Accountbeveiliging, hoe werkt dit?

[ufosyno]

In het (Configuratiescherm/beveiliging) tabblad account kom ik een onderdeel "Accountbeveiliging" voorbij. Standaard niet ingeschakeld. Ik zit intussen al even wat langer te gooogelen, maar kan er niets anders over vinden dan de cryptische beschrijving van het DSM handboek. Ook een zoek op ons forum brengt me niet verder...

In de "baat het niet, schaadt het niet"gedacht heb ik het nu met de standaardsettings ingeschakeld, maar ik zie niets gebeuren. Het komt op mij nu ook nog wat onlogisch over, als ik bijvoorbeeld zie dat onder het sub "Onbetrouwbare clients" een button zie met "Beveiligde accounts beheren" en dan onder "Vertrouwde clients" de "vertrouwde clients beheren". Maar ik kan daar niets toevoegen, alleen maar verwijderen, maar er staat niets. Graag zou ik snappen wat dit is en hoe het werkt!

Kan iemand mij uitleggen wat het doet, hoe het werkt? Als je een goede link naar meer informatie (nl/en/du) weet, mag ook.

[Birdy]

Is dit cryptisch ?

Accountbeveiliging helpt de beveiliging van uw Synology NAS te verbeteren door accounts te beschermen tegen onbetrouwbare clients met te veel mislukte aanmeldingspogingen. Dit verlaagt de kans op beveiligingsaanvallen op de accounts.

En als je verder lees, in DSM Help onder Accountbeveiliging ?

[ufosyno]

Helaas... voor mij wel. En dat zal best aan mij liggen, maar met alleen deze tekst zie ik het verschil met de autoblock nog niet. Als ik wat had zien gebeuren in een van de lijstjes, was het me misschien al veel duidelijker geworden, maar het staat nu een dag aan en de lijstjes zijn nog steeds leeg.

Mijn vragen zijn dus in de zin: wanneer kom ik naar voren in zo'n lijstje en waarom?

[Briolet]

Kijk gewoon naar de settings. Dan zul je zien dat deze nieuwe optie binnen dsm 6.1 iets meer mogelijkheden heeft dan de oude instelling.

Je kunt nu al binnen één dag deblokkeren omdat je de de deblokkeringstijd in minuten opgeeft. Verder werkt deze optie niet met white-lists waar de controle geheel weg blijft, maar met vertrouwde cliënten, waar je iets soepelere regels kunt instellen.

Mijn PC stond b.v. op de whitelist. Maar een huisgenoot kan nu ook oneindig proberen. Met de nieuwe optie kan hij/zij vaak proberen, maar in elk geval niet oneindig. 

[Briolet]

Even getest. Je krijgt ook een iets ander mailtje:

Dear user,

The the number of failed login attempts from untrusted devices into your account [Briolet] on GedeeldeData has exceeded the limit (3 times within 1 minutes). You can only log in the account from trusted devices that used to logged in successfully.
This protection will be cancelled automatically at Sun Apr 30 11:57:48 2017
To cancel the protection manually, please click on the person-shaped icon at the upper-right corner of the DSM desktop and go to Personal > Account Protection.

Sincerely,
xxxxxxxx

[ufosyno]

Begrijp ik nu, dat je dit oproept in een "directe" aanlog op de nas? Dit alleen via de inlogschermen van de nas zelf, of via de diverse apps? Dan kan ik begrijpen, dat dit na nu twee dagen nog nooit een entry op de lijsten heeft gegeven...

Dus bijv. mailserver wordt hierdoor niet extra beschermd?

[Briolet]

Het komt op mij nu ook nog wat onlogisch over, als ik bijvoorbeeld zie dat onder het sub "Onbetrouwbare clients" een button zie met "Beveiligde accounts beheren" en dan onder "Vertrouwde clients" de "vertrouwde clients beheren". Maar ik kan daar niets toevoegen, alleen maar verwijderen, maar er staat niets. Graag zou ik snappen wat dit is en hoe het werkt!

Daar staat alleen iets gedurende tijd dat er iets geblokkeerd is. Als de blokkade stopt, wordt de regel ook weer verwijderd. Je kunt zelf ook niet aangeven wat een wel/niet vertrouwde cliënt is. Uit de context kun je echter opmaken dat hij bijhoudt wie succesvol inlogt. Een vertrouwde cliënt is dus iemand die al eens ingelogd is. Dat is een stuk vriendelijker dan elke reguliere gebruiker handmatig op een white-list te zetten.

Dit alleen via de inlogschermen van de nas zelf, of via de diverse apps?

In de help staan de pakkages waarbij het werkt. Dat zijn vooral de diverse inlogscherm. Ik noem ze even niet omdat de help over enige tijd wellicht weer meer pakkages aangeeft. Het werkt ook niet alleen op IP basis, maar op herkenning van de browser. Het kan dus zijn dat je met een andere browser dus weer kunt proberen. (Test dat maar eens als je aan de gang gaat).

