Zwei Stufen Verifizierung bei gespeicherte Geräte nach Browserneustart verschwunden

[Speicherriese]

Hallo Zusammen ich habe die Zweistufen Verifizierung an der 918+ eingerichtet, soweit sogut funktioniert alles einwandfrei. Allerdings wollte ich ,damit ich Zuhause nicht jedesmal den 6stelligen Code zusätzlich noch eingeben muss meinen Computer als "gespeicherte Geräte" hinzugefügt, was auch mit grüner Schrift und OK problemlos angenommen wurde.

Wenn ich mich abmelde und den Browser aber laufen laufen, funktioniert dies einwandfei und ich brauch auf diesem Computer diesen 6stelligen Code nicht mehr eingeben, alle andern aber natürlcih weiterhin.
Sobald ich aber den Browser komplett schließe, wieder öffne und in die DSM Verwaltung gehen will, kommt dann doch immer wieder die 6stellige Codeabfrage zusätzlcih. Wenn ich dann wieder in den Einstellungen nachschaue, kann ich das Gerät wieder als "gespeicherte Geräte" eintragen. Dies könnte ich endlos so machen.

Was ist hier das Problem? Habe schon den Browsercahce gelöscht, mehrere Browser verwendet. Wo holt sich die Synology die Info her, das dies auch wirklich mein Computer ist, und warum ist diese Info dann nach einem Browserneustart wieder verschwunden?


Hat jemand die gleichen Probleme und wenn möglich natürlich auch gleich eine Lösung dafür?

 

[Kurt-oe1kyw]

Zweistufen Verifizierung eingerichtet,funktioniert einwandfrei.
Sobald ich aber den Browser komplett schließe, wieder öffne und in die DSM Verwaltung gehen will, kommt dann doch immer wieder die 6stellige Codeabfrage zusätzlcih. Wenn ich dann wieder in den Einstellungen nachschaue, kann ich das Gerät wieder als "gespeicherte Geräte" eintragen. Dies könnte ich endlos so machen.

Ja du hast Recht, kann ich hier ebenso bestätigen. Es ist bei mir hier genauso wie von dir exakt beschrieben.
Ist vermutlich ein Fehler der neuen DSM Version 6.2.3-25426.
Könntest du auf deiner DS direkt an Synology melden:

DSM > Hauptmenü > Support-Center > links Support kontaktieren > Kategorie: "Systemmanagement" > Unterkategorie: " 2 Stufen Verifizierung" > Art: "Konfigurationsproblem" > Fehler beschreiben > Weiter und den Anweisungen folgen.

 

[Speicherriese]

@Kurt-oe1kyw, Tecket habe ich soeben bei Synology erstellt. Mal sehen was dabei rauskommt.

Seltsam nur, das wir beiden anscheinend die einzigen sind die dieses Problem haben. Oder könnte es sein, das die wenigsten diese 2 Stufen Verifizierung anwenden?

 

[Kurt-oe1kyw]

Also ich kann nur für mich sprechen und ich nutze die 2 FA und ich bin sicher auch einige (viele) andere. Für Testzwecke zu Beginn habe ich Anfangs ein Gerät gespeichert gehabt.
ABER danach ich habe kein einziges Gerät gespeichert. Ich gebe lieber jedesmal den generierten 6 stelligen Code ein. Erst durch deinen Beitrag habe ich es wieder versucht und konnte den Fehler hier bei mir nachvollziehen.

 

[rednag]

Ich nutze die 2FA nicht, aber ist es möglich, daß dies eventuell mit Cookies zusammenhängt, die der Browser beim schließen löscht?

 

[Kurt-oe1kyw]

Keine Ahnung, aber das Verhalten ist jederzeit reproduzierbar hier bei mir auf den DSen mit Firefox, Edge, Chrom und uralten IE getestet. Die DS "merkt" sich die Geräte nicht mehr die darin gespeichert werden um die 2 FA auszusetzen für diese Geräte.
Vorher hat das definitiv funktioniert.
Aber wie erwähnt aus Sicherheitsgründen nutze ich das Speichern von Geräten nicht, ich tippe lieber immer die Codes ein.

 

[the other]

Moinsen,
das beschriebene Verhalten hat auch meiner Meinung nach mit den Browsereinstellungen zu tun. Bei 2fa der Webseiten (amazon, ebay, usw) kann zwar das Gerät ("hier nicht mehr nach 2fa fragen) angegeben werden, aber wenn zB Firefox mit der Einstellung arbeitet, dass private Daten gelöscht werden nach Beendigung, dann muss man sich eben auch erneut anmelden mit 2fa.
Ich gebe auch lieber die 2fa jedesmal ein, statt das Gerät irgendwo zu hinterlegen. Dafür hab ich 2fa ja schließlich eingerichtet. Mit jedem easy-peasy Loch in diese Sicherheit sinkt dann auch der Wert von 2fa, find ich.

 

[Kurt-oe1kyw]

H eine Lösung dafür?

Der technische Support hat sich soeben bei mir gemeldet.
Die Lösung lautet:
Setzen Sie beim Login wenn Sie zur Eingabe des 6-stelligen Codes aufgefordert werden, den Haken bei Gerät merken. Dann sollte das Gerät dauerhaft gespeichert bleiben.
Das ist die Lösung.
Unterhalb von der Zeile wo man den 6 stelligen Code eingibt, kann man den Haken setzen auf "Dieses Gerät speichern", DAMIT bleibt dann der Client auch tatsächlich gespeichert.

