2FA mogelijk met 1. Passkey en 2. Approve SignIn?

[OSXtv]

Hallo allemaal,

Onderwerp: DS720+ SignIn Method

Extra info:
- iPhone gebruiken voor authenticatie
- Mijn Synology staat via een domeinnaam (met LE certificaat) open voor de buitenwereld. Ik wil namelijk ook buiten mijn LAN kunnen synchroniseren met Synology Drive, de hele familie gebruikt dat.
- Ik log voor de hele familie op iOS apps in via QuickConnect, omdat dit blijft werken, ook na herstarten van mijn netwerkrouter. Bij gebruik van de domeinnaam is telkens opnieuw authenticatie vereist (ik gebruik pfSense, maar dit probleem speelt ook bij andere merken)

Doel:
2 factor authentication in te stellen voor mijn hoofdaccount, waarbij:
- First SignIn step: Passkey/Password (een Passkey noemt Synology een "Hardware Security Key", met naam "Security Key" van type "Key on device (TouchID/FaceID)"
- Second SignIn step: Approve SignIn

Waarom wil ik dit? Het is een combinatie van wensen:
1. Bij voorkeur als "First SignIn step" de Method "Passkey" gebruiken: is veiliger dan een password
2. Reden: bij inloggen vanaf locatie buiten het LAN gaat bij SignIn met Password een password string over de lijn. Ja ik weet de verbinding is HTTPS, maar een Passkey is veiliger want daar vindt de authenticatie plaats op mijn eigen device (iPhone)
3. Bij inloggen in Synology Drive Client (Mac) en iOS Synology apps: Passkey niet beschikbaar bij Single Factor Authentication, dus gebruikt Password, dat wil ik liever niet, dus voor die apps heb ik sowieso 2FA nodig
Conclusie: 2FA is een must voor wens 3, Passkey is een must voor wensen 1 en 2.

Reeds geprobeerd:
1. Bij Single Factor Authentication kan ik voor Passkey kiezen, dat is mooi. Je krijgt dan altijd als fallback ook de mogelijkheid om in te loggen met Password, dat is oké, als ik maar zelf steeds kies voor Passkey, dat wordt meteen de default en gaat er geen Password string over de lijn.
2. Met Single Factor Authentication kun je echter heel makkelijk inloggen in Synology Drive Client (Mac), iOS apps, Synology Photos, Synology File Station enz. met enkel gebruikersnaam en Password. Dit vind ik niet veilig genoeg
3.  Dus ik wil bovenop de Passkey ("First SignIn step") een 2FA toevoegen als "Second SignIn step".
4. Echter, als je bij "Single Factor Authentication" hebt gekozen voor een Passkey en je wilt vervolgens kiezen voor 2FA, dan wordt de Passkey weer ongedaan gemaakt
5. Je houdt dan als "First SignIn step" alleen Password over. Ja ik weet dat er dan een 2FA bij komt, hetgeen de veiligheid verhoogt, maar  ik wil dus liever niet met Password vanaf buiten het LAN inloggen.


Dus de vraag is: weet iemand hoe ik kan bereiken wat ik wil, boven beschreven onder "DOEL"?

Dank!

[Babylonia]

Je geeft aan dat de hele familie gebruik maakt van je NAS.
Waarom stel je dan alleen een 2 factor authenticatie in voor het hoofdaccount ??

Zou zeggen dat voor elke gebruiker van je NAS daarbij dan een 2 factor authenticatie ingesteld zou moeten worden?

Er zijn met de laatste DSM versies (vanaf DSM 7.x) meerdere opties en methoden "hoe" beveiligd in te loggen.
Heb ze zelf niet allemaal doorgenomen met wat er mogelijk is?
Misschien dat inloggen ook met een vingerafdruk of gezichtsherkenning via een app op smartphone of laptop gedaan kan worden?

Maar een "twee-factor" autorisatie houdt juist in, dat de eerste stap een gebruikersnaam en wachtwoord is.
De  2e stap  een van de andere opties.  Zo staat het ook in de gebruikshandleiding beschreven.
https://kb.synology.com/nl-nl/DSM/help/DSM/SecureSignIn/signin_method?version=7

Bij 2FA moet u zich eerst aanmelden met het wachtwoord en uw identiteit opnieuw verifiëren met een tweede authenticatiemethode.

Zelf gebruik ik 2FA voor een NAS, de "ouderwetse" methode met een op tijd gebaseerde code, die pakweg elke 30 seconden wisselt.


Welke combinaties mogelijk zijn, door bijv. een aanmelding via vingerafdruk / gezichtsherkenning, en dan nog een andere methode?
Doorloop de opties eens zelf.

Zou dan zeker wel nog "voor jezelf" als admin gebruiker, nog een 2e gebruiker met admin rechten erbij instellen.
Voor het geval je een fout maakt, en je helemaal niet meer kunt inloggen.  Heb je een "reserve" met het andere admin account.
En kun je (als admin) instellingen van andere accounts ongedaan maken. Erna inlog met het andere account weer opnieuw instellen.

Er is wel een methode om met een  1x reset  van de NAS, wachtwoorden te herstellen.
Maar er is daarbij altijd een risico dat door het  "onhandig"  indrukken van een paperclipje, je dat per ongeluk 2 keer achter elkaar doet.
Daarmee reset je daarbij de hele NAS, en moet je DSM opnieuw installeren.  (Data blijft daarbij overigens wel gewoon bewaard).
Dat is me laatst namelijk overkomen.

