Skocz do zawartości

Dwuetapowa weryfikacja w produktach Synology


kolaborek

Serwery NAS nabywane są przez klientów głównie ze względu na dodatkowe miejsce dla danych oraz fakt, że charakteryzują się ono większym bezpieczeństwem ich składowania niż ma to miejsce w przypadku „zwykłego” komputera PC. Wynika to z faktu, że serwery NAS udostępniają szereg funkcji nakierowanych na bezpieczeństwo fizyczne jak np. technologia RAID, czy w droższych modelach redundancja niektórych podzespołów. O bezpieczeństwo na poziomie programowym dbają zaś specjalnie dostosowane systemy operacyjne wraz z zaawansowaną kontrolą dostępu na poziomie kont użytkownika, jak i warstwy sieciowej. Wspominając zaś kontrolę dostępu na poziomie konta użytkownika większość z Was zapewne skojarzy to z autoryzacją poprzez login i hasło. I oczywiście będziecie mieć rację. Ale czy jest sposób, aby ten poziom zabezpieczenia zwiększyć w sposób inny niż wykorzystanie niestandardowego loginu i silnego hasła? W końcu nawet najbardziej skomplikowany login i hasło mogą zostać, jeżeli nie złamane metodami siłowymi, to wykradzione, bądź pozyskane w inny sposób (np. groźbą poinformowania Waszej żony o tajemniczej przyjaciółce… - a tego byście chyba nie chcieli? ?) Wyobraźcie sobie, że jest metoda, dzięki której nawet skompromitowane dane autoryzujące nie będą gwarantowały włamywaczowi dostępu do Waszych danych. Nawet jeżeli ktoś posiądzie login i hasło, to nie będzie mógł z powodzeniem zalogować się do Waszego systemu! Jak nazywa się ta metoda? Tą metodą zwiększającą, w sposób niemalże cudowny, bezpieczeństwo Waszych danych jest weryfikacja 2-etapowa. W jaki sposób ta metoda jest w stanie uchronić Wasze dane? Poza tradycyjnymi danymi logowania jak login i hasło, NAS będzie oczekiwał podania dziewięciocyfrowego, zmieniającego się co jakiś czas, kodu ze smartfona, z którym zostanie powiązany w trakcie konfiguracji. Tak więc już nie wystarczy login i hasło. Do poprawnego zalogowania potrzebny będzie także smartfon. Po tym przydługim nieco wstępie, mającym przekonać Was do dodatkowego „utrudnienia” sobie życia i włączenia 2-etapowej weryfikacji, pora przystąpić do meritum sprawy i pokazać jak to zrobić.

Konfiguracja

Dwuetapową weryfikację włącza się poprzez „Panel Sterowania” → menu „Użytkownik” → zakładka „Zaawansowane”. Tam, po przewinięciu listy opcji do dolnej części okna, znaleźć można sekcję nazwaną „Weryfikacja 2-etapowa”.

twofactor_kolaborek_1-min.jpg

Jak widać na screenie powyżej, weryfikacja może zostać włączona według dwóch kategorii:

  • Dla użytkowników z grupy administratorów,
  • Dla wszystkich użytkowników.

Z uwagi na to, że 2-etapowa weryfikacja stanowi utrudnienie w procesie logowania, aby nie „dokuczać” zbytnio użytkownikom, ja włączam ją jedynie dla administratorów. Wy zróbcie jak uważacie. Zafajkowanie opcji i kliknięcie przycisku Zastosuj spowoduje uruchomienie kreatora, który na planszy powitalnej, poinformuje Was o tym, co ja wcześniej napisałem.

twofactor_kolaborek_2-min.jpg

Synology DSM obsługuje autoryzację poprzez aplikację nazwaną Google Authenticator (Android, iOS, BlackBerry), lub Authenticator (Windows Phone). W zależności od posiadanego smartfona należy pobrać i zainstalować odpowiednią wersję. Następnie należy ją uruchomić i przy jej użyciu zeskanować kod QR wyświetlany na ekranie, lub przepisać tajny klucz. Zaznaczę tylko, że pobraną aplikację będziecie mogli wykorzystać także do włączenia dwuetapowej weryfikacji również w innych miejscach (np. do konta Google). Kod QR na poniższym screenie pozwoliłem sobie zamazać, abyście nie mogli go wykorzystać w jakiś niecny sposób ?

