2Factor Authentication werkt niet naar behoren

[Syno_Nasje]

Synology heeft de mogelijkheid dat als je 2FA gebruikt je kan aangeven dat het niet meer gevraagd wordt op het apparaat als je het vinkje aanzet. Dus stel je gebruikt je laptop en je zet het vinkje aan dat wordt 2FA niet meer op de laptop toegepast.
Echter, Je kan het het vinkje aanzetten maar bij de eerstvolgende keer vraagt hij toch om je code voor 2FA.

Mijn punt is waarom zet Synology een optie in DSM 2FA die niet werkt?

Eerdaags ga ik die hele 2FA eruit kieperen. 

[Babylonia]

Wat heeft het überhaupt voor zin om F2A in te schakelen, maar je wilt die 2e beveiligingsactie niet doorlopen?

[Briolet]

Log je misschien via een anoniem venster in?   Hij zal je checkbox opslaan in cookies.

Verder slaat de nas het profiel van de browser op. Alleen als hij dat profiel herkent, slaat hij de 2FA over. Als je de browser update, wordt het profiel anders. Ook bepaalde anonimiteitssoftware kan het profiel steeds veranderen.

[Syno_Nasje]

Nee ik log niet anoniem op me NAS. En de browser veranderd of update weleens maar ook zonder verandering of update houdt me NAS de ingevoerde gegevens niet vast. Het is elke keer hetzelfde liedje. ik geef aan niet meer vragen voor dit apparaat en bij de eerstvolgende inlog moet ik opnieuw beginnen

[Syno_Nasje]

2FA is niet voor het device waar je mee inlogt maar voor je NAS. Ik wil hem dan misschien niet voor me laptop gebruiken maar bijvoorbeeld vanaf een andere plek zou ik het dan wel willen

[Babylonia]

2FA stel je in voor een gebruikers account van de NAS.  Onafhankelijk vanuit welk apparaat je inlogt.
Bij 2FA (Two Factor Authentication) gaat het erom dat je nog een 2e "onafhankelijke" beveiligingslaag nodig hebt om in te kunnen loggen.
(Bijv. bij inloggen bij instanties via DigiD nog een extra controle via het mobiele netwerk en sms bericht met code).

Dus voor een laptop "niet gewenst om in te stellen", en vanaf een andere plek "weer wel", is niet aan de orde.
Je stelt het in "per gebruikers account" voor alle manieren van inloggen, of stelt het  simpelweg "niet in".

Bij  DSM  6.2.x  middels een (onafhankelijke) app (op een smartphone) die een aan tijd gebaseerde code genereert volgens een bepaald algoritme.
                        Misschien de meest bekende app daarvoor is de "Google Authenticator".
                        Gezien het verzamelen en combineren van persoonlijke data vanuit andere bronnen door Google, zou ik adviseren
                        daar een andere app voor in te zetten. (Gebruik zelf een Authenticator die officieel niet eens meer wordt uitgegeven).

Bij  DSM  7.x     heb je nog extra variaties middels een speciale Synology app "Secure SignIn" op een smartphone,
                        waarmee je bijv. nog een extra verificatie doet middels een vingerafdruk, of een speciale USB sleutel.

https://www.synology.com/nl-nl/dsm/feature/authentication     Informatie bijna onderaan:  Tweefactorauthenticatie (2FA) met FIDO2


2FA  DSM 6.2.x




2FA  DSM 7.x

[Syno_Nasje]

@ Babylonia

Bedankt voor jouw reactie. Echter is mijn probleem niet 2FA zoals eerder gemeld maar het feit dat als ik aangeef dat een apparaat vertrouwd mag worden bij de volgende inlog ik toch 2FA krijg.

Mijn punt is, als die optie niet naar behoren werkt dan moeten ze die optie niet aanzetten.

Maar ik ga zoals gezegd die hele 2FA uitzetten. ik zie de toegevoegde waarde niet.

