Synology-Forum.nl
Firmware => Synology DSM 6.0 => Topic gestart door: Menneke op 16 februari 2017, 20:36:08
-
Security Advisor meld: "sommige gebruikers hebben zwakke wachtwoorden".
Moet ik dit ernstig nemen en dus wachtwoord veranderen?
Zo ja, hoe en waar doe ik dat?
Alvast bedankt.
-
Ja, dat ligt er maar aan, wie de gebruikers zijn en, of de NAS van buiten af bereikbaar is.
Wachtwoorden kun je natuurlijk wijzigen, zie DSM Help (https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/file_user_edit).
-
Dan ga ik er maar van uit dat het oké is.
Krijg enerzijds waarschuwing, anderzijds zie ik via configuratiescherm bij de 3 gebruikersnamen status "normaal" ... vrij tegenstrijdig / onduidelijk allemaal.
-
Je kan onder gebruikers (in het configuratiescherm) in het tabblad "geavanceerd" zelf opgeven wat voor jou de minimale vereisten zijn voor een wachtwoord.
Volgens mij is de situatie zo, dat wanneer daar de eisen zijn verzwaard, de security advisor daarna voor alle wachtwoorden die niet (meer) aan die ingestelde ww-eisen voldoen, deze melding genereerd. Volgens mij heeft dit gespeeld bij de overgang van DSM 5 naar DSM 6, maar ik kan niet met zekerheid zeggen dat mijn geheugen daar het juiste moment oppikt.
Als het eenmaal is ingesteld en een gebruiker wijzigt zijn wachtwoord, dan zal dat wachtwoord alleen geaccepteerd worden als het aan de eisen voldoet.
Nou zit ik maar met een paar gebruikers, dus was het voor mij makkelijk om ze allemaal even te vragen om hun wachtwoord te wijzigen. Toen dat was gebeurt was de melding in de sec-adv. verdwenen.
-
@Meneke,
Security advisor geeft je enkel een advies,of je dit opvolgt is je eigen keuze. Hiervoor gebruikt de advisor een zgn. Baseline, zeg maar toetsingscriteria (ook deze criteria zijn aan te passen) waartegen de instellingen vergeleken worden. Als een instelling niet aan de baseline voldoet krijg je het advies om de desbetreffende instelling aan te passen.
Dit alles is onderhavig aan eigen inzicht, behoefte, kennis en kunde.
-
Zowel inzicht, kennis en kunde ontbreken mij in deze, ik blijf er zelf dus maar beter vanaf.
Hopelijk is alles toch wel safe.
-
Daar heb je geen 'kennis' voor nodig hoor. Zelfs ik kan dat... :)
Gewoon wachtwoord veranderen.
Configuratiescherm > gebruikers > naam > paswoord veranderen.
Je kan er zelfs eentje laten 'genereren'. Dat voldoet dan (volgens Synology) wel aan de vereisten.
-
Ik ben voor zoiets steeds erg onzeker ... via Configuratiescherm > gebruikers > naam > paswoord veranderen zie ik niet rechtstreeks de opdracht "wachtwoord veranderen", en dat veroorzaakt onzekerheid bij mij.
Waarschijnlijk moet ik daar het wachtwoord verwijderen, nieuw WW ingeven, bevestigen, klaar.
Maar uit angst om iets verkeerd te doen ...
-
Waarschijnlijk moet ik daar het wachtwoord verwijderen, nieuw WW ingeven, bevestigen, klaar.
Niet verwijderen, maar overschrijven, klaar.
[attachimg=1]
-
Je kunt bij Gebruikers --> geavanceerd instellen dat ook niet-administratoren hun wachtwoord per mail kunnen herstellen.
Als dat aan staat, kun je gewoon bij alle gebruikers waarvan je een e-mail adres ingevuld hebt, het wachtwoord door een willekeurig wachtwoord vervangen. Dan kan de gebruiker er niet meer in, maar kan via de "vergeten wachtwoord" optie, weer een nieuw wachtwoord aanmaken.
Dat vind ik prettiger dan dat je met zijn tweeën aan de gang moet om via jouw account het wachtwoord van al die gebruikers in te laten intikken.
-
Uiteraard logisch om wachtwoorden aan te passen en gebruikers hierop laten wijzen. Maar wat ik zou willen weten is welke gebruiker(s) een zwak wachtwoord heeft/hebben.