Voor iets als Mail Server zal het dus nooit werken omdat hij volgens mij naar browsers kijkt.

Overigens krijg je als inlogger geen melding dat het aantal pogingen overschreden is. Je ziet alleen de melding dat het wachtwoord fout is, ook al is het wachtwoord inmiddels wel weer goed. Na de verlooptijd uit het gestuurde mailtje kun je weer gewoon inloggen.

[Briolet]

Je kunt nu al binnen één dag deblokkeren omdat je de de deblokkeringstijd in minuten opgeeft.

Ik merk net dat je maximaal 999 kunt ingeven. De maximale tijd die je een blokkade kunt geven is dus 999 minuten, oftewel 16,6 uur.

Volgens mij krijgt de gebruiker ook geen mailtje bij automatisch blokkeren, alleen de administrator. Bij de accountbeveiliging krijgt juist de gebruiker dat mailtje. Ik had deze nieuwe optie wel gezien, maar nog nooit aangezet. Nu ik er naar kijk, lijkt mij dit veel gebruikersvriendelijker voor de gemiddelde legale inlogger die zich iets te vaal vertikt. (b.v. omdat hij te laat merkt dat de caps-lock aan staat.)

[Briolet]

Ik was nieuwsgierig wat hij detecteert, dus nog een paar testen.

Als ik met Safari op de bloklist kom te staan, dat komt zowel mijn IP als de useragent-string in de bloklist te staan. Verander ik het IP vanaf waar ik inlog, dat kan ik nog steeds niet inloggen met Safari omdat hij ziet dat ik het probeer met exact dezelfde browser.

Probeer ik het met een andere browser, dan kan ik wel weer inloggen. Dat werkt ook als ik dat doe vanaf een geblokkeerd IP adres.

De bloklist ziet er dan zo uit, nadat ik me via Safari en Firefox heb laten blokkeren:



Er staat wel een IP in, maar daar wordt verder niets mee gedaan. Blokkeren gebeurd dus op basis van de useragent string die de browser eenduidig identificeert. Dit is blijkbaar iets anders dan de useragent instelling van de browser. Als ik die b.v. op Internet Explorer zet, blijft de blokkade van kracht.

Wat verder opvalt is dat ik geen mailtjes meer gekregen heb na de eerste, ondanks dat ik me nog een aantal keer heb laten blokkeren. Blijkbaar zit daar ook een minimale tussenpoos tussen.

Hoe dit samengaat met de oude bloklist weet ik niet. Ik heb steeds gezorgd dat ik onder dat maximum bleef.

[ufosyno]

Briolet: Blij om te zien dat ik jou ook nieuwsgierig maakte... 

Zo langzamerhand begin ik het gebeuren te begrijpen. Ik laat het rustig aan staan, inderdaad voor die gebruiker die zich 's wat te vaak vertypt.

Zelf heb ik ook een whitelist met de standaard IP-adressen van de diverse gebruikers van mijn Nas. Dat voorkomt dat ze in de blocklist komen na een paar verkeerder aanlogpogingen. Is het nu zo, dat ze ondanks dat toch door de accountbeveiliger nog een half uur (standaard) geblokt worden?

Ik heb niet een makkelijke testomgeving en heb ook weinig tijd om zulke zaken uit te zoeken.  Bovenal ontstaat hier toch weer een stukje kennis, waar we straks allemaal wat aan hebben.

[Briolet]

Testomgeving is niet zo moeilijk, zolang je maar vanuit twee apparaten kunt inloggen. Voor de zekerheid want, met 1 pc kan het meeste testen ook. De backdoor is nu dat een inlog via een 2e browser op dezelfde pc wel mogelijk blijft.

Ik heb mezelf weer op de whitelist gezet, maar ik wordt dan nog steeds uitgesloten bij teveel verkeerde inlogs. Dus hier heeft de accountbeveiliging voorrang op de whitelist.

Ik heb me daarna weer van de whitelist gehaald en nu zo vaak foutief ingelogd dat ik ook het aantal foutieve inlogs voor de oude blocklist overschreed. Ik kwam hier nu niet meer op te staan en werd alleen door de accountbeveiliging geblocked. Dus kon ik weer met een andere browser inloggen. Ook hier heeft de accountbeveiliging voorrang over de oude methode van blokkering. Maar alleen als de accountbeveiliging al bij minder fouten ingrijpt.

Als laatste heb ik het aantal toegestane inlogs bij de accountbeveiliging hoger gezet dan de oude blokkering. Nu reageert de oude beveiliging als eerste en sta ik op de blocklist. (Ik merk dat ook aan andere problemen, zoals meldingen van mijn mailprogramma dat het wachtwoord niet geaccepteerd wordt. Ik heb me nu echt uitgesloten met mijn IP)

Hier krijg je nu ook een andere melding in de browser:



Bij de accountbeveiliging kon ik achteraf ook merken dat ik geblokt werd doordat ik na het maximum aantal inlogs, een snellere respons kreeg over een foutief wachtwoord.

