2 Staps verifcatie

[NickB]

Dag allen,

beveiliging is vandaag een hot topic en dit heeft ook mijn aandacht getrokken.

Gisteren heb ik de tweestaps verificatie geactiveerd op mijn account (admin rechten). Als ik via de webserver inlog vraagt hij inderdaad nadien een extra code. Zo ver zo goed.

Nu vraag ik me echter af wat hier extra aan beveiligd is, want eens ik de synology apps gebruik op mijn iPhone vraagt hij die code niet. En met mijn admin rechten account kan ik dan nog alles wissen. Ik heb hier het gevoel dat je een slot op de voordeur zet, maar de achterdeur wagenwijd open laat staan.

Een oplossing lijkt me om mijn admin rechten account tweestaps te beveiligen, maar geen toegang te geven tot de 'apps' en een tweede account voor mij aan te maken, zonder die tweestaps verificatie maar met alleen lezen rechten, zo kan er niets gewist worden vanuit de apps en heb ik toch toegang.

Is deze denkwijze in de juiste richting of zit ik er totaal naast?

Naast deze beveiliging heb ik al geactiveerd:
     - Ip blocking
     - Doorschakelen naar HTTPS
     - Origineel admin account uitgeschakeld

[Babylonia]

Twee traps verificatie heb ikzelf niet ingesteld.

Wel heb ik bij mezelf naast een admin account (met andere gebruiksnaam dan admin en uitschakeling originele admin account), ook nog een "gewoon" gebruikers account zonder admin rechten. Voor het dagelijks gebruik, log ik in met dat account, en kan ik alleen in mijn eigen "werkmapjes" komen en geen basis-instellingen veranderen en beheer-functies van de NAS uitvoeren.

Je kunt ook nog specifieke Firewall regels toepassen om bijv. benadering van buiten het eigen land (regio) onmogelijk te maken.
Zie een voorbeeld van Firewall-regels < HIER >

Verder zou je ook nog bij ieder aangemaakte share en standaard map die door een applicatie automatisch wordt aanmaakt, voor die mappen een extra "prullenbak" kunnen instellen. Gooi je per ongeluk bestanden weg, zit het nog in de prullenbak, en kun je direct weer ongedaan maken wat je had weggegooid.

[NickB]

Ik ga ook maar een tweede account aan maken met enkel leesrechten.
Als dan het wachtwoord door iemand gekraakt wordt, dan kan hij op z'n minst niets wissen. Het is me echt vooral daarom te doen.

Grtz

[Babylonia]

Maak je jezelf niet teveel bang?
Wachtwoord kraken gebeurt niet in één keer, daar zijn nogal wat verschillende inlogpogingen voor nodig.

Als je de beveiliging van 5x "verkeerd" inloggen in 5 minuten hebt ingeschakeld en dan blokkade van het IP-adres waar het vandaan komt (standaard ingesteld), lijkt me voldoende borg. Je kunt het nog strakker instellen met bv. 3x inlogpoging. Maar als je zelf enkele vergissingen maakt, sluit je mogelijk jezelf uit.

Of je moet zelf zo slordig zijn dat je om je heen met inlognaam en wachtwoorden strooit (kan ook digitaal),
dan is een hack zo voor elkaar. Maak daarom uitsluitend van beveiligde communicatie gebruik - SSL / https .

Als je van buitenaf ook gebruik maakt van Photo Station of Web Station, zou je voor een automatisch beveiligde verbinding nog een aanpassing kunnen maken met een   .htaccess   bestandje.
Die applicaties schakelen standaard namelijk niet automatisch over naar een beveiligde verbinding.
Na aanpassing wel. Zie < DEZE REACTIE >