2 staps verificatie

[bussie]

Hoi,

ik wil voor mijn 2 eigen administrator-accounts (enige actieve administrator accounts op mijn NAS, standaard administrator account heb ik uitgeschakeld) 2 staps verificatie inschakelen.

Geldt deze 2 traps verificatie alleen bij het aanmelden op de NAS via de browser, of geldt deze verificatie ook voor de netwerkverbinding die ik vanaf de PC naar de NAS heb gelegd (hetgeen mij niet wenselijk lijkt. De verbinding is o.b.v. 1 van deze 2 administrator-accounts)?

[Briolet]

Voor een netwerkverbinding is er helemaal geen reden om dit via een administrator account te doen. Dat kun je beter gescheiden houden. Dus ook je eigen home map onder een user account gebruiken en voor administrator zaken apart inloggen met een eigen account.

2FA is verder alleen voor browser toegang. Ik zou ook niet weten hoe je bij een mailprogramma of netwerktoegang 2FA zou kunnen gebruiken.

[Birdy]

geldt deze verificatie ook voor de netwerkverbinding die ik vanaf de PC naar de NAS heb gelegd

Getest....

- Gebruiker test gemaakt op de NAS.
- 2 staps verificatie geactiveerd (Google Authenticator) en werkt met DSM login.



- Gebruiker test (met zelfde password als voor DSM) gemaakt in Windows 7.
- Ingelogd als gebruiker test.
- Mapping naar een Gedeelde map gemaakt echter, dit ging zonder 2 staps verificatie.

Dus, 2 staps verificatie werkt dan niet.

[pvkan]

2 staps verificatie werkt in beginsel door op alle mogelijke clients.
Echter kan je per client aangeven of deze 'vertrouwd' kan worden; als je dit kiest dan zal een volgende keer niet meer om de 2traps code gevraagd worden als je met die specifieke client inlogt.

Ik heb eigenlijk eenzelfde soort situatie:
Via mijn laptop en de apps op mijn telefoon log ik altijd in met 2traps verificatie.
Mijn PC thuis heb ik als 'vertrouwd' aangegeven en daar is 2traps verificatie dus niet meer van toepassing.
Stelling daarbij is, dat ik mijn laptop/telefoon altijd kan verliezen/gestolen kan worden.
Met 2 traps leg ik daar dus een extra drempel voor minder goed bedoelende types.
Risc-based dus.

Peter

[Briolet]

Volgens mij is dat nieuw. In elk geval bestonden vertrouwde cliënten nog niet toe 2-staps verificatie ingevoerd werd. Deze optie zal in dsm 6.1 toegevoegd zijn, samen met de account protectie. Daarvoor moesten ook browsers herkend worden waarmee je inlogde.

Wel mooi die optie. Dan ben je thuis van de 2-staps verificatie af terwijl je wel de extra beveiliging hebt als vreemden proberen in te loggen. Dit haalt weer een drempel weg om 2-staps verificatie aan te zetten want thuis heb ik mijn smartphone nooit bij bij de pc liggen.

[pvkan]

Oei,
Geen idee eigenlijk hoe lang dit al bestaat. Ik gebruik het sinds herfst vorig jaar, maar toen hadden we inderdaad 6.1 al.

Bij inloggen op DSM kan je bij het scherm voor de 2traps code (2de inlogscherm) aangeven of je de PC wilt 'onthouden'.
(een rare vertaling voor 'vertrouwen' maar het effect is hetzelfde).


Wat je zegt: Dit was voor mij ook drempelverlagend ;-)

Peter

[Briolet]

Ik heb het even opgezocht en vond in de 6.0 releasenotes:

Code: [Selecteer]

2-­Step Verification
- You can now add and manage your most frequently used devices as trusted devices without entering verification code every time you log in.
Dus al iets langer. Maar toen ik er mee experimenteerde bij DSM 5.1, was het er dus nog niet, en deze toevoeging heb ik blijkbaar gemist.

In de 6.0 releasenotes vond ik ook:

Code: [Selecteer]

Cloud Station Server
-Enforce 2­-step verification to strengthen identity security.

Cloud Station Drive
- Integrated with DSM 2­-step verification.
Dat is dus niet in de browser maar bij Cloud Station.

[pvkan]

Overigens wel weer apart dat deze (trust)mogelijkheid niet bij de 2traps verificatie van de RT2600 aanwezig is.
Daar moet je altijd (indien geactiveerd) altijd de code opgeven.
Maar misschien ook wel logisch.

Peter

[wideko]

Hoe werkt die 2-traps verificatie eigenlijk?
Hoe wordt de code verstuurd?
gr
Willie

[Birdy]

Zie mijn test eerder in dit Topic.
Als je die 2 stap aan zet, zie je het ook, het spreekt voor zich.

[Briolet]

Code wordt niet verstuurd, maar je smartphone berekend hem op basis van de tijd en het wachtwoord wat je voor de autenticator ingesteld hebt. De code is dan ook maar iets van 1 of 2 minuten geldig. Als de klok op te telefoon of nas niet goed loopt, heb je dus ook een probleem.

Het geheel wijst zich echter vanzelf na het lezen van de help. (Incl die van de authenticater zelf)

[pvkan]

Zoals hierboven aangegeven wordt de code niet verstuurd, maar berekend en getoond middels bijvoorbeeld een app.
Soms wordt er ook een aparte 'ídentity token' gebruikt die elke minuut de nieuwe code genereert.