Ansonsten wie "the Other" schon erwähnt hat, ich persönlich gebe lieber den Code aus Sicherheitsgründen jedesmal ein. Sonst wäre das ja wie ein zusätzliches Balkenschloss an der massiven Türe wo man den Schlüssel aber angesteckt lässt.
Aber falls es trotzdem jemand nutzen möchte, mit dem Hinweis vom Support klappt es, den Haken Setzen unterhalb vom 6 stelligen Code und danach auf Log-In klicken.
Auch wenn jetzt alle Browser geschlossen werden, so bleibt der Client dauerhaft gespeichert und beim nächsten Mal wird die 2 FA Eingabe dann übersprungen.

 

[Fusion]

Wo habt ihr denn "vorher" auf Speichern geklickt, wenn nicht dort?

 

[Kurt-oe1kyw]

Direkt in den Optionen > Persönlich > Register "Konto" > Kontoaktivität > Register "Gespeicherte Geräte" dort dann das momentan verbundene Gerät gespeichert mit der Schaltfläche "Dieses Gerät speichern".



Das wird auch korrekt so angezeigt, aber es bleibt eben nicht dauerhaft. Früher wurde dies aber dort dauerhaft eingetragen. Derzeit nur so lange das Browserfenster aktiv ist, danach ist das gespeicherte Gerät wieder weg.
Jetzt bleibt es nur dauerhaft dort eingetragen wenn man beim Eingabefeld unterhalb der 6 Code Felder den Haken setzt:



Nur durch Setzen vom Haken im Eingabefenster vom Code bleibt das Gerät tatsächlich dauerhaft in den Optionen gespeichert. Zumindest in der jetzigen DSM 6.2.3-25426 Version.

 

[Speicherriese]

Hallo, ja das funktioniert, wenn man beim anmelden diesen Haken setzt, allerdings nur auf meinem Safari Browser (Mac), Firefox habe ich so zugenagelt, das dies warscheinlich das Problem darstellt. Der Support hatte jetzt auch bei mir geantwortet und evtl. ein Cookie dafür verantwortlich gemacht, was beim Browserneustart automatisch gelöscht wird. Habe daraufhin alle Filter und sonst. in Firefox wieder auf normal gestellt, aber trotzdem wird trotz Haken setzen die Maschine in Firefox nicht gespeichert. Aber ist egal, hautpsache es geht mit dem Safari.

Warum ich das mache? Ich brauche für mich und mein Gewissen einen letzten Rettungsanker, wenn ich mein Handy verliere, es defekt ist, diese 2 Stefen App nicht mehr geht, das Hanndy geklaut wird. Was ist dann? Komme ich dann niemals mehr in meine Diskstation rein, wenn auch die Notmail-Code Zusendung nicht mehr funzt. ( Was bei mir sogar am Anfang des Testens genau so eintrat). Was ist dann? Sehe ich doch richtig, das ich dann keinerlei Möglichkeit mehr habe um irgendwie mich in die DSM einzu loggen? Da krieg ich jetzt schon Schweißausbrüche, wenn ich nur daran denke.

 

[Fusion]

Normal sollte der einfache Reset das admin Konto samt 2FA zurücksetzen.

https://www.synology.com/de-de/know...eral_Setup/How_do_I_reset_2_step_verification
https://www.synology.com/de-de/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS

Aber ich habs noch nicht ausprobiert.

 

[Fusion]

Ach ja, dann wäre noch die Frage welche App du benutzt.
Ich benutze z.B. die TOTP Funktion im Passwortmanager Enpass. Der sichert auch die initialen Geheimnisse zur Initalisierung der 2FA mit. Kann den also (mit Backup) einfach auf dem neuen Telefon wiederherstellen und die TOTP Codes funktionieren weiterhin. Gibt noch andere wie "Authy" etc die das ebenfalls können.

 

[the other]

Moinsen,
abgesehen davon, dass einige Apps den secretkey parallel mitabspeichern...
Sei beim einrichten nicht faul und nimm nicht die Möglichkeit, das mit qr-code einzurichten. Lass dir stattdessen das secret anzeigen, das speicherst du dann in einer zweiten keepass Datenbank, separat von der Datenbank mit den Passwörtern.Oder zur Not Zettel und Stift und dann gut und wiederfindbsr ablegen.
So hast du all deine 2fa secrets sicher, auch wenn dem Gerät was zustossen sollte.

 

[Kurt-oe1kyw]

Rettungsanker, wenn ich mein Handy verliere, es defekt ist, diese 2 Stefen App nicht mehr geht, das Hanndy geklaut wird. Was ist dann?

Entweder drückst du dann 4 sek lang an der Rückseite deiner DS auf den Resetknopf, das hebt die 2FA auf und setzt den admin wieder auf Werkseinstellung zurück.
Oder du installierst dir einfach deine Code APP auf so vielen Geräten wie du in die Finger kriegen kannst, also Eltern, Geschwister, Kinder, falls gestattet Firmenhandy usw usw.
Der Code kann auf dutzenden Geräten erzeugt werden, nicht nur auf deinem handy.

Also hol dir ein handy (tablet geht auch) und installier dort auch die APP, was auch immer du gerade benützt für eine für die Codes.
Dann fügst du diesen handy(s) den QR Code hinzu oder tippst die Infos händisch ein.

QR Code aufrufen:
DSM > Optionen > Persönlich > Register "Konto" > Schaltfläche " 2-Stufen Verifizierung" anklicken > neues Fenster Assistant > Weiter > Weiter > HIER ist jetzt wieder dein QR Code. Einfach wieder einscannen.
Wenn du auf den blauen Text "Sie können den geheimen Schlüssel auch manuell eingeben" anklickst, kannst du es selber eintippen.
Danach auf "ABBRECHEN" Klicken! Damit sich die Seite wieder schliesst.
Du kannst den QR Code auch abfotografieren und bei deinen Eltern, Geschwistern an einem sichern Ort hinterlegen usw.