Photo Station Keine getrenten Benutzerkonten mehr möglich (DS918+) PhotoStation

[Andy14]

Ist aber doch inzwischen veraltet oder nicht?
Gab doch hier den Thread weil das admin Konto ohne Passwort bei einem update deaktiviert wurde ;-)
admins ohne Passwort sind doch seit dem nicht mehr möglich ...

(Für die die des englichen nicht so mächtig sind gibt es dem Link von "ottosykora" auch auf deutsch)
https://www.synology.com/de-de/know...ow_to_add_extra_security_to_your_Synology_NAS

 

[ottosykora]

nein , das hat damit nichts zu tun.
Von vornherein bekannte Accounts sollen grundsätzlich disabled werden, das ist nicht nur bei Syno so.

Stell dir es einfach so vor: der Name ist bekannt, du musst nur noch PW finden.

Bei allen anderen musst du Name und PW finden.
Das macht die Sache schon komplizierter.

Du kannst einfach nach Sachen wie 'why disable admin' oder so was googeln, wirst genug Erklärungen finden. Es ist einfach eine Erhöhung der Sicherheit welche keine besonderen Tricks, keine spezielle Software und keine umfangreiche Konfiguration braucht.
Darum macht man es zuerst. Es kostet nichts.
Und das macht man bei anderen Systemen genau so wenn es einfach möglich ist (bei Routern oder sonst was)

Bei Syno ist bereits alles vorbereitet dafür. Zudem hat der original admin mehr Berechtigungen als die neuen. Da man die Funktionen des original admin nur selten braucht, ist es einfach besser den gleich abzuschalten.
Genau so den Guest, wenn man es nicht gerade dringend braucht.

 

[Puppetmaster]

Stell dir es einfach so vor: der Name ist bekannt, du musst nur noch PW finden.

Bei allen anderen musst du Name und PW finden.
Das macht die Sache schon komplizierter.

Genau, "nur noch" ...
Nochmal (und diese Diskussion gab's hier schon ein Dutzend mal): mach das Passwort einfach komplizierter!

Wenn du meinst, "Holterdipolter-admin" mit PW "asdsa821j^23/%131" sei besser als "admin" mit PW "asdsa821j^23/%131_Holterdipolter", dann unterliegst du einem Irrtum.

Mal ganz abgesehen davon, dass das root PW dann immer noch das des "admin" ist ...

 

[ottosykora]

nein das ist kein Irrtum.

Alles was man von vornherein weiss das es so ist oder eben nicht so ist stellt vielleicht nicht in kleinen täglichen Routine, aber zuerst in Theorie und dann in wichtigen Anwendungen ein Sicherheitsrisiko.

Wenn jemand zum Bsp die Anforderung an PW stellt: es dürfen keine Buchstaben zweimal vorkommen
Dann hat er selber den Schlüsselbereich bereits sehr eingeschränkt.
Publiziert man solche Einschränkungen, weiss es der potenzielle Angreifer und hat leichtere Arbeit. Egal wie lang und komplex das PW sonst wird.

Ich weiss, Enigma ist was altes, aber auch hier, die Kenntnis dass kein Buchstabe des Codes in sich selber übergeht, hat den Schlüsselbereich drastisch reduziert.

Weiss man die Hälfte der Schlüsseleingabe von vornherein, dann reduziert es doch eben den Schlüsselbereich.

Dass man allgemein bekannte Sachen in Sicherheit nicht verwendet ist doch eine einfache und alte Regel.
Wird doch überall angewendet wo es geht, nicht nur bei Syno.

Wir haben in der Arbeit von der IT Obrigkeit ganz einfach die Weisung, alles was irgendwie abschätzbar oder allgemein bekannt ist zu eliminieren so lange es nicht für den reibungslosen Betrieb nicht nötig ist. Klar haben wir damit auch vieles in Sicherheit reduziert, aber dann versucht man es innerhalb einer Anwendung zu haben und nicht quer über alle Systeme.

Es geht in die ähnliche Richtung wie die Verwendung anderer Ports als den publizierten. Klar kann man auch die Ersatzports finden, aber es ist klein wenig komplexer.

