SecureSignIn-App als einziger 2FA-Code-Generator?

[servilianus]

Hallo in die Runde!

Sehe ich das richtig, dass unter DSM 7 und der 2FA-Autorisierung (Zahlencode) dafür zwingend die SecureSignIn-App eingesetzt werden muss - und entsprechende Apps anderer Hersteller (Authy, Google Authenticator etc.) nicht mehr funktionieren?

Jedenfalls wird jetzt von den anderen Apps der QR-Code nicht mehr erkannt.

Unter DSM 6 hatte ich mit Authy zugegriffen - und zwar deshalb, weil die App auf meiner Apple Watch läuft, ich mir den Zahlencode so bequem am Handgelenk anzeigen lassen kann ohne das Smartphone aus der Tasche zu holen. Synology SecureSignIn gibt es aber offenbar nicht für die Apple Watch...

 

[Thonav]

Andere funktionieren auch. Nutze Google Authenticator schon vor dem Update und läuft auch mit DSM7 problemlos.

 

[Adrian-S]

Dito, ich nutze Microsoft Authenticator. Funktioniert einwandfrei.

 

[servilianus]

Also bei mir wird in allen anderen Apps immer gesagt / angezeigt: Ungültiger Barcode.

Folgende Einrichtung - funktioniert nur mit der SecureSignIn-App. Gibt es eine andere Einrichtungsmethode für 2FA unter DSM7? Wenn ja - wie?

 

[luddi]

Hast du schon einmal versucht auf "Can´t see it?" zu klicken damit der Code angezeigt wird und dieser dann manuell in der App eingetragen wird?

 

[servilianus]

Hallo zusammen - und danke! Das Problem saß wieder einmal vor dem Computer. Ich hätte nach der Auswahl 2FA-Autentifizierung (Bild 1 oben) nicht auf den Reiter: "Anmeldegenehmigung" (ganz Links) - sondern auf den Reiter: "Verification Code OTP" klicken müssen - hier wird mir dann der lesbare Code angeboten.

Sorry, die Prozedur hat mich offenbar etwas verwirrt...

 

[Ulfhednir]

Du kannst entweder Syno Secure sign-in oder klassische OTP Anwendungen verwenden, aber nicht beides gleichzeitig.

Also ich nutze den Google Authentificator für OTP als auch Secure SignIn - und das funktioniert auch.

 

[Fusion]

Im selben Konto/Benutzer? @Ulfhednir
Da hab ich nicht präzise genug formuliert.

 

[Ulfhednir]

@Fusion mit dem selben Konto, ja.

 

[luddi]

Man kann beides gleichzeitig pro Account konfigurieren und bei der Anmeldung nach erfolgreicher Passwort Eingabe die Authentifizierung wechseln zwischen OTP und Syno Secure Sign-in.

 

[Fusion]

OK, dann hab ich mich wohl verlesen, oder falsch abgespeichert im Oberstübchen, als ich Syno Secure nach OTP einrichten wollte und er was in die Richtung gemeckert hat. Probiere ich heute Abend nochmal.

 

[Fusion]

So, nachgeschaut.

Kennwortlose Anmeldung kann nicht aktiviert werden, da der Admin die 2-Faktor-Authentifizierung für dieses Konto erzwungen hat.

Auch hier ist es wieder der nicht intuitive Weg der zum Ziel führt.

Die obige Auswahl ist also eine exklusive entweder oder...

In dem Fall muss man in den persönlichen Einstellungen die 2-Faktor-Auth anklicken und nach Passworteingabe die Einstellungen anpassen in dem man dort eine Anmeldegenehmigung hinzufügt. Und in der Secure Sign-In App "Konto hinzufügen" auswählt um den QR-Code zu scannen.

Wieder was gelernt.

 

[luddi]

Kennwortlose Anmeldung kann nicht aktiviert werden, da der Admin die 2-Faktor-Authentifizierung für dieses Konto erzwungen hat.

Das ist natürlich interessant.

In meinem Test hatte der Test User keine vom Admin erzwungene 2FA, jedoch war für diesen Testuser bereits 2FA via OTP aus der Vergangenheit eingerichtet. Zusätzlich wurde dann mit dem Test User das Secure Sign-In aktiviert.

@Fusion
D.h. sobald der Admin eine 2FA für User erzwingt, kann der User nicht allein Secure Sign-In ohne 2FA via OTP verwenden?

