Geen 2FA-noodcodes op standaard e-mailadres

[Bluesbirdy]

Beste lezers,

Ik zie dat mijn ‘Cloud Station Backup’-verbinding 'Onderbroken' is.
Blijkbaar is mijn Let's Encrypt certificaat automatisch vernieuwd, want ik krijg ook in mijn browser een veiligheidsmelding over het certificaat wanneer ik probeer in te loggen in DSM.
Om die Cloud Station-verbinding weer te 'Hervatten' probeerde ik verbinding te maken via mijn normale (admin-)account daarvan, met 2FA.
Echter, die 2FA werkt niet meer (ter info: tijdinstellingen computer en authenticator zijn goed).
Ook inloggen in DSM via een admin-account blijkt niet meer te werken via 2FA!
Grootste probleem is dat ik de noodcodes niet ontvang op mijn standaard e-mailadres.
Blijkbaar worden die in het geheel niet verzonden.

Wel vreemd, want de automatische e-mails voor een stroomonderbreking en schijfcontrole komen wel gewoon binnen op datzelfde e-mailadres.
Alleen de noodcodes niet!

Alle standaardpakketten werken verder normaal, Photo, Video, Agenda, Surveillance, etc. etc.
Alleen log ik daarop in met een niet-admin account, zonder 2FA.

Hoe los ik dit op?
(ik heb geen klompen meer om te breken  ...)

[Briolet]

Wel vreemd, want de automatische e-mails voor een stroomonderbreking en schijfcontrole komen wel gewoon binnen op datzelfde e-mailadres.
Alleen de noodcodes niet!

Niet vreemd. De mails voor stoomonderbrekingen etc zijn systeem meldingen die niet persoonsgebonden zijn.

De mails voor 2FA zijn account gebonden en gebruiken een accountgebonden e-mail adres.

Beide stel je op een andere plek in. Ook al gebruik je voor beide hetzelfde mailadres, ze worden verschillend benaderd. b.v. een accountgebonden e-mail adres van gmail, geeft ook toegang tot het gmail adresboek etc. Heeft dus meer rechten nodig. Door een gmail update van een paar maand terug, werkt dit niet meer totdat je het vertrouwen in de verbinding herbevestigd.

Maar dit blijft speculeren zolang niet bekend is welke provider je gebruikt.

[Bluesbirdy]

Dank Briolet, dat verschil tussen e-mails verzenden is nu duidelijk.

Ik gebruik een Gmail-adres voor mijn admin-account en heb gecontroleerd of de toestemming voor Synology nog aanwezig is in dat account. Dat is het geval.

Blijft dus over dat ik geen noodcode ontvang en wat vervelender is: 2FA werkt niet (meer).

Ik ga weer e.e.a. proberen wanneer mijn account lock-out tijd verstreken is  ... 

[Bluesbirdy]

Opgelost.

Ter leering ende vermaeck:

Synology soft-reset uitgevoerd en admin-account opnieuw ingesteld. Eenvoudig te doen.
Daarna ook de 2FA opnieuw ingesteld.
Werkte echter nog steeds niet.
Toen de tijd opnieuw gesynchroniseerd in de Synology (tijd week iets af), en omgezet van 'time.nist.gov' naar 'time.google.com' omdat ik de Google authenticator gebruik.
Nu werkte de 2FA wél.

Maar nog steeds geen noodcode via e-mail.
Opnieuw een e-mailadres aangemaakt bij 'Configuratiescherm' > 'Melding' (handleiding verschijnt automatisch in beeld) en via mijn Google-account een nieuw wachtwoord ontvangen voor deze Synology-functie.
Daarna ook het e-mailadres ingesteld bij ‘Pers.’ > ‘E-mailaccount’.
Vervolgens werkte ook de verzending van de noodcode weer.

Mijn probleem had blijkbaar te maken met een afwijking van de actuele tijd in de Synology, plus een authenticatieprobleem met mijn Google-account.

Een aanbeveling voor degenen die ook 2FA hebben ingesteld, maar al een tijdje geen gebruik hebben gemaakt van een noodcode: probeer dat eens, voor het geval je het echt een keer nodig hebt.
(Pas op: na gebruik van een noodcode moet de 2FA wel weer opnieuw geactiveerd worden).

Groeten

[Briolet]

en omgezet van 'time.nist.gov' naar 'time.google.com'

Ik kan me niet voorstellen dat daar een wezenlijk verschil in zit. Bij tijdservers gaat het om microseconden, terwijl de 2FA afwijkingen van tientallen seconden accepteert. Als de nieuwe code gegenereerd wordt, kun je nog enige tijd de oude code intikken.

Het lijkt me eerder dat de synchronisatie gestopt was en weer geactiveerd werd doordat er een nieuwe server verscheen.  Zelf gebruik ik op de nas "nl.pool.ntp.org" omdat deze servers in Nederland liggen. Zij maken onderdeel uit van het wereldwijde "pool.ntp.org" netwerk. Daarnaast is de nas zelf als tijdserver ingesteld. Al mijn PC's en camera's gebruiken de nas als tijdserver. Die gebruiken dan per definitie de tijd van de nas, ook al zou die verkeerd lopen. 
Maar die afwijkingen zijn triviaal t.o.v. de afwijking die de authenticator toelaat.

Overigens synchroniseerden de oude Android systemen niet zelfstandig met een tijdserver. (Mij oude tablet met Android 2.3) Die moest ik periodiek handmatig synchroniseren om de authenticator te kunnen gebruiken. Dat vond ik te riskant en heb van 2FA afgezien totdat ik mijn huidige smartphone kocht.