Synology-Forum.nl
Firmware => Synology DSM 7.2 => Topic gestart door: Tazmanian op 01 februari 2024, 16:20:11
-
Ik gebruik sinds vandaag een YubiKey en heb deze ook hardwarematig ingesteld in mijn Synology NAS.
Tot hiervoor gebruikte ik de OTP optie.
Nu wil ik de OTP optie verwijderen en enkel nog maar kunnen aanmelden via de sleutel.
Maar ik zie nergens de optie op de OTP te verwijderen. Ik kan het enkel resetten om te koppelen met een nieuw apparaat.
Weet iemand hoe je de OTP optie kan verwijderen?
-
Welke DSM versie? In DSM 6 kun je het gewoon uit en aan zetten. Voor DSM 7 weet ik het niet, maar lijkt het me gek als dat veranderd is.
Je kunt als administrator wel instellen dat 2FA verplicht is voor alle gebruikers. Dan kan ik het me wel voorstellen dat gewone gebruikers het zelf niet meer kunnen uitzetten.
-
DSM 7.2 update 3.
Maar ik wil het niet uitzetten, want dat kan gewoon.
Maar ik heb nu 2 2fa opties. Hardwarebeveiligingssleutel en Verificatiecode (OTP).
Ik wil die OTP verwijderen.
Ik heb de 2fa al uitgeschakeld in de hoop dat dan alles zou gereset worden maar dat is niet het geval. Het blijft het onthouden.
Het is ook niet handig dat de sleutel nog eens beveiligd moet worden met een code.
Zelfs bij Google is dat niet het geval. Je zou gewoon de sleutel moeten insteken en klaar.
-
Login met PuTTY en wordt root, daarna:
cd /usr/syno/etc/preference/En kijk of daar je authenticator staat die je in gebruik hebt, bijvoorbeeld: google_authenticator
Die zou je kunnen even kunnen wijzigen in b.v. NIET_in_gebruik_google_authenticator:
mv google_authenticator NIET_in_gebruik_google_authenticator
-
Ben niet zo voor deze 'workaround' je zou gewoon via de instellingen de 2fa moeten kunnen verwijderen of kunnen aangeven welke als eerste moet worden aangeboden .
Ik ga een support of bug ticket naar Synology openen.
-
Kan wel hoor;
Ga naar je persoonlijke instellingen rechts boven
Kies personal (persoonlijk denk in het Nederlandse)
Kies tab veiligheid
Selecteer de 2fa (met het vinkje ervoor) voer je admin wachtwoord in
Klik bij status 2fa op Turn off (ik gok uitschakelen in het NL)
En verwijder eventueel meteen de vertrouwde apparaten
Klaar
nog even de plaatjes;
[attachimg=1]
[attachimg=2]
[attachimg=3]
[attachimg=4]
-
Maar bij de OTP kan ik niets verwijderen.
De yubikey sleutels kan ik verwijderen maar de OTP niet.
-
Ooh zo. Dat is inderdaad een goeie. Ik ga ook even kijken hoe dat zit.
-
Wat denk ik wel kan, als omslachtige tussenoplossing.
Als je een synologyaccount hebt,
Contact opnemen dat je telefoon niet meer werkt. Dan krijg je een lijst vragen om je te
Verifieren en halen ze de OTP eraf. (Heb ik zelf ooit eens gedaan, telefoon was toen echt stuk)
-
Support ticket geopend, ik zal hier een update geven zodra ik feedback krijg.
-
Support heeft nog niet gereageerd maar ik vermoed dat wanneer je een beveiligingssleutel instelt er automatisch ook een OTP wordt aangemaakt. Dit voor bv. Drive welke nog niet overweg kan met een beveiligingssleutel maar wel met OTP.
-
Als je bij MFA settings kijkt (in personal -> security) en dan 'Single Factor Autentication' kiest wordt '2FA - OTP' vanzelf uitgeschakeld.
Klik je hierop dan komt venster zoveel in beeld waarin je je key's kunt instellen, ook zie je dan een tabblad "hardware security key" waar je je ingestelde sleutels ziet. Hier kun je ook eventueel ongewenste/ongebruikte sleutels verwijderen.
Als je de passkey hebt ingesteld moet/kun je uitloggen en daarna inloggen met alleen je username en dan op die blauwe pijl klikken.
Nu komt het wachtwoord veld in beeld en hier vul je niets in, maar dan klik je onderaan op 'Andere aanmeldingsmethodes'.
Vervolgens op "Gebruik een hardwarebeveiligingssleutel".
Prik nu je yubikey in een USB slot, en de rest wijst zichzelf. Helaas zal hier ook een pin-code (die je zelf verzint) ingevuld moeten worden.
[attachimg=1]
Ikzelf heb hiervoor gekozen om met een 'hardware security key' (ja, ook de Yubikey) in te loggen. Deze methode heet geloof ik ook 'Passkey' login?
(Excuus voor het door elkaar gooien van Engels en Nederlands in dit verhaal)
-
Yes dat wist ik, had dat niet duidelijk vermeld.
Dacht gewoond dat de OTP volledig kon worden uitgeschakeld, maar dat kan dus niet aangezien voor sommige services enkel OTP mogelijk is ;-)
-
Vreemd.... hier geen OTP gedoe, alleen die passkey.
-
Wat heb je hier dan staan?
[attach=1]
-
Vreemd.... hier geen OTP gedoe, alleen die passkey.
Weet je het zeker? Want hoe werkt het bij de apps die de pssskey niet ondersteunen. Kun je daar dan nog wel inloggen? Dus zonder OTP met alleen wachtwoord? Dat is dan echt onveilig als er zo'n achterdeurtje open blijft.
-
Geen enkele issue hier...
-
De OTP optie zal er bij u toch ook moeten zijn. Synology heeft dit ook bevestigd. OTP is een backup
Removing the OTP independently is not allowed as it would compromise the security of the 2FA mechanism. If you are unable to use the Approve sign-in or Hardware security key, that will be the only solution.
Op een andere NAS heb ik enkel een beveiligingssleutel toegevoegd en dan weer automatisch ook een OTP aangemaakt.