SecureSignIn-App als einziger 2FA-Code-Generator?

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
767
Punkte für Reaktionen
111
Punkte
63
Hallo in die Runde!

Sehe ich das richtig, dass unter DSM 7 und der 2FA-Autorisierung (Zahlencode) dafür zwingend die SecureSignIn-App eingesetzt werden muss - und entsprechende Apps anderer Hersteller (Authy, Google Authenticator etc.) nicht mehr funktionieren?

Jedenfalls wird jetzt von den anderen Apps der QR-Code nicht mehr erkannt.

Unter DSM 6 hatte ich mit Authy zugegriffen - und zwar deshalb, weil die App auf meiner Apple Watch läuft, ich mir den Zahlencode so bequem am Handgelenk anzeigen lassen kann ohne das Smartphone aus der Tasche zu holen. Synology SecureSignIn gibt es aber offenbar nicht für die Apple Watch...
 

Thonav

Benutzer
Mitglied seit
16. Feb 2014
Beiträge
4.182
Punkte für Reaktionen
137
Punkte
143
Andere funktionieren auch. Nutze Google Authenticator schon vor dem Update und läuft auch mit DSM7 problemlos.
 

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
404
Punkte für Reaktionen
19
Punkte
24
Ort
Hamburg
Dito, ich nutze Microsoft Authenticator. Funktioniert einwandfrei.
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
767
Punkte für Reaktionen
111
Punkte
63
Also bei mir wird in allen anderen Apps immer gesagt / angezeigt: Ungültiger Barcode.

Folgende Einrichtung - funktioniert nur mit der SecureSignIn-App. Gibt es eine andere Einrichtungsmethode für 2FA unter DSM7? Wenn ja - wie?

Bildschirmfoto 2021-08-08 um 10.26.09.png


Bildschirmfoto 2021-08-08 um 10.26.45.png

Bildschirmfoto 2021-08-08 um 10.27.02.png
 

luddi

Benutzer
Mitglied seit
05. Sep 2012
Beiträge
1.932
Punkte für Reaktionen
114
Punkte
89
Hast du schon einmal versucht auf "Can´t see it?" zu klicken damit der Code angezeigt wird und dieser dann manuell in der App eingetragen wird?
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
767
Punkte für Reaktionen
111
Punkte
63
Hallo zusammen - und danke! Das Problem saß wieder einmal vor dem Computer. Ich hätte nach der Auswahl 2FA-Autentifizierung (Bild 1 oben) nicht auf den Reiter: "Anmeldegenehmigung" (ganz Links) - sondern auf den Reiter: "Verification Code OTP" klicken müssen - hier wird mir dann der lesbare Code angeboten.

Sorry, die Prozedur hat mich offenbar etwas verwirrt...
 

Ulfhednir

Benutzer
Mitglied seit
26. Aug 2013
Beiträge
1.558
Punkte für Reaktionen
306
Punkte
109
Du kannst entweder Syno Secure sign-in oder klassische OTP Anwendungen verwenden, aber nicht beides gleichzeitig.
Also ich nutze den Google Authentificator für OTP als auch Secure SignIn - und das funktioniert auch.
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.930
Punkte für Reaktionen
557
Punkte
384
Im selben Konto/Benutzer? @Ulfhednir
Da hab ich nicht präzise genug formuliert.
 

Ulfhednir

Benutzer
Mitglied seit
26. Aug 2013
Beiträge
1.558
Punkte für Reaktionen
306
Punkte
109
@Fusion mit dem selben Konto, ja.
 

luddi

Benutzer
Mitglied seit
05. Sep 2012
Beiträge
1.932
Punkte für Reaktionen
114
Punkte
89
Man kann beides gleichzeitig pro Account konfigurieren und bei der Anmeldung nach erfolgreicher Passwort Eingabe die Authentifizierung wechseln zwischen OTP und Syno Secure Sign-in.
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.930
Punkte für Reaktionen
557
Punkte
384
OK, dann hab ich mich wohl verlesen, oder falsch abgespeichert im Oberstübchen, als ich Syno Secure nach OTP einrichten wollte und er was in die Richtung gemeckert hat. Probiere ich heute Abend nochmal.
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.930
Punkte für Reaktionen
557
Punkte
384
So, nachgeschaut.

Kennwortlose Anmeldung kann nicht aktiviert werden, da der Admin die 2-Faktor-Authentifizierung für dieses Konto erzwungen hat.

Auch hier ist es wieder der nicht intuitive Weg der zum Ziel führt.

Die obige Auswahl ist also eine exklusive entweder oder...

In dem Fall muss man in den persönlichen Einstellungen die 2-Faktor-Auth anklicken und nach Passworteingabe die Einstellungen anpassen in dem man dort eine Anmeldegenehmigung hinzufügt. Und in der Secure Sign-In App "Konto hinzufügen" auswählt um den QR-Code zu scannen.

Wieder was gelernt.
 

luddi

Benutzer
Mitglied seit
05. Sep 2012
Beiträge
1.932
Punkte für Reaktionen
114
Punkte
89
Kennwortlose Anmeldung kann nicht aktiviert werden, da der Admin die 2-Faktor-Authentifizierung für dieses Konto erzwungen hat.
Das ist natürlich interessant.