 

[Fusion]

Mmh, gute Frage, hab ich nicht explizit getestet, aber wäre eine naheliegende Vermutung, da der 2FA ja erzwungen wäre.

 

[luddi]

Also ich habe das ganze nochmals durchgespielt weil es mich selbst interessiert hat.

1. einen neuen Test User angelegt
2. Als Admin unter "Systemsteuerung --> Sicherheit --> Konto --> 2FA" für diesen neuen Test User explizit 2FA erzwungen
3. Mit dem neuen Test User das erste mal angemeldet mit Username & Password

Schon erscheint die höfliche Bitte eine 2FA einzurichten. Bestätigt man dies und wählt "Weiter" so erscheint folgendes Fenster:



Allein diese Information (Wählen Sie eine Methode für den zweiten Anmeldeschritt) impliziert ein logisches ODER.
Wählt man aber nun "Anmeldegenehmigung" also Secure SignIn, bestätigt mit Weiter und richtet diese erfolgreich durch scannen des QR Code ein folgt im nächsten Schritt folgende Meldung.






--> Bestätigt man hier mit "Weiter" so erscheint sofort der QR-Code und somit die Aufforderung OTP einzurichten.




Nach erfolgreichem Abschluss der OTP Einrichtung erscheint letztendlich die Information dass 2FA aktiviert wurde.
Und hier findet man die Information dass bei der nächsten Anmeldung das Kennwort und die zweite Verifizierungsmethode erforderlich sind.
Wobei hier bei "Zweiter Anmeldeschritt" sowohl Anmeldegenehmigung als auch OPT aufgeführt sind (Entweder, Oder --> ODER).




Und schon kann man bei der ersten Anmeldung nach erfolgreicher Kennworteingabe von OTP auf Secure SignIn wechseln.






D.h. unterm Strich, dass die 2FA über Secure SignIn allein nicht möglich ist aus besagtem Grund, dass das Telefon offline bzw. die Methode nicht verfügbar ist. Somit wird man gezwungen OTP zusätzlich einzurichten.

Fazit:
Ein alleiniges OTP als 2FA ist möglich.
Secure SignIn als alleiniges 2FA nicht möglich, sondern nur in Verbindung mit eingerichtetem OTP.

 

[the other]

Moinsen,
@luddi
Alter, das war super von dir aufgezeigt und hat mir einige noch dunkle Bereiche erhellt.Spiele schon seit Tagen gedanklich mit der neuen Sicherheitslösung, hatte aber null Zeit bisher. Hab bislang nicht mal reingeschaut...
Danke...

 

[the other]

Moinsen,
sagt mal, sehe ich das richtig:
- man braucht zwingend ein Synology Konto?
- man braucht zwingend eine Public IP, Domain (offiziell) oder QuickConnect bzw. DDNS via Synology?

Ich hab es jetzt ohne diese Punkte mehrfach versucht, geht aber außer der normalen 2FA mit OTP nix.
Wie doof wäre DAS denn mal wieder? Warum nicht einfach nen Hardwarekey verknüpfen und gut? Funktioniert bei anderen Diensten auch ohne Extras...
Oder übersehe ich da was?

 

[luddi]

- man braucht zwingend ein Synology Konto?

Ich gehe stark davon aus um den Dienst nutzen zu können. Bei mir war bereits ein Synology Konto verknüpft.

Warum nicht einfach nen Hardwarekey verknüpfen und gut?

Die Möglichkeit besteht natürlich auch. Wird ja bei der Einrichtung von 2FA auch angeboten.

 

[the other]

Moinsen,

Die Möglichkeit besteht natürlich auch. Wird ja bei der Einrichtung von 2FA auch angeboten.

Bei mir (ohne Synologykonto) besteht die leider eben scheinbar nicht. Da wird ausschließlich OTP angeboten (was ich ja auch bereits nutze)...

 

[luddi]

What? Jetzt wird's ja vogelwild das ganze...

Das erscheint mir in der Tat etwas merkwürdig warum OTP angeboten wird aber nicht U2F.
Da stelle ich mir die Frage, warum für eine Hardware Auth. ein Synology Account zwingend erforderlich sein soll?


EDIT:
Klingt komisch, ist aber scheinbar wirklich so... Siehe Hilfe Seite.