twofactor_kolaborek_3-min.jpg

Jeżeli wszystko przebiegnie pomyślnie, to w aplikacji na smartfonie powinien zostać dodany wpis wyświetlający ciąg sześciu cyfr, pod którym będzie login użytkownika i nazwa waszego serwera NAS w formacie login@serwer. Po jego prawej stronie widoczna jest ikonka sera (lub pac mana). W rzeczywistości jest to kółko, które się zmniejsza wraz z upływem czasu i gdy całkiem zniknie (około 30s) nastąpi zmiana kodu na nowy

twofactor_kolaborek_4-min.jpg

W kolejnym kroku należy uzyskany z aplikacji kod wpisać w oknie potwierdzenia. Tutaj pragnę zwrócić uwagę, że czas pomiędzy serwerem NAS i telefonem powinien być w miarę zsynchronizowany. Zbyt duża różnica będzie skutkowała tym, że kod, nawet poprawnie przepisywany, nie będzie przyjmowany jako poprawny. Aby czas pomiędzy urządzeniami za bardzo się nie „rozjechał” warto w smartfonie włączyć synchronizację czasu z siecią operatora, zaś w serwerze NAS przejść do „Panelu Sterowania”, zakładki „Opcje regionalne” i tam na zakładce „Czas” w sekcji „Ustawienia czasu” zweryfikować, czy jest poprawnie ustawiona strefa czasowa i czy włączona jest synchronizacja czasu z zewnętrznym źródłem czasu (np. time.google.com).

twofactor_kolaborek_5a.jpg

Ostatnim krokiem kreatora, wymagającym od użytkownika interakcji, jest podanie adresu e-mail na który zostanie przysłany kod w przypadku utraty smartfona. Tutaj lepiej nie podawać fejkowego emaila ?

twofactor_kolaborek_5-min.jpg

Jeżeli udało się Wam dobrnąć aż do tego miejsca, to mam dla Was dobrą wiadomość. To już koniec kreatora, o czym poinformuje Was poniższy komunikat ?

twofactor_kolaborek_6-min.jpg

Używanie 2-etapowej weryfikacji

Skoro przeszliśmy etap konfiguracji, to nadeszła pora na praktyczne zaprezentowania sposobu logowania przy użyciu 2-etapowej weryfikacji. Użycie dodatkowego zabezpieczenia logowania następuje na etapie autoryzacji. Pierwszym etapem jest tradycyjne podanie loginu i hasła (to jest pierwszy etap) i dopiero kiedy w ten sposób, poprawnie, „przedstawimy” się serwerowi, przejdziemy do drugiego etapu autoryzacji, gdzie zostaniemy poproszeni o wprowadzenie 6-cyfrowego kodu z naszego telefonu.

twofactor_kolaborek_7-min.jpg

Wcześniej napisałem kilka zdań wyjaśniających o tym jak ważny jest czas przy tego typu logowaniu, ale chciałbym podnieść ten temat jeszcze raz w tym miejscu. Kod autoryzujący warto przepisać z telefonu bez zbytnich opóźnień, w stylu np. podaję login i hasło, ale zanim przepiszę kod to zrobię sobie herbatę. Po powrocie z kuchni, może się okazać, że kod, pomimo że poprawnie przepisywany, będzie przez serwer traktowany jako błędny

twofactor_kolaborek_8-min.jpg

Czas przepisywania kodu jest w zasadzie jedyną rzeczą na którą warto zwracać uwagę przy tego typu autoryzacji. Jeżeli nie macie duszy leniwca, to nie powinniście mieć najmniejszego problemu. Ale ktoś może zadać pytanie: „dodatkowa autoryzacja odbywa się przy pomocy smartfona, a co jeżeli nie będę miał do niego dostępu, np. zostanie zgubiony, skradziony?”. Pytanie słuszne. Co sprytniejsze osoby zauważyły z pewnością, że na ekranie z prośbą o podanie 6-cyfrowego kodu znajduje się link zatytułowany „Utracony telefon?”.

twofactor_kolaborek_9-min.jpg

Jego naciśnięcie spowoduje automatyczne wysłanie wiadomości e-mail na adres podany w trakcie konfiguracji 2-etapowej weryfikacji (w odpowiednim miejscu sugerowałem, aby nie podawać fejkowego emaila?) o poniższej treści:

