Neues secure sign in...nur der halbe Weg?

the other

Well-known member
Moinsen,
nachdem ich gestern Abend noch hochmotiviert für heute war, um mir das neue secure sign in anzuschauen (und eventuell testweise zu probieren), kam dann heute die (vorläufige?) Ernüchterung...
Hintergrund: ich war eigentlich sehr erfreut über die Aussicht, dass die Anmeldung an das NAS (unter DSM7) jetzt etwas differenzierter eingestellt werden kann. So war die Idee für manche Nutzer neben dem Passwort noch den 2. Faktor Hardwareschlüssel einzurichten statt TOTP, für andere mit diesem Hardwareschlüssel dagegen eine passwortlose Anmeldung zu probieren...

Aktuell muss sich der Admin-User mit Passwort und OTP Bestätigung anmelden, unter Persönlich damals eingestellt und läuft...

Heute dann mal geschaut. Wenn ich es richtig verstehe, dann wird
1. ein Synology Konto benötigt
2. ein QuickConnect Konto oder aber eine Domain mit DDNS fürs NAS (hier kann man wohl auch mit einer lokalen Domain arbeiten) benötigt.

Daher: ohne 1. und 2. scheint es keine Möglichkeit zu geben, mit Hardwareschlüsseln zu arbeiten. Als 2FA wird ausschließlich weiterhin OTP angeboten...
Über sehe ich da was?

Ranting-Mode ON: wenn (!) ich mit o.g. richtig liege, dann hat Synology da eine Chance verpasst (bzw. zeigt ein doofes Gebaren). Wieso kann ich nicht ohne externe Stelle den Hardwarekey verwenden?? Sogar mit keepassXC geht das sauber offline, ohne irgendwelche Domain oder anderen Dienste. Meine wichtigen Passworte bekomme ich nur mit Passwort und Key. Schade, dass das auf dem NAS scheinbar weiterhin nicht möglich ist, ohne wieder extra Schritte zu unternehmen.



Falls ich mich irren sollte (was durchaus im Bereich des Möglichen liegt), dann berichtigt mich gerne...
;)
 
Zuletzt bearbeitet:

blurrrr

Well-known member
So wie sich das liest, muss innerhalb der Syno eine Domain konfiguriert sein (ganz egal ob QC, DDNS, oder reguläre Domain). Eher "fragwürdig" finde ich diese Textpassage:
Stellen Sie sicher, dass die Benutzer, die Hardware -Sicherheitsschlüssel einrichten, Zugriff auf DSM haben und der Standard -DSM HTTPS 5001 keine Zugriffsbeschränkungen hat.
Macht auf mich den Eindruck, als "müsse" der Port 5001 "zwingend" offen/erreichbar sein... Fände ich jetzt nicht so dolle... Ich würde es erstmal mit dem "Hostname" versuchen und schauen, ob dann irgendwas damit möglich ist. Laut Syno-Website findet dann die Zuordnung zwischen Domain und Key statt:
Für die Einrichtung eines Hardware -Sicherheitsschlüssels ist eine HTTPS -Verbindung erforderlich.
....
Ihr Hardware -Sicherheitsschlüssel wird in dieser DSM -Domain registriert.
Von daher gehe ich einfach mal davon aus, dass ein entsprechender FQDN vorhanden sein muss und die HW-Keys dieser "Domain" zugeordnet werden. Ich würde es einfach mal so ausprobieren (mit Hostname statt DDNS/QC) :)
 

the other

Well-known member
Moinsen,
ne, ich bin raus. Genau wegen der Zwangsregistrierung UND dann noch PWL um mein System SICHERER zu machen?? Geht es denn wohl noch? Was für ein Kasparsverein bei Synology...

Unfassbar. Bzw. nö, einfach nur ein Zeichen der heutigen Zeit: wir geben dir etwas Sicherheit, dafür wollen wir deine Daten und die ein oder andere Weiterleitung aufs System (via Synology DDNS oder QC oder Konto)...echt blöd. Da bleib ich bei Passwort und OTP.
Technisch wäre sowas durchaus möglich, aber nein...Gier fressen Hirn. :mad::poop:🤬🤬☠️
 

blurrrr

Well-known member
Naja, theoretisch sollte es auch mit einer internen Domäne funktionieren (denk ich). Wenn der Key auf der Syno einer Domain zugeordnet wird, sollte es ja relativ egal sein. Ich würde es wie gesagt einfach mal ausprobieren.
 

the other

Well-known member
Moinsen,
ohne Konto bei denen geht es scheinbar nicht.
Hab die letzten 40 Minuten versucht, gelesen, recherchiert...scheint ne Zwangsregistrierung zu sein. Und man scheint (ist da etwas unklar) auch ne PWL einrichten zu müssen (siehe die beiden links). Oder verstehe ich das einfach nur banane? :rolleyes:🍌
Bei dem testuser kommt die Auswahl sonst gar nicht, da wird nur als 2fa OTP angeboten. Auch keine passwortlose Anmeldung als Menupunkt...
 

the other

Well-known member
Moinsen,
1. Ich habe den Testuser angelegt.
2. Versuch a) via admin diesem 2fa aufgezwungen. Die wird nach der ersten Anmeldung auch eingerichtet, aber nur otp.
3. Versuch b) über persönliche Einstellungen im menu zu 2fa gesucht, ebenfalls nur otp.

Wie gesagt, alles ohne synology Konto.

Edit...Mit eingetragener domain wie etwa nas.example.lan
 

blurrrr

Well-known member
Hm...na dann, schmeiss wech dat Gedöns... Wenn es dem Spieltrieb dienlich sein soll, kannste Dir ja z.B. auch mal Glewlwyd anschauen, ist dann aber direkt eine wesentlich umfangreichere Nummer. So oder so ruhig mal etwas an Feedback an Synology zurückgeben.
 

the other

Well-known member
Moinsen,
so: hab mich breit schlagen lassen von der eigenen Neugier...Konto bei Synology registriert. Damit kann man dann sowohl die passwortlose Anmeldung zB via Hardwarekey oder auch andere 2fa Optionen schalten.
Mit dem testuser aktuell ein Anmelden via yubikey ohne PW möglich. Schön!
Weniger schön: das Synologykonto ist obligatorisch dafür, also ein mehr an Sicherheit für ein weniger an Datenschutz. Naja...
Auch gut: es funktioniert (wie ja in den vorherigen Beiträgen schon gemutmaßt) durchaus mit einer einfachen lokalen Domain und ohne PWL...

Insgesamt also bleibt bei mir zumindest ein gemischtes Gefühl; gute Idee, doof implementiert.
;)
 

blurrrr

Well-known member
Hä? Also war es jetzt erstmal "zwingend" erforderlich das Syno-Konto zu haben, damit Du hinterher dann doch wieder alles nur intern nutzt? Wird diese Zuordnung zwischen Key und Domain jetzt noch bei Synology gespeichert, oder wirklich "nur" auf dem Gerät, oder wie oder was jetzt? 😁

Ich würde jetzt vermutlich erstmal panisch den Traffic mitschneiden und schauen, ob bei der Authentifizierung dann nicht doch instant Daten zu Synology fliessen.... bzw. kannst der Syno auch mal kurzzeitig das Gateway klauen und schauen, ob die Authentifizierung dann noch klappt 😂 Anschauen würde ich mir die Sache aber auf jeden Fall noch mit tcpdump oder wireshark... Würde mich ja schon interessieren, ob dann genau - ganz zufällig versteht sich... - ggf. noch Daten in Richtung Synology fliessen und wenn ja, was für welche. Wenn die sich jetzt auch noch die Zuordnung (Token/Art des Token + Domain) als Info wegspeichern (o.ä.), fände ich persönlich eher nicht so nett....
 

the other

Well-known member
Moinsen,
ja, eine Anmeldung ist bei Synology nötig gewesen (ähnlich hohl wie wohl auch bei AktiveBackup). Eigentlich technisch völlig überflüssig, aber die Damen und Herren bei Synology wollen vermutlich auch was vom Datenkuchen abhaben. Sollen sie...(dran ersticken, ähem, sorry).

Hab den Traffic ebenfalls mitgeschnitten, allerdings nicht panisch sondern eher mit ner Tüte Popcorn angenehm gespannt...
Es werden weder Pakete vom NAS Richtung auswärts geschickt während der Anmeldung (hier mit Hardwarekey) noch kontaktiert der Client, von welchem ich mich anmelde irgendwas bei Synology. Die Pakete sind laut Packet Capture nur zwischen NAS und anmeldenden Client unterwegs.
;)
Gateway ausmachen versuche ich direkt als nächstes, melde mich gleich...
:)
 

the other

Well-known member
Moinsen,
so. Nach ner Woche rumspielen mit dem neuen secure sign in(ssi), welches mit DSM 7 angeboten wird, und anfänglicher Ärgerei, weil es nur mit aktivem Synology Konto genutzt werden kann :mad:, mal ne kurze Rückmeldung:
insgesamt lässt sich das neue ssi leicht einrichten. Auf die Anmeldebestätigung mittels App verzichte ich bisher (und vermutlich auch zukünftig, brauch ich einfach nicht). Was sehr schön funktioniert bislang, ist die Nutzung von Hardwarekeys, hier yubikeys. Diese nutze ich für den Admin-User als 2fa, alternativ zur TOTP Authorization. Für den Haupt-normal-User habe ich die passwortlose Anmeldung mal probiert, auch dies klappt super: auf der login Seite Name eintragen, key einstecken, fertig. Sollte der key nicht da sein, kann als fall-back natürlich trotzdem das Passwort zum log in genutzt werden.
Zumindest für die Anmeldung per Browser bin ich erst mal ganz zufrieden. Die Apps laufen weiterhin via User/password Auth.

Wie steht ihr dazu? Nutzt eine*r auch schon ssi oder spielt mit dem Gedanken?
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
956
Beiträge
13.923
Mitglieder
487
Neuestes Mitglied
hendrik2022
Oben