Op dit moment geeft de security advisor bij mij aan dat er gebruiker(s) is/zijn met een zwak wachtwoord maar niet welke gebruikers. Ik kan dus lastig iemand aanspreken van mijn gebruikers.
Wat is de definitie van een zwak wachtwoord van Synology? Ik laat zwakken wachtwoorden uitsluiten (optie in config) en daarnaast verplicht ik iedereen om minimaal 8 karakters te gebruiken met cijfers en hoofdletters. Enkel speciale tekens hoeven niet persé.
-
Wat is de definitie van een zwak wachtwoord van Synology?
Volgens mij worden die wachtwoorden alleen als hash opgeslagen en niet als wachtwoord zelf, dus kan Synology niet zien uit welke tekens hij opgebouwd is. Het enige wat dan over blijft, dat ze kunnen zien, is de lengte van het wachtwoord.
-
Je kan wel zien welke gebruikers een zwak wachtwoord hebben, bij de resultaten staat bovenin "weergeven" en dan zie ik er wel eentje.
-
Ik vermoed dat men wél kijkt naar de complexiteit en samenstelling van het wachtwoord. Heb ik zelf ervaren.
Volgens mij kijken ze alleen naar de samenstelling op het moment dat je het wachtwoord aanmaakt.
-
Als ik in de Security Advisor kijk en doorklik op 'weergeven' zie ik de onderstaande pop up. Is er nog een knop die ik gemist heb buiten 'Weergeven'?
-
Bij mij is een ldap gebruiker, misschien zit daar verschil tussen?
Ik zie namelijk wel welke gebruiker het is.
-
Bij mij zijn het inderdaad standaard gebruikers in synology zelf. Heb verder geen fancy user provisioning.
-
Bij mij zijn het ook standaard gebruikers op m'n TestDS en, worden wel getoond:
[attachimg=1]
Ik heb meer het idee, dat er bij jou een deel van het window is weggevallen, vergelijk die van maar eens met die van mij.
-
@Birdy welke DSM versie draai jij? Ik: DSM 6.1-15047 Update 1
-
Ik ook, op de DS716+II.
Als ik jou was, zou ik hiervoor een Ticket inleggen.
-
Ik zie hetzelfde als Birdy. (Even een test gebruiker aangemaakt met zwak wachtwoord). Ik zie echter een rood driehoekje bij de fout staan. Jij hebt een oranje rondje.
Ik zit op DSM 6.0
Edit. Ik heb het herhaald op mijn 212j met DSM 6.1 update 1 en daar krijg ik hetzelfde als onder DSM 6. Dus ook een rood driehoekje bij de waarschuwing en de naam van het account.
Ik zie wel dat je bij DSM 6.1 nu ook een wachtwoord verval kunt instellen. Voorheen kon dat alleen bij ldap accounts.
-
Heb een ticket ingediend, kijken wat ze zeggen. Support van Synology valt me tot nu toe echt niet tegen, snelle reactie en uitgebreide antwoorden.
-
Om te weten welke gebruiker een zwak ww heeft kan je op 1 na alle gebruikers uitschakelen en dan security scan doen, vervolgens weer 1 gebruiker activeren en weer security scan doen enz.
-
Je zal maar 100 Gebruikers hebben :lol:
-
Ik heb er maar 48...... dus zo gebeurd joh.
-
😄😄 dat wordt dus wachten op antwoord.
-
Andere optie: De wachtwoordregels strenger maken en dan voor alle gebruikers instellen dat ze bij de volgende inlog hun wachtwoord moeten wijzigen.
-
Bij 48 accounts zijn er toch maar 7 pogingen nodig als je het slim aanpakt. :)
-
Scherp.... briolet. Zal eens het weekend in de nacht een poging doen met een biertje erbij.
-
Ticket ingeschoten bij Synology, dag later bericht gehad. Ze hebben tijdelijk toegang gekregen op de NAS via SSH om te onderzoeken en een dag later hebben ze een fix gedaan op het platform en uitgerold naar productie.
Het bleek een bug te zijn, deze bug gaf onterecht een (halve) melding van onveilige wachtwoorden van users. Dit is nu niet meer het geval en dus 'problem solved'.
-
....daarnaast verplicht ik iedereen om minimaal 8 karakters te gebruiken met cijfers en hoofdletters. Enkel speciale tekens hoeven niet persé.
Dan komt het praktisch al neer op: "minimaal 8 karakters te gebruiken met cijfers en hoofdletters."
Met die definitie zit je IMO al in het veld van erg zwakke wachtwoorden.