Edit: En even het IP van mijn laptop aangepast om weer te kunnen inloggen en mezelf weer van de bloklist gehaald.

Resumerend: Als je beide blokkeringen gebruikt, kun je er beter voor zorgen dat de accountbeveiliging net iets eerder ingrijpt. (Tenzij je ook met de whitelist werkt)

[ufosyno]

Nog even te studerend op wat je schrijft: het plaatje wat je plaatste om 13:18 onderstreept toch mijn opmerking in de topic-opening. Je krijgt een scherm met als hoofd "Vertrouwde cliënts", met daaronder een opgave van de geblokkeerde clients. Daar ontgaat mij de logica...

Alles overziend met jouw testresultaten lijkt het mij een goede aanvulling, zeker op netwerken met veel gebruikers, om te voorkomen, dat de eigen users in de blocklist belanden. Het is dan inderdaad vriendelijker. Maar ik blijf met de indruk zitten, dat de Synology-ontwikkelaars het nog 's door moeten lopen om het goed scherp te krijgen. Daarnaast, maar dat last heb ik vaker, zegt de DSM help wel keurig wat je overal in kunt vullen en wat hun bedoeling is, maar ze geven meestal bar weinig uitleg richting praktijk.

Als daar een wat meer verklarende tekst had gestaan in de zin: "U wilt uw eigen gebruikers niet onmiddellijk volledig blokkeren na een aantal onjuiste inlogpogingen enz. enz.", dan hadden we de gedachte erachter misschien eerder begrepen, dan nu na een (interessante, daarvoor ook dank, en) drukke testzondag van onze Global Moderator!

 

[Briolet]

Je krijgt een scherm met als hoofd "Vertrouwde cliënts", met daaronder een opgave van de geblokkeerde clients. Daar ontgaat mij de logica...

De naam "vertrouwde cliënts" is ook niet goed. Het moet eigenlijk zijn "bekende cliënts".  Als je ooit een keer ingelogd hebt met een bepaalde browser, sinds het aanzetten van de accountbeveiliging, dan ben je al een "vertrouwde cliënt". Hoewel, ik begin nu te twijfelen. Toen ik me voor het eerst met firefox liet blokken, kwam ik ook op de lijst met "vertrouwde cliënts". Nu ik erover nadenk had die 2e inlog uit mijn eerdere screenshot op de andere lijst moeten komen.

De lijst met "vertrouwde cliënts" wordt pas opgebouwd, vanaf het aanzetten van deze functie, want bij mijn allereerste poging, sinds het aanzetten, werd ik op grond van de criteria voor "onbetrouwbare cliënts" geblokt.

Vraag me echter niet wat "naam" betekend want daar staat iets heel cryptisch. Als je iemand wilt de-blokkeren is het IP het enige aanknopingspunt om een gebruiker te koppelen aan een entry.

Ik ben het met je eens dat de help wat meer mocht ingaan hoe beide bloklists samenwerken, als je beide gebruikt. Gelukkig werkte het grotendeels op een manier die ik verwacht had. Desalniettemin zou Synology nog iets kunnen veranderen qua prioriteiten tussen de blokkeringen als er te veel klachten over de werking komen.

[Briolet]

Vanochtend zag ik dat er mij mijn laatste bloktesten weer 1 mailtje hierover gestuurd is. Blijkbaar was de pauze tussen de vorige testen groot genoeg. Nu valt me pas de volgende regel uit die mail echt op:

To cancel the protection manually, please click on the person-shaped icon at the upper-right corner of the DSM desktop and go to Personal > Account Protection.

Dit staat niet in de handleiding, maar als je de accountbeveiliging aan zet, krijg je een extra menupunt onder je persoonlijke instellingen. Hier tref je alle vertrouwde cliënts aan die bij jouw account horen. Na de testen van gisteren ziet dat er bij mij zo uit:



Hier valt me ook de knop "Huidige Client vertrouwen" op. Volgens de tekst die er bij staat wordt de client dan vertrouwd ondanks de instellingen van de beveiliging. Dat zou volgens mij dan moeten betekenen dat je ook niet geblokt wordt als je het maximaal aantal pogingen overschrijdt.

Ik heb ook even in mijn testnas gekeken. Daar had ik de accountbeveiliging al in de beta versie aangezet, maar nooit echt naar gekeken. Daar staan bij vertrouwde cliënts, al mijn PC's en smartphones waarmee ik ingelogd heb.

[aliazzz]

Just my two cents. Zowizo heb je met Nederlands als systeemtaal een extra handicap. Dit soort handicaps komt voort uit gebrekkige letterlijke vertalingen. Als je dialogen opent in het Engels zijn ze zeer vaak een stuk beter te begrijpen. Althans dat is mijn ervaring. Ik denk dat deze extra handicap bij elke andere taal dan Engels voorkomt, of zit dit n tussen mijn oren? Pebkac! Lol