In mijn geval echter na fabrieksreset werd  DSM 7.1  geinstalleerd, en kon ik niet meer terug naar  DSM 6.2.4  wat ik ervoor gebruikte.
-

[OSXtv]

Je geeft aan dat de hele familie gebruik maakt van je NAS.
Waarom stel je dan alleen een 2 factor authenticatie in voor het hoofdaccount ??

Zou zeggen dat voor elke gebruiker van je NAS daarbij dan een 2 factor authenticatie ingesteld zou moeten worden?

Zeker, alle gebruikers die van buiten toegang hebben tot Synology Drive over poort 6690 hebben op dit moment 2FA, door U/N + P/W en Secure SignIn app op hun telefoon. Al die gebruikers hebben geen rechten voor inloggen op DSM, zij zijn enkel Drive gebruiker. Alleen ikzelf heb rechten om in te loggen op DSM.

Er zijn met de laatste DSM versies (vanaf DSM 7.x) meerdere opties en methoden "hoe" beveiligd in te loggen.
Heb ze zelf niet allemaal doorgenomen met wat er mogelijk is?
Misschien dat inloggen ook met een vingerafdruk of gezichtsherkenning via een app op smartphone of laptop gedaan kan worden?

Ik heb alle mogelijkheden doorgenomen en wat je beschrijft kan allemaal. TouchID/FaceID op iPhone kan als 2FA methode, noemen ze hardware key, er wordt een Passkey opgeslagen op de iPhone.

Maar een "twee-factor" autorisatie houdt juist in, dat de eerste stap een gebruikersnaam en wachtwoord is.
De  2e stap  een van de andere opties.  Zo staat het ook in de gebruikshandleiding beschreven.
https://kb.synology.com/nl-nl/DSM/help/DSM/SecureSignIn/signin_method?version=7

Bij 2FA moet u zich eerst aanmelden met het wachtwoord en uw identiteit opnieuw verifiëren met een tweede authenticatiemethode.

Veel dank, hier was ik naar op zoek. Had ik zelf nog niet gevonden.

Zou dan zeker wel nog "voor jezelf" als admin gebruiker, nog een 2e gebruiker met admin rechten erbij instellen.

Ja, die heb ik al een paar jaar ingesteld, goede tip.

Er is wel een methode om met een  1x reset  van de NAS, wachtwoorden te herstellen.
Maar er is daarbij altijd een risico dat door het  "onhandig"  indrukken van een paperclipje, je dat per ongeluk 2 keer achter elkaar doet.
Daarmee reset je daarbij de hele NAS, en moet je DSM opnieuw installeren.  (Data blijft daarbij overigens wel gewoon bewaard).
Dat is me laatst namelijk overkomen.

Oei, dat is balen...

Mijn vraag is dus hiermee beantwoord, dank.

Ik vind het wel jammer en vreemd. Synology adviseert 2FA om de beveiliging te verhogen, maar dat kan alleen als je in de eerste stap U/N + P/W gebruikt en als tweede stap een van de 2FA methoden. Dan gaat dus bij elke login het wachtwoord over de lijn, ook over het internet bij inloggen van buiten het LAN.
Het gebruik van een Passkey als eerste stap is veel beter, omdat de authenticatie geheel op het eigen device waarmee je inlogt (meestal laptop) plaatsvindt en er geen platte tekst informatie wordt uitgewisseld.

Maar als je de Passkey instelt als eerste stap (dus U/N + passkey) kun je geen tweede stap meer instellen in DSM. Toch neig ik naar die methode voor inloggen op DSM. Het nadeel is dan wel dat het (eenmalig) aanmelden van een Client device op Synology Drive Server mogelijk is geworden met enkel U/N en P/W (Synology Drive Client kent aanmelden met Passkey niet).

Nog maar even over nadenken dan...

[Babylonia]

Synology adviseert 2FA om de beveiliging te verhogen, maar dat kan alleen als je in de eerste stap U/N + P/W gebruikt en als tweede stap een van de 2FA methoden.
Dan gaat dus bij elke login het wachtwoord over de lijn, ook over het internet bij inloggen van buiten het LAN.
Het gebruik van een Passkey als eerste stap is veel beter, omdat de authenticatie geheel op het eigen device waarmee je inlogt (meestal laptop) plaatsvindt
en er geen platte tekst informatie wordt uitgewisseld.

Bij een versleutelde  https  gaat er géén platte tekst over internet. Voor inlog van buitenaf - altijd en alleen beveiligde verbindingen inzetten.
Niet eens de poorten in je router doorsturen naar de NAS die een onbeveiligde verbinding zou kunnen gebruiken.

Verder aangepaste instellingen van firewall regels (geo-blocking), en andere aanvullende beveiliging instellingen.
Die absoluut zeker zo belangrijk zijn om in acht te nemen, zo niet nog belangrijker dan die 2FA.

Doorloop eens het volgende onderwerp (en vervolgreacties):
https://www.synology-forum.nl/firmware-algemeen/ik-ben-gehacked/

Met aanbevelingen, en waar allemaal op te letten m.b.t. NAS / netwerk veiligheid. En verwijzingen waar je alle instellingen kunt vinden.