Cytuj

Szanowny Użytkowniku,

Poniżej znajduje się kod weryfikacyjny jednorazowego użytku, którego można użyć do zalogowania się na SynologyRouter i zresetowania ustawień weryfikacji 2-etapowej. Wprowadź ten 8-cyfrowy kod, gdy system poprosi Cię o wprowadzenie kodu weryfikacyjnego. Kod weryfikacyjny w nagłych wypadkach: 333 333

Z poważaniem, Synology Router Manager

Jeżeli całkiem straciliście dostęp do telefonu, to po zalogowaniu się do serwera z użyciem nadesłanego kodu będziecie mogli całkowicie wyłączyć 2-etapową weryfikację, lub przekonfigurować ją względem nowego telefonu. Pragnę zaznaczyć, że ilość kodów wysyłanych w ten sposób ograniczona jest do pięciu, po których należy wyłączyć i ponownie włączyć weryfikację 2-etapową. Tak więc szanse na to, że sami zablokujecie sobie dostęp do serwera są raczej marne. No chyba, że przejdziecie przez kreator „jak burza” wpisując w poszczególne okna dialogowe ciągi losowych znaków uznając, że nikt nie ma prawa Was pytać, na przykład, o Wasz e-mail ? W końcu macie do tego prawo, prawda? ?
W sumie mogłem to napisać wcześniej, ale chciałem Was potrzymać w niepewności, która zrodziła się zapewne w Waszych głowach podsycana pytaniem, czy kod autoryzacyjny z telefonu trzeba przepisywać za każdym razem kiedy chcecie się zalogować? Nie, nie trzeba. Pod polem do wprowadzenia kodu widnieje checkbox zatytułowany „Pamiętaj to urządzenie”. Możecie go zafajkować i na danym komputerze, w danej przeglądarce, nie zostaniecie już o niego poproszeni. Gdy jednak zechcecie anulować to „zapamiętanie” możecie to zrobić w sposób brutalny czyszcząc ciasteczka w przeglądarce lub też w sposób elegancki. Tym drugim, bardziej eleganckim sposobem jest dostanie się do opcji „Nie pamiętaj już tego urządzenia”. Znajdziecie ją klikając w ikonkę ludzika (prawy górny róg pulpitu DSM) i wybraniu opcji „Osobiste”. W nowo otworzonym oknie należy wybrać przycisk „Aktywność na koncie” i przejść do zakładki „Zapamiętane urządzenia”.

twofactor_kolaborek_10-min.jpg

Możecie tam wyłączyć pamiętanie nie tylko komputera na którym aktualnie się znajdujecie, ale także innych, na których ta opcja została użyta.

Podsumowanie

Czy przekonałem Was do włączenia 2-etapowej weryfikacji? Nie wiem. Mam jednak nadzieję, że przybliżyłem Wam tą technologię na tyle, że świadomie zdecydujecie czy zechcecie ją u siebie wdrożyć, czy też nie. Sam proces konfiguracji to, jak widać w powyższym tekście, jeden kreator oraz doinstalowanie aplikacji na telefonie. Nic, co by mogło stanowić jakąkolwiek trudność. Jeżeli chodzi zaś o meritum. Jak pewnie zauważyliście, przy dodatkowym zabezpieczeniu, nawet podanie poprawnego loginu i hasła, nie powoduje przyznania dostępu. Konieczne jest jeszcze przepisanie kodu z Waszego smatfona. Praktycznie niweluje to możliwość uzyskania dostępu w wyniku zbyt słabego hasła złamanego np. metodą brute-force, lub jego ujawnienia w wyniku ataku socjotechnicznego. Metoda 2-etapowej weryfikacji w sposób radykalny zwiększa bezpieczeństwo Waszego serwera (czy też routera, bo w Synology RT2600ac także można ją wdrożyć), ale niestety wiąże się z dodatkowym utrudnieniem (przynajmniej do czasu zafajkowania opcji „pamiętaj to urządzenie”). Teraz sami przed sobą musicie sobie odpowiedzieć, czy dane przechowywane na Waszym „Synku” są na tyle ważne, aby je dodatkowo zabezpieczyć, czy też będzie to dla Was zbędna fanaberia. Ja wdrożyłem u siebie 2-etapową weryfikację, zarówno na NASie, jak i na routerze.



Reakcje użytkowników

Rekomendowane komentarze

Brak komentarzy do wyświetlenia



Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Dodaj konto

Załóż nowe konto. To bardzo proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz już konto? Zaloguj się tutaj.

Zaloguj się teraz


Openitforum

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci. Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×