bitte zeige mir, wo ich auch nur im entferntesten irgendwas von deaktivieren gesagt habe?
2 Faktor Authentifizierung (Two-Factor): Handy weg+Forgot Password klappt nicht mehr
- Ersteller ong10
- Erstellt am
- Status
bitte zeige mir, wo ich auch nur im entferntesten irgendwas von deaktivieren gesagt habe?
Hallo ong10,
Bücher und Hardware zum Thema gibt es bei Amazon: 2 Faktor Authentifizierung (Two-Factor): Handy weg+Forgot Password klappt nicht mehr
Bücher und Hardware zum Thema gibt es bei Amazon: 2 Faktor Authentifizierung (Two-Factor): Handy weg+Forgot Password klappt nicht mehr
@ ong10: Verstehe ich das richtig. Wenn ein Mensch meine DS komplett klaut und dann den Reset-Knopf drückt, muss er beim nächsten Anmelden nur lesen was im Handbuch steht und er kommt komplett an alle Daten (die nicht verschlüsselt sind) und kann munter fröhlich mein Gerät weiter nutzen?!?
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.984
- Punkte für Reaktionen
- 624
- Punkte
- 484
Entweder das, oder er baut die Platten aus und schließt sie sonstwo an und liest sie aus.
Was dachtest du?
Was dachtest du?
Ja, das er die Platten ausbauen kann und sonstwo anschließt und ausliest ist klar aber das es so unglaublich einfach mit dem Reset-Taster in unter 2 Min geht die DS zu kapern finde ich doch schon etwas befremdlich muss ich sagen. Zumal er dann auch noch das komplette Setup nutzen kann und einfach mit der DS weiter arbeiten könnte.
Ich hätte mir da schon eher sowas vorgestellt, wie das der Taster die Einstellungen zurücksetzt, so ne Art Rücksetzen auf Werkseinstellungen. Das liest sich in dem Handbuch ja so, also ob man diesen Reset des Adminpassworts im laufenden Betrieb durchführen kann und dann sind die verschlüsselten Ordner im dummsten Fall ja entschlüsselt
Ich hätte mir da schon eher sowas vorgestellt, wie das der Taster die Einstellungen zurücksetzt, so ne Art Rücksetzen auf Werkseinstellungen. Das liest sich in dem Handbuch ja so, also ob man diesen Reset des Adminpassworts im laufenden Betrieb durchführen kann und dann sind die verschlüsselten Ordner im dummsten Fall ja entschlüsselt
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Was meintest Du sonst mit
Technisch macht es nämlich in diesem Kontext keinen Unterschied, ob ein User mit Admin-Zugehörigkeit oder der admin verwendet wird!
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.984
- Punkte für Reaktionen
- 624
- Punkte
- 484
Meines Wissens werden die Ordner dann ausgehangen. Anders wäre auch schlecht.
[h=3]2. Reset the administrator password and network settings[/h] This section will guide you through the necessary steps to reset the administrator password and network settings. After resetting your Synology NAS, your system configuration will result in:
- To restore admin account to default value.
- To reset the UI management port to 5000/5001.
- To reset IP, DNS, gateway, and other net interfaces to DHCP.
- To disable PPPoE.
- To disable auto block.
- To disable firewall rules.
- To unmount encrypted folders and disable Mount automatically on startup.
- To remove high-availability cluster.
Zuletzt bearbeitet:
Hallo,
ich habe meine DS noch mit einem Kensington Lock an einem fetten Rohr festgemacht. Hilft vielleicht nicht viel - aber sollte einem "ich klemm mir das Ding mal unter die Arme" vorbeugen
Olaf
ich habe meine DS noch mit einem Kensington Lock an einem fetten Rohr festgemacht. Hilft vielleicht nicht viel - aber sollte einem "ich klemm mir das Ding mal unter die Arme" vorbeugen
Olaf
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.984
- Punkte für Reaktionen
- 624
- Punkte
- 484
Kensington Lock ist ja eh nur ein Drähtchen. Ganz gleich, wie "fett" das Rohr ist, das Kabel ist mit dem zweitgünstigsten Seitenschneider in 3s durch.
Hallo,
naja, öffentlicher Ort würde ich nicht sagen. Kensington ist nicht doll - aber immerhin ein kleiner zusätzlicher Schutz - dann braucht ein Einbrecher nicht nur einen Schraubendreher - dafür reicht's hoffentlich
Olaf
naja, öffentlicher Ort würde ich nicht sagen. Kensington ist nicht doll - aber immerhin ein kleiner zusätzlicher Schutz - dann braucht ein Einbrecher nicht nur einen Schraubendreher - dafür reicht's hoffentlich
Olaf
An der Stelle muss ich nochmal ansteigen.
Es wurde davon gesprochen, dass das Admin Konto keine 2-Faktor-Authentifizierung besitzen soll um das Problem des TEs zu verhindern. Dafür lediglich ein sehr starkes Kennwort. Wie kann ich denn den Admin von der 2-Faktor-Authentifizierung ausschließen?
