Toggle sidebar

DSM 6.x und darunter 2-Faktor Authentifizierung incl. "Vertrautem Gerät" nur bei einem Account?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
S

Storagejunkie

Benutzer
Registriert
27. Okt. 2012
Beiträge
61
Reaktionspunkte
0
Punkte
0
Hallo allerseits!
Hab gestern für meinen Admin-Account die 2-Faktor-Authentisierung aktiviert (mit Google Authentikaor). Klappte wunderbar. Konnte auch mein Laptop als vertrauenswürdiges Gerät einstufen, hab die entsprechenden Cookies als "nicht zu löschen" gekennzeichnet - alles wunderbar.

Nun dachte ich mir: Warum nicht auch den "Daily-Use-Account", mit dem ich normalerweise auf der DS arbeite (nicht admin-Rechte) auf 2 Faktor umstellen? Gesagt getan - alles wie oben. Prächtig.

Aber: Login mit dem ADMIN-Account erfordert wieder die 6-stellige Pin. Gebe ich sie ein und kennzeichne mein Laptop wieder als vertrauenswürdiges Gerät geht es fortan wieder ohne Pin. Dafür muss ich die Pin beim anderen Account eingeben. Mist.

Scheinbar kann ein Endgerät nur mit einem Account als vertrauenswürdiges Gerät registriert werden. Hat jemand die gleiche Erfahrung gemacht? Soll das so sein?

Gruß Storagejunkie
 
Ich denke das macht schon Sinn. Wobei in deinem Fall vielleicht etwas weniger, aber stell es dir umgekehrt vor: zuerst den non-admin Login als vertrauenswürdig und schon könnte man sich am admin Account ohne 2Faktor austoben. Das wäre imho sicherheitstechnisch sehr bedenklich
 
Mmm - kann schon sein. Ich dachte eigentlich, die "Vertrauenswürdigkeit" ergibt sich aus Usernamen+Gerät/Browser/Cookie. Hab aber keine Erfahrungen. Vielleicht kann noch jemand etwas genaueres berichten...
 
So wie ich "vertrauenswürdigkeit" von anderen Anwendungen her kenne spielt der Browser keine Rolle. Denn diesen kann der Server nur anhand eines durch den Client leicht zu manipulierenden Headers ermitteln. Könntest du testen indem du den Keks mal in einen anderen Browser übernimmst und schaust ob du mit dem auch vertrauenswürdig bist. Zudem ist es so dass der Keks einen eindeutigen Namen hat über den er abgerufen werden kann. Daher kann er gar nicht zweimal mit unterschiedlichen Werten existieren. Das zweite Vorkommen überschreibt immer das erste
 
jahlives schrieb:
... aber stell es dir umgekehrt vor: zuerst den non-admin Login als vertrauenswürdig und schon könnte man sich am admin Account ohne 2Faktor austoben...
Zum Vergrößern anklicken....
Aber es sollte doch technisch eigentlich auch möglich sein die Vertrauenswürdigkeit eines Gerätes auch mit dem Konto zu verknüpfen.
 
technisch ginge das mit Sicherheit. Würde aber u.A. mehrere Cookienamen erfordern
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten