DSM 7.2 Mehrere MFA Anmeldungen

[blotto82]

Ich nutze derzeit für mein Admin Konto einen YubiKey als 2FA. Nun soll man ja das ganze redundant betreiben, also einen zweiten Schlüssel haben falls der erste mal verloren geht.
Geht das bei DSM überhaupt? Ich kann nur den bisherigen Zurücksetzen, aber keinen weiteren hinzufügen.
Gibt es da einen Trick, oder muss ich damit leben das ich meinen YubiKey nicht verlieren darf?
Alternativ würde ich meinem Hauptbenutzer auch in die Admin Gruppe schieben und meinen zweiten YubiKey für den verwenden.

 

[Ronny1978]

Schlüssel haben falls der erste mal verloren geht.
Geht das bei DSM überhaupt?

Ja, natürlich. Sollte man auch tun.

Ich kann nur den bisherigen Zurücksetzen, aber keinen weiteren hinzufügen.
Gibt es da einen Trick, oder muss ich damit leben das ich meinen YubiKey nicht verlieren darf?

Warum? Oben steht doch "HINZUFÜGEN".

 

[blotto82]

Hab die aber als OTP hinzugefügt. Der generiert ein 6 stelligen Code nach der Anmeldung.
Bei den anderen Optionen will er ständig das ich DDNS Einrichte, aber das hab ich in der Fritzbox gelöst.
URL und Zertifikate sind vorhanden, aber wo sag ich ihm das?

 

[Ronny1978]

Das verstehe ich nicht. Du hast geschrieben:

Ich nutze derzeit für mein Admin Konto einen YubiKey als 2FA. Nun soll man ja das ganze redundant betreiben, also einen zweiten Schlüssel haben falls der erste mal verloren geht.
Geht das bei DSM überhaupt? Ich kann nur den bisherigen Zurücksetzen, aber keinen weiteren hinzufügen.

Ich habe gesagt doch, geht. Siehe Bild. Weiter:

Gibt es da einen Trick, oder muss ich damit leben das ich meinen YubiKey nicht verlieren darf?

Steht beim Hardwareschlüssel da -> HINZUFÜGEN. Wenn du aber gemeint hast, dass du den Yubikey NICHT als Hardware-Schlüssel, sondern als OTP Code hinzugefügt hast, dann gibt es auch einen ganz einfachen Trick:

OTP entfernen -> NEU einrichten UND!!! den QR Code (und ggf. den Sicherheitsschlüssel als Text) als PNG/JPG speichern -> dann die Einrichtung des ersten Yubikeys abschließen. Dann den QR Code in Paint anzeigen lassen -> 2. Yubikey anstecken -> QR Code hinzufügen -> vom Bildschirm scannen -> fertig.

 

[blotto82]

OK, das mit OTP hab ich mir schon fast gedacht.
Wie läuft das denn ab als Hardware Schlüssel?
Muss da nur der Key im PC/Handy stecken?

 

[maxblank]

Kann er, ja. Es gibt den aber auch z.B. als NFC, dann hälst du den Key in die Nähe vom Handy.

 

[blotto82]

Jetzt hat es geklappt. Man kann ja sogar Touch und FaceID verwenden bei Apple.
Direkt mal OTP und beide als Hardwareschlüssel hinterlegt, sicher ist sicher

 

[Ronny1978]

Danke für deine Rückmeldung. So soll es ja sein. Mein Yubikey hält hoffentlich länger wie jedes Handy oder der PC. ;-)

 

[blotto82]

Hab jetzt auch für den normalen Benutzer beide YubiKeys als Hardwareschlüssel hinterlegt, aber woher weiß ich welchen ich nehmen muss?
Man musste ja extra Namen vergeben welcher Stick das ist, aber beim Anmelden fehlt die Info irgendwie.
Es klappt da bisher nur korrekt mit einem Stick, OTP aber mit beiden weil auf beiden mit QR Code hinzugefügt.

 

[Ronny1978]

Den Namen vergibst du, damit du beide unterscheiden kannst, falls einer verloren geht. Eigentlich sollten beide funktionieren. Ich müsste das bei mir aber nachstellen. Das kann aber etwas dauern, da der Backup Hardwarekey bei meinem Bruder zu Hause liegt. Aber eigentlich sollte das System beide Schlüssel erkennen.

 

[blotto82]

Keine Eile, ich teste selbst noch ein wenig, wie das in der Praxis am besten klappt.
Am Macbook hab ich TouchID, unterwegs nehm ich den YubiKey mit USB-C und zuhause bleibt der YubiKey mit USB-A.
Beim neuen mit USB-C hatte ich auch einen PIN und PUK neu vergeben.
Nach dem Login wollte er OTP, also andere Alternative ausgewählt, Hardwareschlüssel.
Dann den Knopf am USB-C Yuki gedrückt, wollte er auch die PIN haben, getan, und dann stand da das man ihn abstecken und neu anmelden müsste damit es funktioniert.
Genau da dreht sich das ganze im Kreis. Nehm ich da den USB-A Yubi ohne PIN und drück auf den Knopf geht es sofort...
Es hakt wohl an der PIN Eingabe unter MacOS, da kommt halt ein extra Fenster für im Safari.
Hab den alten Stick bisher nur mit dem Authenticator genutzt, den neuen mit dem Yubikey Manager.
Liegt es vielleicht daran?

 

[Ronny1978]

Ich habe auch einen Pin bei meinem Yubikey. Bei mir ist das wie folgt:

- Einstecken
- Anmelden
- Auswahl beim Hardwareschlüssel -> SICHERHEITSSCHLÜSSEL
- DANN Pin Abrufe des Yubikey
- und DANN ERST Yubikey berühren

Berühren und dann Pin ist bei mir definitiv nicht so.

 

[Cmd. Toppik]

Es hakt wohl an der PIN Eingabe unter MacOS, da kommt halt ein extra Fenster für im Safari.

Selbiges Problem kann ich auch berichten.

Ich habe am Wochenende auch meine zwei Yubikeys erhalten. Zuerst habe ich im Yubico Manager eingestellt das nach FIDO auch ein Pin abgefragt wird. (Das soll wohl davor schützen dass falsche Personen die Token nutzen können. z.B verloren zu Hause Kinder...)

Allerdings fragt MacOS immer wieder den Pin und es geht nicht weiter. Nachdem ich den Pin entfernt habe funktionierte alles einwandfrei. Es scheint wohl wirklich ein Problem mit Mac OS oder allgemein Appel zu sein. Den FIDO per NFC funktioniert bei meinen iPhones auch nicht während OTP Freigabe über NFC Läuft.

Bezüglich NFZ scheint es wohl offiziell Probleme zu geben. Denn da habe ich, unter anderen bei Reddit, Beiträge im Netz gefunden und eine Absage von Yubico: https://support.yubico.com/hc/en-us...DO-PIN-issue-with-FIDO-CTAP-2-1-security-keys

 

[blotto82]

Am PC mit Firefox hat es auch kurz gehackt, aber nun geht es da auch.

 

[Cmd. Toppik]

Nach dem heutigen Update auf IOS 18.2 funktioniert zumindest FIDO per NFC am iPhone wieder. Wie es mit den Pincodes ausschaut habe ich nicht ausprobiert. Ich nutze meine Yubikeys bisher ohne Pin.

Allerdings nutze ich den Yubikey auch nicht für Passwortlose Anmeldungen sondern als zweiten Faktor.


Wenn ich Ihn also mal verlieren sollte braucht der Finder noch immer mein Benutzernamen und mein Passwort. Somit habe ich genügend zeit den Yubikey überall rauszuschmeißen.