 

[Puppetmaster]

Ne, da stimme ich mit dir einfach nicht überein.

Ich könnte dir problemlos die ersten 4 Zeichen meines admin PW nennen. Wenn ich dann gleichzeitig hinten vier neue, dir nicht bekannte Zeichen zufüge, hast du genau nichts gewonnen.

Sprich doch einfach nur noch von Credentials statt Benutzer und Passwort. Solange du die Regel aufstellst, dass die Credentials z.B. insg. min. 30 Zeichen umfassen müssen, ist das genauso sicher, als wenn du weißt, dass der admin "admin" heißt, dass PW aber nur noch 25 Zeichen lang ist.

PS: jede Linux Kiste hat einen root, willst du den aus Sicherheitsgründen auch noch umbenennen?

 

[ottosykora]

Ich könnte dir problemlos die ersten 4 Zeichen meines admin PW nennen. Wenn ich dann gleichzeitig hinten vier neue, dir nicht bekannte Zeichen zufüge, hast du genau nichts gewonnen.

nein, dem ist nicht so.
Ein einziger bekannter Bit reduziert die Schlüsselmenge auf die Hälfte. Wäre mir der erste Bit (nicht Byte oder Buchstabe) bekannt, müsste ich nur noch halb so lang raten oder rechnen oder sonst was.

Darum wird es eben überall vermieden auch nur wenige Bit bekannt zu geben.

BTW: habe gerade gelesen bei QNAP, dort wird auch empfohlen den admin Account zu deaktivieren.

Gleiches gilt bei vielen anderen Systemen. Es ist einfach üblich, mit einfachsten Schritten den Zugang für unbefugte etwas komplexer zu gestalten und alles bekannte nach Möglichkeit zu eliminieren oder wenn es nicht geht zusätzlich zu schützen.

Ja, root kann man natürlich nicht so einfach abschalten, es gibt zwar Methoden um ihn etwas schwer zugänglich machen, aber das ist hier nicht die Frage. Es geht darum Risiken zu eliminieren die sich ganz einfach eliminieren lassen. Dann besteht kein Grund dazu sie nicht zu eliminieren.

 

[Puppetmaster]

Ok, ich geb hier an der Stelle auf. Deaktiviere deinen admin, das hast du ja selbst in der Hand.
Synologys (und auch QNAPs) Rat, den admin zu deaktivieren ist einfach insofern falsch, als dass er falsche Sicherheit suggeriert. Die Sicherheit kommt nicht durch das Deaktivieren zustande, sondern einzig und allein durch möglichst komplexe Zugangsdaten.
Ich würde Synology empfehlen den Rat aus dem Tutorial zu nehmen und durch einen sinnvollen Rat (s.o.) zu ersetzen.

Das alles gehört aber eh schon länger gar nicht mehr in diesen Thread.

 

[ottosykora]

Dann musst du es jedoch auch allen anderen System Herstellern empfehlen, Microsoft, Cisco und was auch immer. Es ist überall die gleiche Regel.
Komplexe Credentials ja, aber die nicht gleich um Millionen Schlüssel zu reduzieren durch Bekanntgabe einiger Teile davon gehört auch dazu.
Ich habe mehrere Jahre lang im Bereich Zutrittskontrolle und ähnlichem gearbeitet, glaub mir, da schauten die Kunden schon darauf dass die keine Teile der Credentials einfach so herumschwirren. Unabhängig von der Komplexität der einzelnen Bestandteile.
Es hat nichts mit Betrachtungsweise oder persönlichen Ansichten zu tun, ich habe es nicht erfunden, es ist einfach eine Regel die auf Fakten beruht und wenn man sie befolgen kann ohne Aufwand ist es gut. Die Empfehlung hat sicher nicht Synology oder Qnap erfunden. Die machen nur das was alle andere auch tun.
Die Industrie hat wohl gute Gründe diese Regeln anzuwenden, genau so wie mein Arbeitgeber es tut.

