Toggle sidebar

DSM 7.2 Synology 2FA: OTP ohne Synology App Secure SignIn

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

S

stevenfreiburg

Benutzer
Registriert
05. Apr. 2022
Beiträge
441
Reaktionspunkte
232
Punkte
93
Mal kein Problem, sondern eine Lösung, vielleicht auch für andere interessant:

Mich hat es immer gestört, nur für 2FA-OTPs die Synology-App Secure SignIn installieren zu müssen. Eine App nur für Synologys OTPs, die zudem nur auf mobilen Geräten läuft und weder Backup noch Synchronisation bietet.
OTP ist ein Standard, das muss besser gehen.

Lösung:
Beim Neu-Einrichten von 2FA OTP erscheint unter dem QR Code "Can`t scan it?" , damit kann man den secret key dann anzeigen lassen (wird nicht angezeigt, wenn 2FA OTP bereits eingerichtet ist).
Mit diesem Schlüssel und korrekt eingestellter Uhrzeit lassen sich die 6-stelligen OTPs problemlos auch mit anderen Apps anzeigen, zum Beispiel mit KeePass (Plugin KeeOTP2), ENTE, Aegis usw. - und natürlich auch auf allen Betriebssystemen :)
 
Du kannst den QR Code doch mit jeder anderen TOTP App auch scannen. Das war doch noch nie auf die Synology App begrenzt oder? Als ich es eingerichtet habe, ging es jedenfalls direkt. Ich hatte noch nie die Synology Secure signIn installiert
 
  • Like
Reaktionen: Skyhigh und Rotbart
Ich speichere mit den Secret Key und das PNG / JPG generell in meinen Keepass Datensafe. So kann ich ggf. die OTPs von jedem anderen oder neuen Gerät generieren lassen. Ich nutze generell nur noch Yubikeys als OTP Generator und als Passkey. Soll derzeit die sicherste Variante der OTP Generierung sein, da nichts auf den Yubikey "aufgespielt" werden kann. Also auch keine Hackersoftware.

Aber die Methode
stevenfreiburg schrieb:
QR Code "Can`t scan it?" , damit kann man den secret key dann anzeigen lassen
Zum Vergrößern anklicken....
nutze ich schon ca. 5 Jahre, seit dem ich mit der Härtung durch OTPs angefangen habe. Ist grundsätzlich nichts außergewöhnliches oder neues. 😉
stevenfreiburg schrieb:
KeePass (Plugin KeeOTP2)
Zum Vergrößern anklicken....
Das nutze ich nicht, da hier - ist aber nur meine Meinung - der erste UND zweite Faktor auf das gleiche Gerät und Programm fallen.

1. Faktor Passwort
2. Faktor OTP

Bequem, aber nicht unbedingt sicher.
 
  • Like
Reaktionen: *kw*, Rotbart und JohneDoe
JohneDoe schrieb:
Du kannst den QR Code doch mit jeder anderen TOTP App auch scannen. Das war doch noch nie auf die Synology App begrenzt oder? Als ich es eingerichtet habe, ging es jedenfalls direkt. Ich hatte noch nie die Synology Secure signIn installiert
Zum Vergrößern anklicken....
.
Das mit dem QR-Code war mein erster Versuch – hat aber nicht geklappt, vermutlich weil Secure SignIn bereits aktiv war.
Sonst hätte ich den Hinweis ja gar nicht gepostet, denn ich kann mir vorstellen, das andere auch genau darüber stolpern.
 
stevenfreiburg schrieb:
Das mit dem QR-Code war mein erster Versuch – hat aber nicht geklappt.
Zum Vergrößern anklicken....
Naja, das kommt etwas auf das Snipping Tool von Windows an und wie groß der QS Code dargestellt wird. zu 90% klappt das aber mit dem Abspeichern. Habe ich schon mehr getestet und auch umgesetzt -> von einem Yubikey auf den anderen. 😉

Und den Secret anzuzeigen, müssen die Anbieter unterstützen. Die meisten machen es, aber eben nicht alle. Hier muss man einen gesunden Workaround finden. Aber der Tipp von dir ist trotzdem gut, für alle die das nicht auf dem Schirm hatten.

Meine Hinweise sollten meinerseits auf keinen Fall abwertend gemeint sein!!!
 
