DSM 6.x und darunter 2FA geht nicht mehr

[Uwe96]

Ah, ok. Das ist natürlich gut.

 

[Kurt-oe1kyw]

Secure Sign wenn das Handy kein Netz hat.

Dann klickst du nach der Eingabe vom Benutzernamen und der Anforderung am handy (die dann natürlich nicht kommt weil handy nicht verfügbar ist) nach 2 Versuchen auf den jetzt neu erscheinenden blauen Hinweistext : "Mit anderer Anmeldemethode verbinden", daraufhin fordert deine Synology dich auf das korrekte Kennwort für den zu Beginn eingetragenen (anfordernden) Usernamen einzugeben und danach erfolgt das Einloggen.

Heißt aber, dass eine echte 2FA (Passwort + Einmalpasswort) vom Prinzip sicherer ist als Secure SignIn?

Nö, Secure Signin ist sicherer.
Du meldest dich mit Username an, die Anforderung geht jetzt an allle REGISTRIERTEN Endgeräte (handy, tablett usw) die du damals bei der Einrichtung von Secure SignIn eingetragen und aktiviert hast.
Nur diese Registrierten Geräte können die Anmeldung jetzt genehmigen durch tippen auf "Genehmigen", JETZT öffnet sich am handy zunächst die weitere Verifizierung die du für dein handy nutzt! Also zB du verwendest den Iris-Scan, dann fordert dich dein handy jetzt auf deinen Augenscan am handy durchzuführen und erst nachdem "DU" erkannt worden bist, leitet das handy die Genehmigung zur Anmeldung weiter.
Zusätzlich erscheint in unterschiedlichen Zeitintervallen eine Ziffern-Sicherheitsabfrage!
Das bedeutet folgenden Ablauf:
Jemand meldet sich via Webbrowser auf der Synology mit Namen an und zusätzlich erscheint unten 1 Kreis mit Ziffern.
Secure SignIn setzt jetzt den "Anmeldewunsch" an die registrierten Geräte ab und du tippst am handy auf "Genehmigen", danach zeigt dir dein handy 3 verschiedene Kreise mit unterschiedlichen Ziffern an, du musst auf jenen tippen welcher dem Kreis mit der Ziffer am PC Bildschirm entspricht.
Zu letzt dann der Verifizierungsprozess am handy, Fingerprint, PIN Eingabe, Iris-Scan, Gesichtsscan usw. was immer du auch am handy verwendest.
Hast du also auf "Genehmigen" getippen, wurde der richtige Kreis mit Ziffer angetippt und der Fingerprint/Pin/Gesichts-/Irisscan erfolgreich absolviert dann schaltet das handy die Genehmigung an die Synology durch und der Ameldevorgang wird dort fortgesetzt.

Wie erwähnt in unregelmässigen Abständen erscheint EIN KREIS am PC Bildschirm bei der Anmeldung, am handy erscheinen dann 3 Kreise mit Ziffern und nur wenn der Kreis bestätigt wird, der auch am PC angezeigt wird, geht es weiter mit dem Iris-Scan, Gesichtssan, Fingerprint Scan usw.

Oben im Bild ist eine der 3 Ziffern auch am PC bei der Anmeldung zu sehen, du musst hier diese Ziffern antippen.
Ich habe bis jetzt noch kein Muster erkennen können, wann diese zusätzliche "Kreiszahlenabfrage" kommt

 

[DS-Thorsten]

Hab auf einer Synology mal SecureSignIn eingerichtet.
Anmeldung und Komfort mega. Klasse!

Man kann jedoch direkt bei der Anmeldung eine alternative Anmeldung wählen und dann reicht "nur" das Passwort.
Damit ist das doch kein durchgängiges 2FA, wenn ich einfach sagen kann ich verzichte und nehme direkt das Passwort.
Das meinte ich hier:
https://www.synology-forum.de/threads/2fa-geht-nicht-mehr.124769/post-1053350
Oder hab ich wieder was übersehen?

Klar, man bekommt das evtl. auf dem Handy mit, dass jemand eine Freigabe wollte. Und ich kann ein total langes Passwort verwenden das ich quasi nie eingeben muss und es so auch extrem unwahrscheinlich ist, dass es jemand mit mitlesen kann.

 

[Monacum]

Das verwenden der App alleine aktiviert nicht die Zwei-Faktor-Authentifizierung, das was du gerade machst, nennt Synology Kennwortlose Anmeldung. Man kann Secure SignIn verwenden, um das Passwort zu ersetzen und um es als zweiten Faktor zu verwenden. Um das Konto damit zusätzlich ab zu sichern, musst du wie folgt vorgehen:

1. Öffnen Sie DSM > Persönlich > Konto und klicken Sie auf 2-Faktor-Authentifizierung.
2. Wenn Sie sich unter DSM > Systemsteuerung > Synology-Konto bereits beim Synology-Konto angemeldet haben, können Sie entweder Anmeldegenehmigung, Verifizierungscode (OTP) oder Hardware-Sicherheitsschlüssel für den zweiten Anmeldeschritt auswählen.
3. Wenn Sie sich noch nicht beim Synology-Konto angemeldet haben, ist der Verifizierungscode (OTP) die einzige verfügbare Option für den zweiten Anmeldeschritt.

Siehe auch:

https://kb.synology.com/de-de/DSM/help/DSM/SecureSignIn/2factor_authentication?version=7

https://kb.synology.com/de-de/DSM/help/SecureSignIn/iPhone?version=7

 

[Uwe96]

Sehe ich das richtig dass für Secure Signin der DS immer von außen erreichbar sein muss? Also entweder per Portfreigabe oder Synology Konto?
Da ich nur VPN nutze kann ich es dann also nicht verwenden?
Macht dann so gar keinen Sinn.

 

[Synchrotron]

Die DS muss an dem Synologykonto angemeldet sein, das dann auch für Secure Signin verwendet wird. Die einfachste Lösung ist, Quickconnect zu nutzen. Ansonsten geht es vermutlich über Port 443, wie der ganze andere Webtraffic auch. Habe ich noch nicht probiert, QC läuft bei mir eh mit.

 

[Uwe96]

QC läuft bei mir nicht. Warum auch? Angemeldet bin ich im Synology Konto.
Na, dann nehme ich halt weiter den Code Generator. Habe ich ja auch allen meinen mobil Geräten drauf.

 

[Monacum]

Die Anmeldung im Konto wird genutzt, um die Anmeldung bzw. die Infos darüber zu pushen. Bei den Codegeneratoren ist das anders, da muss nur der Zeitschlüssel zwischen beiden Geräten stimmen, aber keine Verbindung über das Internet.

QC läuft bei mir nicht. Warum auch? Angemeldet bin ich im Synology Konto.

Was hat das eine mit dem anderen zu tun?

 

[Uwe96]

Es gibt bei mir hier halt keinen Zugriff von außen außer per VPN. Also weder QC noch per Protfreigabe.