 

[Puppetmaster]

Die Empfehlung möchte ich nur Synology geben, weil Microsoft, Cisco und Co. nicht so däppert sind, Software herzustellen, zu deren einwandfreier Funktion bzw. Administration (s.o.) der "admin" (DER admin) benötigt wird, und dann gleichzeitig den Rat geben, dieses Konto zu deaktivieren!
Denn genau das war und ist ja immer wieder der Aufhänger für solche Threads wie diesen hier.

Und noch ein allerletztes Mal: der Ratschlag ist sogar in meinen Augen grob fahrlässig, denn so kommt der Gedanke auf "ach, dem admin muss ich kein starkes Passwort verpassen, der wird eh deaktiviert". Ja, dumm nur, dass der root dieses Passwort teilt! Und der root ist root und bleibt auch root! D.h. ich kenne den Benutzernamen und kann auf ein Passwort "12345" hoffen, weil der zugehörige admin ja deaktiviert wurde. Herzlichen Glückwunsch!

 

[ottosykora]

nicht so däppert sind, Software herzustellen, zu deren einwandfreier Funktion bzw. Administration (s.o.) der "admin" (DER admin) benötigt wird,

Oh, doch, das ist so

 

[Kurt-oe1kyw]

mit einfachsten Schritten den Zugang für unbefugte etwas komplexer zu gestalten und alles bekannte nach Möglichkeit zu eliminieren

Dann müsstest du aber auch den Resetknopf an den Diskstationen auslöten, weil 4 Sekunden lang drücken setzt den "admin" wieder auf aktiv mit seinem Standardpasswort.
Aber wir kommen weit vom Thementitel ab, hier sollte es eigentlich um Benutzerkonten der Photostation gehen.

 

[Flanders]

Hallo,

meine Frage wurde beantwortet und ich denke, das Thema kann geschlosssen werden.

Ich muss Puppetmaster Recht geben.

Von der Wahrscheinlichkeitsrechnung ist es gleich, ob ich

Benutzername 123
Kennwort 123

erraten muss, oder ob ich

Kennwort 123123

erraten muss, weil Benutzername bereits bekannt ist.

Ich glaube, dass wollte er damit sagen.
Die Empfehlungen sind wohl darauf ausgerichtet, dass wenige User sich ein komplexes Passwort ausdenken und alleine durch das Erraten müssen des Nuttzernamens das Kennwort sicherer wird.
Insofern bringt es m.E. immer mehr, auch den Benutzernamen erraten zu lassen, weil man gleich die Länge des Benutzernamens in die Wahrscheinlichkeit einrechnen muss.

Ab einer bestimmten Komplexität liegt die Wahrscheinlichkeit eines Knackens heutzutage wohl eher in den Sicherheitslücken, die ja immer häufiger und fataler auftauchen :-(


Also, Greets, vielen Dank und -soweit möglich- bitte das Thema schließen...

 

[ottosykora]

Die Gründe, warum man durch die üblichen Zugänge erreichbares Konto mit bekanntem und nicht veränderbaren Namen per default nicht einschaltet sind gleich wie bei w10 oder Industrieanlagen etc.
Bei w10 kann man beliebige Konten mit Admin Rechten ausstatten. Aber es gibt noch ein erweitert privilegiertes Konto, welches nach der Installation eben deaktiviert ist. Es heisst weder admin noch sysadmin oder so was, es heisst Administrator. Und wenn man was spezielles braucht, muss man es erst freischalten. Der Name Administrator ist eben reserviert wie admin bei Syno.

Oder hat etwa MS einfach keine Ahnung von irgendetwas?

Bei diversen Industrieanlagen gibt es zum Bsp der User 'setup'. Auch das wird dann deaktiviert wenn die Installation und Konfiguration fertig ist.

Es hat damit zu tun, dass so ein extra privilegierter Zugang mit zumindest konstant bekanntem Namen nicht durch die üblicherweise zugänglichen Schnittstellen erreichbar ist.

Es hat nicht wirklich zu tun mit einem einfachen raten des PW . Sondern wenn Teil des Schlüssels bekannt ist, ist es einfacher den Rest mit irgendwelchen Cryptoverfahren zu errechnen.
Alles was generell bekannt ist, bietet eine Angriffsfläche.
Und Ziel ist es die Angriffsfläche so klein wie möglich zu halten.