Es wurde davon gesprochen, dass das Admin Konto keine 2-Faktor-Authentifizierung besitzen soll um das Problem des TEs zu verhindern. Dafür lediglich ein sehr starkes Kennwort. Wie kann ich denn den Admin von der 2-Faktor-Authentifizierung ausschließen?
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.984
- Punkte für Reaktionen
- 624
- Punkte
- 484
DigiMuc2016
Benutzer
- Mitglied seit
- 21. Okt 2016
- Beiträge
- 248
- Punkte für Reaktionen
- 2
- Punkte
- 24
Das ist kein Unsinn, denn es ist einfach so, dass Usernamen wie admin, administrator oder andere leicht zu erratende Namen ein gewisses Sicherheitsrisiko darstellen.
Auch Synology rät "Wie erreicht man ein Extra an Sicherheit für den Synology NAS", " Neues Konto als Administrator erstellen und das standardmäßige System-Admin-Konto deaktivieren"
Und beides, die Kombination aus User-Name/ Passwort erhöhen die Sicherheit.
@ Puppetmaster: Ich habe bislang nur die Option gefunden, dass ich die 2-Faktor-Authentifizierung entweder für alle User oder für alle Admins einschalten kann..
Leider finde ich nicht die Möglichkeit pro User zu selektieren
Leider finde ich nicht die Möglichkeit pro User zu selektieren
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.984
- Punkte für Reaktionen
- 624
- Punkte
- 484
Hat sich das Konzept seit DSM 6.x verändert? Zumindest davor konntest du in den Optionen des jeweiligen Accouts die 2factor auth aktivieren.
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.215
- Punkte für Reaktionen
- 509
- Punkte
- 174
Da habe ich doch grade mal gekuckt, dass unter DSM 6.02 und DSM 6.1 nur folgendes geht:
2F-Auth entweder für Alle oder nur für Admins
Bei den einzelnen Usern lässt sich da nix einstellen.
Nachtrag:
independence2206 war schneller
2F-Auth entweder für Alle oder nur für Admins
Bei den einzelnen Usern lässt sich da nix einstellen.
Nachtrag:
independence2206 war schneller
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.984
- Punkte für Reaktionen
- 624
- Punkte
- 484
Kleine Frage dazu. Ich habe meine Zwei Faktor Authentifizierung für Admin aktiviert.
Ab und zu drücke ich dann auch die Schaltfläche "Telefon verloren" weil gerade mein Handy im anderen Raum liegt und ich zu faul bin aufzustehen.
Heute kam der Hinweis dass meine Maximale Anzahl erreicht wurde und keine PIN mehr per Mail bekomme
Wo kann mann diese Anzahl zurücksetzen, erhöhen oder deaktivieren?
- Mitglied seit
- 10. Mai 2015
- Beiträge
- 9.139
- Punkte für Reaktionen
- 1.778
- Punkte
- 314
2FA:
Da gibt es zuerst einmal den Hinweis, das JEDER ganz nach belieben für sich frei Entscheiden kann ob er das nutzen möchte oder nicht. Es ist also durchaus auch möglich, dass nur ein einziger normaler User die 2 FA nutzt und alle anderen nicht.
JEDER User kann sich diese 2 FA selbst einschalten ---> DSM > Optionen (=das Kopficon rechts oben in der Menüzeile) > Persönlich > Register "Konto" > Haken setzen auf 2-Stufen Verifizierung > 2-Stufen Verifizierung Schaltfläche anklicken und den Anweisungen folgen. > oK. SOFERN vom Admin nichts anderes definiert wurde!
Aber der Admin einer Diskstation kann aber auch seine Nutzer zwingen, dass sie die 2 FA bindend verwenden müssen, dies erfolgt im DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > unten bei 2-Stufen Verifizierung durchsetzen für "Alle" oder Admingruppe, dh. hier haben dann die User keine eigene Entscheidungsgewalt über die 2FA.
Setzt der Admin die Durchsetzung auf die admingruppe, so kann dieser User in der Gruppe admin in seinen Optionen (siehe Eingangsposting) den Haken gar nicht entfernen von der 2FA! Er ist bereits gesetzt und hellgrau/inaktiv! Er MUSS zwingend die 2FA einrichten.
Lässt also ein Admin die Option "2FA durchsetzen" aus und aktiviert den Haken nicht, dann kann jeder User in seinen Optionen völlig frei Entscheiden ob er das mit der 2 FA haben möchte oder nicht, es besteht dann kein Zwang dazu.
Telefoncodes:
Ihr habt damals bei der Erstellung der 2FA eine Codeliste erhalten, sie wurde euch angezeigt und sie wurde als pdf angeboten und als Email.
ABER die Anzahl ist begrenzt auf, ich glaube 10 Codes oder so. Nach "Verbrauch" dieser 10 Notfallcodes ist Ende.