Naast vele  zakelijke 2 stepverification providers is o.a. Google een veel gebruikte provider.
Voordeel van de Google variant is dat je hiervoor geen token hoeft te kopen maar een app kan gebruiken en
dat het gratis is en toch net zo veilig.

De code wordt dus iedere minuut ververst en is dan ook maar 1 minuut geldig.
Het wordt berekend aan de hand van een beveiligingssleutel die je van je NAS krijgt als je 2 stap verificatie
instelt en de huidige tijd.

De code die je NAS afgeeft scan of toets je in in de authenticatie app en deze sla je op.
Bevestig alles en de volgende keer dat je wilt inloggen op je NAS krijg je na het geven van gebruikersnaam en wachtwoord
de vraag om je code in te geven.
Ga dan naar de authenticatie app op je smartphone en hier zie je de 6 cijferige code.
(als je naar de app blijft kijken zie je ook dat elke minuut de code wordt gewijzigd).

En nogmaals: er wordt geen code verstuurd; er vind dus geen dataverkeer plaats bij het samenstellen van de code.
Het algoritme om de code te genereren is ook gewoon openbaar. Niemand weet immers de 'handtekening' van je NAS.

Token Apps voor je smartphone kan je vinden door simpelweg '2 step' in te toetsen in de appstore. De Google Authenticator is echter
wel de meest gebruikte. Je kan in deze app ook meerdere authenticaties opslaan. Zo heb ik er een voor mijn NAS en een voor mijn dropbox.

Voor windows-PC is o.a. de applicatie 'Win-Auth' beschikbaar.
Er zijn ook apps voor smartwatches zodat je je horloge als 'token'laat werken.

Hoe dit met het precies gelijk lopen van de klok werkt weet ik eigenlijk niet, want laatst
was ik op vakantie 6 tijdszones verderop en kon ik gewoon met de code daar inloggen op mijn NAS in nederland.
(Mijn smartphone stond op de lokale tijd, dus 6 uur achter op NL). Ik vermoed dat de tijdsleutel via internet wordt opgehaald bij een tijdserver (NTP) maar dat is een veronderstelling van mij.

Tenslotte:  Je kan 2step authenticatie op je NAS forceren voor alle gebruikers of alleen voor specifieke gebruikers.
Ik heb het laatste gedaan en dan alleen voor administrator accounts.

Groet,
Peter

[Briolet]

Omdat je nu vertrouwde apparaten kunt definiëren ben ik het weer gaan gebruiken. Ik merk hierbij dat een vertrouwd apparaat ook url afhankelijk is. Als je dus met een andere url inlogt, ziet hij dat als een nieuw apparaat en moet je de 6-cijfer code opnieuw gebruiken. Hetzelfde zal voor een andere browser gelden.

Ik kwam ook nog een bug tegen bij het aanmaken van een e-mail adres. Ik kreeg hier steeds de melding "mislukt". Ik heb toen maar voor overslaan gekozen. 2 stapt verificatie werkt dan, maar er is dan geen e-mail adres opgeslagen waar de code naar toe gestuurd kan worden als je de telefoon kwijt bent. Als je dan ook geen vertrouwd apparaat hebt, kom je nooit meer in je account. (Afgezien van een reset).

Ik heb 2 stap weer uitgezet en dan weer ingesteld via de wizzard. Ik kreeg weer een "bewerking mislukt" bij het instellen van een e-mail adres. Vervelend. Ik zie ook geen optie om achteraf dat e-mail adres aan te passen, of überhaupt te controleren.

[Briolet]

Hoe dit met het precies gelijk lopen van de klok werkt weet ik eigenlijk niet, want laatst was ik op vakantie 6 tijdszones verderop en kon ik gewoon met de code daar inloggen op mijn NAS in Nederland.

Ik denk dat hij de onderliggende universal tijd gebruikt, die ook de tijdservers genereren. Toen ik deze functie onder DSM 5.1 gebruikte had ik alleen een tablet met Android 3.2. Dat os kon de tijd niet zelfstandig corrigeren en verliep bijna 1 minuut in een paar maand tijd. Als je dan niet periodiek de tijd handmatig synchroniseerde, werkte de authenticater na een tijd niet meer.
Ik had toen een app die de tijd van een atoomklok kon ophalen, maar de maker van de app gaf aan dat android niet toestond dat apps zelf de tijd van de telefoon aanpasten. Dat zal een beveiliging zijn. Dus moest ik die tijd dan handmatig in de settings aanpassen.

Nu heb ik een smartphone met Android 6 en die corrigeert de tijd zelfstandig. Dan zal die autenticator ook goed blijven werken en hoef je je geen zorgen meer te maken over te tijd. Tenzij de nas weer een bug heeft met de tijdsynchronisatie, zoals ergens rond dsm 4 het geval was.

[pvkan]

Ik kreeg weer een "bewerking mislukt" bij het instellen van een e-mail adres.

Dat is inderdaad vervelend.
Ik heb hier geen last van en net voor de zekerheid voor jou nog eens met een ander testaccount geprobeerd (misschien zit de fout in de meest recente update oid). Maar ook dit testaccount geeft geen foutmelding op het (nood)emailadres.

Het emailadres zal wel goed zijn, maar er moet toch iets scheef zitten.
Geen idee eigenlijk 
Al eens een ander email adres geprobeerd te gebruiken ? (misschien is het emailadres een uniek veld ?)

Peter