 

[Kachelkaiser]

meine Frau und Kinder einen Yubikey haben

Das klingt spannend. Wie ist dabei der WAF und welches Modell verwendest du?

 

[metalworker]

ich bin aktuell auch dabei privat erstmal mit den Yubikey zu testen ,

Ich hab die großen mit USB A Anschluss und NFC

 

[Ronny1978]

hab die großen mit USB A Anschluss und NFC

Haben wir auch und nutzen das, wo es nur geht. Google, Microsoft, GitHub, cloudflare, usw. teilweise sogar als Passkey. Funktioniert super.

welches Modell verwendest du?

Yubikey 5 NFC -> alle (Frau, Kinder, ich). Selbst meine Kinder haben sich daran gewöhnt. Bei meiner OpnSense habe ich das OTP noch nicht eingestellt. Man hat 32 OTP Accounts : 31 sind bei MIR belegt. Ein paar als Backup für meine Kids bzw. meine Frau.