In meinem Test hatte der Test User keine vom Admin erzwungene 2FA, jedoch war für diesen Testuser bereits 2FA via OTP aus der Vergangenheit eingerichtet. Zusätzlich wurde dann mit dem Test User das Secure Sign-In aktiviert.

@Fusion
D.h. sobald der Admin eine 2FA für User erzwingt, kann der User nicht allein Secure Sign-In ohne 2FA via OTP verwenden?
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.930
Punkte für Reaktionen
557
Punkte
384
Mmh, gute Frage, hab ich nicht explizit getestet, aber wäre eine naheliegende Vermutung, da der 2FA ja erzwungen wäre.
 

luddi

Benutzer
Mitglied seit
05. Sep 2012
Beiträge
1.932
Punkte für Reaktionen
114
Punkte
89
Also ich habe das ganze nochmals durchgespielt weil es mich selbst interessiert hat.

1. einen neuen Test User angelegt
2. Als Admin unter "Systemsteuerung --> Sicherheit --> Konto --> 2FA" für diesen neuen Test User explizit 2FA erzwungen
3. Mit dem neuen Test User das erste mal angemeldet mit Username & Password

Schon erscheint die höfliche Bitte eine 2FA einzurichten. Bestätigt man dies und wählt "Weiter" so erscheint folgendes Fenster:

1628451091938.png

Allein diese Information (Wählen Sie eine Methode für den zweiten Anmeldeschritt) impliziert ein logisches ODER.
Wählt man aber nun "Anmeldegenehmigung" also Secure SignIn, bestätigt mit Weiter und richtet diese erfolgreich durch scannen des QR Code ein folgt im nächsten Schritt folgende Meldung.


1628451336654.png



--> Bestätigt man hier mit "Weiter" so erscheint sofort der QR-Code und somit die Aufforderung OTP einzurichten.

1628451554122.png


Nach erfolgreichem Abschluss der OTP Einrichtung erscheint letztendlich die Information dass 2FA aktiviert wurde.
Und hier findet man die Information dass bei der nächsten Anmeldung das Kennwort und die zweite Verifizierungsmethode erforderlich sind.
Wobei hier bei "Zweiter Anmeldeschritt" sowohl Anmeldegenehmigung als auch OPT aufgeführt sind (Entweder, Oder --> ODER).

1628451845139.png


Und schon kann man bei der ersten Anmeldung nach erfolgreicher Kennworteingabe von OTP auf Secure SignIn wechseln.


1628452015714.png



D.h. unterm Strich, dass die 2FA über Secure SignIn allein nicht möglich ist aus besagtem Grund, dass das Telefon offline bzw. die Methode nicht verfügbar ist. Somit wird man gezwungen OTP zusätzlich einzurichten.

Fazit:
Ein alleiniges OTP als 2FA ist möglich.
Secure SignIn als alleiniges 2FA nicht möglich, sondern nur in Verbindung mit eingerichtetem OTP.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.978
Punkte für Reaktionen
483
Punkte
109
Moinsen,
@luddi
Alter, das war super von dir aufgezeigt und hat mir einige noch dunkle Bereiche erhellt.Spiele schon seit Tagen gedanklich mit der neuen Sicherheitslösung, hatte aber null Zeit bisher. Hab bislang nicht mal reingeschaut... :rolleyes:
Danke...(y)
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.978
Punkte für Reaktionen
483
Punkte
109
Moinsen,
sagt mal, sehe ich das richtig:
- man braucht zwingend ein Synology Konto?
- man braucht zwingend eine Public IP, Domain (offiziell) oder QuickConnect bzw. DDNS via Synology?

Ich hab es jetzt ohne diese Punkte mehrfach versucht, geht aber außer der normalen 2FA mit OTP nix.
Wie doof wäre DAS denn mal wieder? Warum nicht einfach nen Hardwarekey verknüpfen und gut? Funktioniert bei anderen Diensten auch ohne Extras...
Oder übersehe ich da was?
 

luddi

Benutzer
Mitglied seit
05. Sep 2012
Beiträge
1.932
Punkte für Reaktionen
114
Punkte
89

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.978
Punkte für Reaktionen
483
Punkte
109
Moinsen,
Die Möglichkeit besteht natürlich auch. Wird ja bei der Einrichtung von 2FA auch angeboten.
Bei mir (ohne Synologykonto) besteht die leider eben scheinbar nicht. Da wird ausschließlich OTP angeboten (was ich ja auch bereits nutze)...
 

luddi

Benutzer
Mitglied seit
05. Sep 2012
Beiträge
1.932
Punkte für Reaktionen
114
Punkte
89
What? :unsure: Jetzt wird's ja vogelwild das ganze...

Das erscheint mir in der Tat etwas merkwürdig warum OTP angeboten wird aber nicht U2F.
Da stelle ich mir die Frage, warum für eine Hardware Auth. ein Synology Account zwingend erforderlich sein soll? :oops:


EDIT:
Klingt komisch, ist aber scheinbar wirklich so... Siehe Hilfe Seite.

1628532853965.png
 
Zuletzt bearbeitet:
  • Like
Reaktionen: the other
NAS-Central - Ihr Partner für NAS Lösungen