[Briolet]

Ze veranderen ook steeds alles. Vroeger kon je bij accounteveiliging steeds zien welke useragents ingelogd waren. Dan had je een beetje gevoel van de werking en kon je ook een vertrouwde cliënt van de lijst halen. En als de 2FA niet werkt vanwege een steeds veranderende useragent, had je hier een heel lange lijst gehad met een entry voor elke inlog.

Onder dsm 6.2 mist ik nu die hele lijst, hoewel er nog steeds de button "vertrouwde clients beheren" is. Blijkbaar kun je nu alleen nog eventueel geblockte account beheren.  De naam van die button klopt dus niet meer.

[Briolet]

Mijn punt is, als die optie niet naar behoren werkt dan moeten ze die optie niet aanzetten.

In principe werkt die optie gewoon goed. In elk geval bij mij. De optie heeft wel een vervalperiode. Als je enkele  weken niet inlogt, dan vervalt het vertrouwde apparaat weer en moet je de 2FA code weer invullen.

[Babylonia]

Echter is mijn probleem niet 2FA zoals eerder gemeld maar het feit dat als ik aangeef dat een apparaat vertrouwd mag worden bij de volgende inlog ik toch 2FA krijg.

"Uiteraard" zou ik eigenlijk willen zeggen krijg je die 2e security check voorgeschoteld  -  "zonder uitzondering."
Dat is namelijk het hele eieren eten van 2FA.
Dat er twee onafhankelijke checks doorgevoerd moeten worden om in te kunnen loggen.  Anders is het "géén F2A".

Je kunt "een apparaat" (een laptop?) vertrouwen, maar wordt je laptop gestolen, of zelfs iemand anders in huis of werkplek die inlogt,
maar niet jezelf bent, gewoon toegang heeft, "omdat het apparaat wordt vertrouwd."  Daar koop je natuurlijk helemaal niets voor.
Dat is geen verdergaande beveiliging.  Daar is juist die hele F2A voor bedacht.

Zoals organisaties, waarbij naast bijv. Digi-D  er nog een sms code ingevuld moet worden.
Zonder mobiele telefoon (en toegang ertoe) - geen sms gegevens, kom je dan niet binnen.

Of naast een inlog nog een extra code die via e-mail wordt verstuurd.  Dat zijn daadwerkelijke F2A beveiligingen.

Als Synology gaat rommelen aan nog "wel" vertrouwen van apparaten. Omdat het te vervelend wordt elke keer F2A te gebruiken.
Is dat dus rommelen in de marge van wat een F2A eigenlijk zou moeten inhouden?
Kan me dan wel voorstellen dat als men die functies "in de marge" dan inbouwt, dat elke minimale afwijking dan al een "fout" oplevert,
en die extra 2e optie van F2A uitgevoerd moet worden.

Dat zou mogelijk al kunnen zijn, als je thuis via een ander WiFi Access Point inlogt??   Ander LAN IP-adres??
Ander MAC-adres??  (Met name mobiele apparaten hebben tegenwoordig vaak standaard een rotatie van MAC adressen).

Geef je laptop eens een vast IP-adres (in de router), en log in altijd via hetzelfde WiFi-Punt.   Wat levert dat op?

[Syno_Nasje]

2Factor is een goed ding en ik geloof erin dat het jouw device of in dit geval jouw NAS veiliger maakt. Wanneer ik zeg dit apparaat vertrouwen dan moet Synology doen wat ik zeg. Het is een laptop die nergens naartoe gaat. Staat altijd op dezelfde plek. Als ik ermee uit huis zou gaan dan zou ik inderdaad niet zeggen "apparaat vertrouwen".

[Briolet]

Heb je geprobeerd of het met een ander apparaat of een andere browser wel onthouden wordt?

Ik heb nog nooit problemen gehad dat de instelling voor het onthouden vergeten wordt.

[Syno_Nasje]

Heb ik gedaan maar is een kwestie van uren in plaats van dagan. Na een paar uur krijg ik weer de optie terwijl ik de vorige keer zei apparaat vertrouwen.