Daher mein dringender Rat, bitte installiert euch doch den Auth Generator auf Handys eurer Geschwister, Eltern, Frau/Freundin usw. sie können ja ohne Benutzername und dazugehörenden Kennwort nichts damit Anfangen. ABER wenn euer handy abhanden kommt, könnt ihr einfach den Code von diesen Geräten eintragen. Einfach mit den Geräten noch mal das QR Fenster scannen und/oder den Code händisch eintippen. Einfach in Optionen auf die 2-Stufen Verifizierung klicken > Weiter > email, egal was hier steht > Weiter > HIER wird euch jetzt wieder das QR Fenster angezeigt. Einfach mit den anderen handys scannen und gut ist. Oder auf den blauen Text klicken und den Code händisch eintippen. Danach auf ABBRECHEN gehen! Sonst wird ein neuer QR Code mit neuem Schlüssel erstellt.
Wenn tatsächlich kein Zugriff mehr möglich ist, dann kann euch n.m.W. nur mehr der Synology Kundendienst helfen indem er in eurem Synologykonto die 2 FA für eure DS deaktiviert. Selber kann man das aus Sicherheitsgründen nicht tun.
Normalerweise sollte aber der kleine Reset das admin Kennwort zurücksetzen und die 2 FA aufheben, ebenso bei Zutritt über ssh PuTTY/winSCP. AUCH wenn die 2 FA aktiv ist, so kann man sich über die Konsole auf die DS verbinden, es ist nur das Adminkonto und das richtige Passwort notwendig, ABER nicht vergessen dann von admin umschalten auf User "root", siehe Beitrag weiter oben mit welchem Befehl das durchgeführt wird.
Da gibt es zuerst einmal den Hinweis, das JEDER ganz nach belieben für sich frei Entscheiden kann ob er das nutzen möchte oder nicht. Es ist also durchaus auch möglich, dass nur ein einziger normaler User die 2 FA nutzt und alle anderen nicht.
JEDER User kann sich diese 2 FA selbst einschalten ---> DSM > Optionen (=das Kopficon rechts oben in der Menüzeile) > Persönlich > Register "Konto" > Haken setzen auf 2-Stufen Verifizierung > 2-Stufen Verifizierung Schaltfläche anklicken und den Anweisungen folgen. > oK. SOFERN vom Admin nichts anderes definiert wurde!
Aber der Admin einer Diskstation kann aber auch seine Nutzer zwingen, dass sie die 2 FA bindend verwenden müssen, dies erfolgt im DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > unten bei 2-Stufen Verifizierung durchsetzen für "Alle" oder Admingruppe, dh. hier haben dann die User keine eigene Entscheidungsgewalt über die 2FA.
Setzt der Admin die Durchsetzung auf die admingruppe, so kann dieser User in der Gruppe admin in seinen Optionen (siehe Eingangsposting) den Haken gar nicht entfernen von der 2FA! Er ist bereits gesetzt und hellgrau/inaktiv! Er MUSS zwingend die 2FA einrichten.
Lässt also ein Admin die Option "2FA durchsetzen" aus und aktiviert den Haken nicht, dann kann jeder User in seinen Optionen völlig frei Entscheiden ob er das mit der 2 FA haben möchte oder nicht, es besteht dann kein Zwang dazu.
Telefoncodes:
Ihr habt damals bei der Erstellung der 2FA eine Codeliste erhalten, sie wurde euch angezeigt und sie wurde als pdf angeboten und als Email.
ABER die Anzahl ist begrenzt auf, ich glaube 10 Codes oder so. Nach "Verbrauch" dieser 10 Notfallcodes ist Ende.
Daher mein dringender Rat, bitte installiert euch doch den Auth Generator auf Handys eurer Geschwister, Eltern, Frau/Freundin usw. sie können ja ohne Benutzername und dazugehörenden Kennwort nichts damit Anfangen. ABER wenn euer handy abhanden kommt, könnt ihr einfach den Code von diesen Geräten eintragen. Einfach mit den Geräten noch mal das QR Fenster scannen und/oder den Code händisch eintippen. Einfach in Optionen auf die 2-Stufen Verifizierung klicken > Weiter > email, egal was hier steht > Weiter > HIER wird euch jetzt wieder das QR Fenster angezeigt. Einfach mit den anderen handys scannen und gut ist. Oder auf den blauen Text klicken und den Code händisch eintippen. Danach auf ABBRECHEN gehen! Sonst wird ein neuer QR Code mit neuem Schlüssel erstellt.
Wenn tatsächlich kein Zugriff mehr möglich ist, dann kann euch n.m.W. nur mehr der Synology Kundendienst helfen indem er in eurem Synologykonto die 2 FA für eure DS deaktiviert. Selber kann man das aus Sicherheitsgründen nicht tun.
Normalerweise sollte aber der kleine Reset das admin Kennwort zurücksetzen und die 2 FA aufheben, ebenso bei Zutritt über ssh PuTTY/winSCP. AUCH wenn die 2 FA aktiv ist, so kann man sich über die Konsole auf die DS verbinden, es ist nur das Adminkonto und das richtige Passwort notwendig, ABER nicht vergessen dann von admin umschalten auf User "root", siehe Beitrag weiter oben mit welchem Befehl das durchgeführt wird.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