  • Like
Reaktionen: stevenfreiburg
Ronny1978 schrieb:
Habe ich schon mehr getestet und auch umgesetzt -> von einem Yubikey auf den anderen. 😉
Zum Vergrößern anklicken....
.
Bei mir hat es NIE funktioniert aus dem QR-Code, der in DSM angezeigt wird den secret key zu bekommen.
Erst nach Reset von 2FA wurde mir beim Neueinrichten der Secret Key dann angezeigt – war ziemlich nervig.
 
stevenfreiburg schrieb:
Bei mir hat es NIE funktioniert aus dem QR-Code, der in DSM angezeigt wird den secret key zu bekommen
Zum Vergrößern anklicken....
Ich speichere in Keepass, wenn angeboten, immer beides ab: Den QR Code als JPG/PNG und den Secret Key als TXT. 😉
 
JohneDoe schrieb:
Du kannst den QR Code doch mit jeder anderen TOTP App auch scannen. Das war doch noch nie auf die Synology App begrenzt oder? Als ich es eingerichtet habe, ging es jedenfalls direkt. Ich hatte noch nie die Synology Secure signIn installiert
Zum Vergrößern anklicken....
.
Ich hatte sie schon installiert und aktiv.
Man muss dann darauf kommen, 2FA kurz zurückzusetzen, um von Secure SignIn wegzukommen.
Genau das möchte ich anderen ersparen mit meiner Info.
 
stevenfreiburg schrieb:
Ich hatte sie schon installiert und aktiv.
Zum Vergrößern anklicken....
Aber wenn alles schon installiert ist, kommst du im Nachhinein nie an den QR Code und den SK ran. Daher gleich immer bei der Einrichtung machen und wie gesagt: Ruhig noch einmal mit dem Bildschirmbild des QR Codes probieren. In 90% der Fälle klappt das.
 
Ronny1978 schrieb:
kommst du im Nachhinein nie an den QR Code und den SK ran...
Zum Vergrößern anklicken....
.
Genau!
GUTE NACHT also, wenn diese eine Secure SignIn App nicht mehr läuft (z.B. Smartphone defekt) während das hier gesetzt ist:

1758630081042.png
 
Ich meinte eher, mit normalen Mitteln, wenn man nur die Apps wie Synology Secure Signin oder Google Authentificator hat. Irgendwelche Apps gibt es immer, die das können. 😉

Mein Intention war den Hinweis zu geben, gleich bei der Einrichtung des Dienstes, egal welcher das ist. gleich einen Screenshot anzufertigen und den S-Key in einer Passwortdatenbank abzuspeichern. So kannst du den Code leicht wieder auf einen neuen Yubikey oder neue OTP App übertragen.

chle schrieb:
aus aus dem Export von z.b. Google Authenticator den ursprünglichen Code errechnen können
Zum Vergrößern anklicken....
Es ging ja auch darum, wenn der Export nicht mehr geht, weil Handy defekt oder weg. 😉 Wenn das Handy weg oder defekt ist, kann man auch kein Export mehr machen. Oder du machst nach jeder Eingabe eine neuen Anbieter für OTP immer gleich einen Export. Dann kannst das, wie von mir oben beschreiben, aber auch gleich abspeichern. Das war ja, glaube ich, auch das Ansinnen von @stevenfreiburg -> Handy defekt oder weg.
 
chle schrieb:
Das stimmt nicht. Es gibt Apps (ich verwende aegis), die aus aus dem Export von z.b. Google Authenticator den ursprünglichen Code errechnen können.
Zum Vergrößern anklicken....
.
Synologys Secure SignIn kann Export nicht.
Das man 2FA OTP von Anfang an so aufsetzen kann (und sollte) ohne in die Sackgasse mit Secure SignIn zu landen, genau darum geht's hier ja. 😉


Aegis hatte ich auch in der Auswahl, aber OTP nur auf (in meinem Fall) Android war mir zu wenig, deswegen habe ich Keepass mit OTP Plugin.
 
Zuletzt bearbeitet:
Ich kann nur https://docs.2fauth.app/ empfehlen. Läuft seit Jahren sehr zuverlässig. Jede Stunde wird ein JSON Export gemacht und ich könnte es immer wieder auf jedem Rechner importieren. Und man hat seine Tokens nur auf seinem Server.
 
  • Like
Reaktionen: DrDeath

Additional post fields

NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten