Synology-Forum.nl

Firmware => Synology DSM 6.0 => Topic gestart door: Menneke op 16 februari 2017, 20:36:08

Titel: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Menneke op 16 februari 2017, 20:36:08
Security Advisor meld: "sommige gebruikers hebben zwakke wachtwoorden".
Moet ik dit ernstig nemen en dus wachtwoord veranderen?
Zo ja, hoe en waar doe ik dat?
Alvast bedankt.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Birdy op 16 februari 2017, 20:52:02
Ja, dat ligt er maar aan, wie de gebruikers zijn en, of de NAS van buiten af bereikbaar is.
Wachtwoorden kun je natuurlijk wijzigen, zie DSM Help (https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/file_user_edit). 
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Menneke op 16 februari 2017, 21:02:04
Dan ga ik er maar van uit dat het oké is.
Krijg enerzijds waarschuwing, anderzijds zie ik via configuratiescherm bij de 3 gebruikersnamen status "normaal" ... vrij tegenstrijdig / onduidelijk allemaal.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: ufosyno op 16 februari 2017, 22:18:09
Je kan onder gebruikers (in het configuratiescherm) in het tabblad "geavanceerd" zelf opgeven wat voor jou de minimale vereisten zijn voor een wachtwoord.

Volgens mij is de situatie zo, dat wanneer daar de eisen zijn verzwaard, de security advisor daarna voor alle wachtwoorden die niet (meer) aan die ingestelde ww-eisen voldoen, deze melding genereerd. Volgens mij heeft dit gespeeld bij de overgang van DSM 5 naar DSM 6, maar ik kan niet met zekerheid zeggen dat mijn geheugen daar het juiste moment oppikt.

Als het eenmaal is ingesteld en een gebruiker wijzigt zijn wachtwoord, dan zal dat wachtwoord alleen geaccepteerd worden als het aan de eisen voldoet.

Nou zit ik maar met een paar gebruikers, dus was het voor mij makkelijk om ze allemaal even te vragen om hun wachtwoord te wijzigen. Toen dat was gebeurt was de melding in de sec-adv. verdwenen.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: aliazzz op 16 februari 2017, 23:45:25
@Meneke,

Security advisor geeft je enkel een advies,of je dit opvolgt is je eigen keuze. Hiervoor gebruikt de advisor een zgn. Baseline, zeg maar toetsingscriteria (ook deze criteria zijn aan te passen) waartegen de instellingen vergeleken worden. Als een instelling niet aan de baseline voldoet krijg je het advies om de desbetreffende instelling aan te passen.

Dit alles is onderhavig aan eigen inzicht, behoefte, kennis en kunde.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Menneke op 17 februari 2017, 00:22:01
Zowel inzicht, kennis en kunde ontbreken mij in deze, ik blijf er zelf dus maar beter vanaf.
Hopelijk is alles toch wel safe.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Sylvester op 17 februari 2017, 08:05:40
Daar heb je geen 'kennis' voor nodig hoor. Zelfs ik kan dat...  :)
Gewoon wachtwoord veranderen. 
Configuratiescherm > gebruikers > naam > paswoord veranderen.
Je kan er zelfs eentje laten 'genereren'. Dat voldoet dan (volgens Synology) wel aan de vereisten.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Menneke op 17 februari 2017, 09:42:48
Ik ben voor zoiets steeds erg onzeker ... via Configuratiescherm > gebruikers > naam > paswoord veranderen zie ik niet rechtstreeks de opdracht "wachtwoord veranderen", en dat veroorzaakt onzekerheid bij mij.
Waarschijnlijk moet ik daar het wachtwoord verwijderen, nieuw WW ingeven, bevestigen, klaar.
Maar uit angst om iets verkeerd te doen ...
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Birdy op 17 februari 2017, 10:01:12
Citaat
Waarschijnlijk moet ik daar het wachtwoord verwijderen, nieuw WW ingeven, bevestigen, klaar.
Niet verwijderen, maar overschrijven, klaar.

[attachimg=1]
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Briolet op 17 februari 2017, 11:30:31
Je kunt bij Gebruikers --> geavanceerd instellen dat ook niet-administratoren hun wachtwoord per mail kunnen herstellen.

Als dat aan staat, kun je gewoon bij alle gebruikers waarvan je een e-mail adres ingevuld hebt, het wachtwoord door een willekeurig wachtwoord vervangen. Dan kan de gebruiker er niet meer in, maar kan via de "vergeten wachtwoord" optie, weer een nieuw wachtwoord aanmaken.

Dat vind ik prettiger dan dat je met zijn tweeën aan de gang moet om via jouw account het wachtwoord van al die gebruikers in te laten intikken.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: pcrrules op 09 maart 2017, 12:36:34
Uiteraard logisch om wachtwoorden aan te passen en gebruikers hierop laten wijzen. Maar wat ik zou willen weten is welke gebruiker(s) een zwak wachtwoord heeft/hebben.

Op dit moment geeft de security advisor bij mij aan dat er gebruiker(s) is/zijn met een zwak wachtwoord maar niet welke gebruikers. Ik kan dus lastig iemand aanspreken van mijn gebruikers.

Wat is de definitie van een zwak wachtwoord van Synology? Ik laat zwakken wachtwoorden uitsluiten (optie in config) en daarnaast verplicht ik iedereen om minimaal 8 karakters te gebruiken met cijfers en hoofdletters. Enkel speciale tekens hoeven niet persé.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Briolet op 09 maart 2017, 12:40:55
Citaat
Wat is de definitie van een zwak wachtwoord van Synology?

Volgens mij worden die wachtwoorden alleen als hash opgeslagen en niet als wachtwoord zelf, dus kan Synology niet zien uit welke tekens hij opgebouwd is. Het enige wat dan over blijft, dat ze kunnen zien, is de lengte van het wachtwoord.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Robert Koopman op 09 maart 2017, 12:50:14
Je kan wel zien welke gebruikers een zwak wachtwoord hebben, bij de resultaten staat bovenin "weergeven" en dan zie ik er wel eentje.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Sylvester op 09 maart 2017, 12:54:27
Ik vermoed dat men wél kijkt naar de complexiteit en samenstelling van het wachtwoord. Heb ik zelf ervaren.
Volgens mij kijken ze alleen naar de samenstelling op het moment dat je het wachtwoord aanmaakt.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: pcrrules op 09 maart 2017, 13:07:44
Als ik in de Security Advisor kijk en doorklik op 'weergeven' zie ik de onderstaande pop up. Is er nog een knop die ik gemist heb buiten 'Weergeven'?
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Robert Koopman op 09 maart 2017, 13:11:57
Bij mij is een ldap gebruiker, misschien zit daar verschil tussen?
Ik zie namelijk wel welke gebruiker het is.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: pcrrules op 09 maart 2017, 13:14:03
Bij mij zijn het inderdaad standaard gebruikers in synology zelf. Heb verder geen fancy user provisioning.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Birdy op 09 maart 2017, 13:21:20
Bij mij zijn het ook standaard gebruikers op m'n TestDS en, worden wel getoond:

[attachimg=1]

Ik heb meer het idee, dat er bij jou een deel van het window is weggevallen, vergelijk die van maar eens met die van mij.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: pcrrules op 09 maart 2017, 13:34:31
@Birdy welke DSM versie draai jij? Ik: DSM 6.1-15047 Update 1
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Birdy op 09 maart 2017, 13:37:56
Ik ook, op de DS716+II.
Als ik jou was, zou ik hiervoor een Ticket inleggen.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Briolet op 09 maart 2017, 15:18:08
Ik zie hetzelfde als Birdy. (Even een test gebruiker aangemaakt met zwak wachtwoord). Ik zie echter een rood driehoekje bij de fout staan. Jij hebt een oranje rondje.

Ik zit op DSM 6.0

Edit. Ik heb het herhaald op mijn 212j met DSM 6.1 update 1 en daar krijg ik hetzelfde als onder DSM 6. Dus ook een rood driehoekje bij de waarschuwing en de naam van het account.

Ik zie wel dat je bij DSM 6.1 nu ook een wachtwoord verval kunt instellen. Voorheen kon dat alleen bij ldap accounts.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: pcrrules op 09 maart 2017, 17:28:13
Heb een ticket ingediend, kijken wat ze zeggen. Support van Synology valt me tot nu toe echt niet tegen, snelle reactie en uitgebreide antwoorden.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Robstar op 09 maart 2017, 20:16:34
Om te weten welke gebruiker een zwak ww heeft kan je op 1 na alle gebruikers uitschakelen en dan security scan doen, vervolgens weer 1 gebruiker activeren en weer security scan doen enz.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Birdy op 09 maart 2017, 20:29:14
Je zal maar 100 Gebruikers hebben :lol:
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: pcrrules op 09 maart 2017, 20:30:26
Ik heb er maar 48...... dus zo gebeurd joh.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Robstar op 09 maart 2017, 20:34:04
😄😄 dat wordt dus wachten op antwoord.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Hofstede op 09 maart 2017, 20:41:48
Andere optie: De wachtwoordregels strenger maken en dan voor alle gebruikers instellen dat ze bij de volgende inlog hun wachtwoord moeten wijzigen.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Briolet op 09 maart 2017, 20:44:24
Bij 48 accounts zijn er toch maar 7 pogingen nodig als je het slim aanpakt.  :)
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: pcrrules op 09 maart 2017, 20:46:06
Scherp.... briolet. Zal eens het weekend in de nacht een poging doen met een biertje erbij.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: pcrrules op 16 maart 2017, 12:22:32
Ticket ingeschoten bij Synology, dag later bericht gehad. Ze hebben tijdelijk toegang gekregen op de NAS via SSH om te onderzoeken en een dag later hebben ze een fix gedaan op het platform en uitgerold naar productie.

Het bleek een bug te zijn, deze bug gaf onterecht een (halve) melding van onveilige wachtwoorden van users. Dit is nu niet meer het geval en dus 'problem solved'.
Titel: Re: Waarschuwing Security Advisor: zwakke wachtwoorden.
Bericht door: Babylonia op 16 maart 2017, 19:30:13
....daarnaast verplicht ik iedereen om minimaal 8 karakters te gebruiken met cijfers en hoofdletters. Enkel speciale tekens hoeven niet persé.

Dan komt het praktisch al neer op:  "minimaal 8 karakters te gebruiken met cijfers en hoofdletters."

Met die definitie zit je IMO al in het veld van erg zwakke wachtwoorden.