[2FA] Apple Mots de Passe : Même compte sur plusieurs NAS

[StéphanH]

Bonjour,

Je dispose de plusieurs NAS en <nom>.myds.me.
Sur chaque NAS mon nom de compte est le même.

J'essaie d'activer le 2FA sur ces NAS. Mais le gestionnaire de mots de passe d'Apple m'empêche de mémoriser plus d'un clé, vu que le  suffixe myds.me et le user sont identiques.

 

Une idée ?

Modifié le 25 novembre par StéphanH

[Mic13710]

Le générateur de code OTP est lié aux identifiants ? Et en utilisant un gestionnaire indépendant ? Je ne sais pas si ça existe dans le monde des pommes, sous android il y en a pas mal. Celui que j'utilise : FreeOTP+

[StéphanH]

En fait, c'est le gestionnaire Apple qui crée une entrée pour chaque User.
On peut donc sans souci associer un code OTP à chaque User du NAS

Mais par contre, le même user sur plusieurs URL de type <nom>.myds.me ne crée qu'une seule entrée dans le gestionnaire Apple, cette entrée comportant plusieurs URL.
Or, par définition, le code OTP est différent sur chaque NAS.

cela ressemble à un bug Apple, mais j'ai quand même un doute. D'où ma question ici, pour savoir si un autre utilisateur avait le même problème, et pourquoi pas une solution… 

Modifié le 25 novembre par StéphanH

[CyberFr]

Il me semble que le 2FA chez Apple ne sert qu'à protéger un compte Apple lié à un identifiant Apple. Lorsque j'ai voulu l'utiliser sur mon NAS  j'ai fait appel à une application tièrce tournant sur l'iPhone, en l’occurrence Authy.

[StéphanH]

Merci @CyberFr

le gestionnaire de mot de passe Apple est désormais très complet.

On peut gérer tous ses mots de passe, clés Wep, codes 2FA et clés d'authentification.

Tout fonctionne bien pour les clés d'authentification. Le système crée bien une clé par NAS.

Mais pour les codes OTP, il s'obstine à ne vouloir qu'un seul enregistrement pour le nom générique *.myds.me.
De ce fait, on ne peut gérer la clé que d'un seul NAS.

J'ai un ticket ouvert au niveau 2 Apple, qui a constaté le souci … A suivre ...

 

Modifié le 26 novembre par StéphanH

[StéphanH]

La suite …

Le problème n’existe bien que pour des couples identiques User+Mot de passe sur des URL du type <nom>.suffixe.dns

la création de codes OTP différents est impossible sur plus d’une machine.

Le problème n’existe pas sur les clé d’accès, vu que le mot de passe (la clé secrète) est différente …

Le support Apple m’appelle de nouveau demain …

À suivre …

Le palliatif en attendant : ne pas avoir le même user/mot de passe sur plusieurs NAS dont le nom est fourni par le DDNS Syno

[Geoff1330]

Le 27/11/2024 à 11:57 AM, StéphanH a dit :

Le palliatif en attendant : ne pas avoir le même user/mot de passe sur plusieurs NAS dont le nom est fourni par le DDNS Syno

Bonjour,
Point de vue sécurité, il est préférable de ne pas avoir le même user/pw pour quoi que ce soit 😉 que cela soit pour des NAS ou autre chose.

Perso, j'utilise aussi Authy.

[StéphanH]

J’ai laissé tombé Authy : je crois d’ailleurs qu’Authy laisse tomber Apple. Je me trompe ?

bref, je suis d’accord pour dire qu’il y en a d’autres. 
Mais j’aimerai être sur que ce n’est pas moi qui utilise mal celui d’Apple. 
j’ai un autre point avec Apple demain …

[CyberFr]

il y a 15 minutes, StéphanH a dit :

J’ai laissé tombé Authy : je crois d’ailleurs qu’Authy laisse tomber Apple. Je me trompe ?

C'est récent dans ce cas car je l'ai longtemps utilisé, je ne l'utilise plus parce que j'ai mis fin à la 2FA.

[StéphanH]

Oui c’est semble-t-il récent. 
qu’utilises tu à la place du 2FA si ce n’est pas indiscret ?

[Geoff1330]

Merci pour l'info, je ne savais pas.

Du coup, il va falloir que je migre aussi 😕

J'ai plus cas trouvé un Docker qui fait pareille...

 

(Intéresser aussi par l'alternative du 2FA, @CyberFr 🙂 )

[CyberFr]

il y a 33 minutes, StéphanH a dit :

qu’utilises tu à la place du 2FA si ce n’est pas indiscret ?

J'ai eu des mésaventures avec la 2FA dues à la clé propre à Synology qui m'a été réclamée alors que je ne l'avais jamais utilisée ! Depuis, la sécurité est gérée par un mot de passe fort (majuscules + minuscules + caractères diacritiques et longueur de 16 caractères).

De toute façon, pour gérer la 2FA sans prendre le risque de ne plus avoir accès au NAS, il faut détenir au moins deux smartphones au cas où l'un tomberait en panne et je n'en ai qu'un.

[StéphanH]

Merci @CyberFr

Et tu n’utilises pas bon plus les cléfs « matérielles » dématérialisées ?

pour quelle raison ?

Modifié le 2 décembre par StéphanH

[CyberFr]

il y a 50 minutes, StéphanH a dit :

Et tu n’utilises pas bon plus les cléfs « matérielles » dématérialisées ?

Je n'ai pas essayé.

Et j'ajoute qu'un gestionnaire de mots de passe comme Vaultwarden simplifie bien la vie.

[Mic13710]

Il y a 2 heures, CyberFr a dit :

De toute façon, pour gérer la 2FA sans prendre le risque de ne plus avoir accès au NAS, il faut détenir au moins deux smartphones au cas où l'un tomberait en panne et je n'en ai qu'un.

Il n'y a pas que les smartphones pour ça. Tout gestionnaire de mdp qui se respecte intègre aussi le 2FA. Et franchement, exception faite des accès biométriques, le 2FA couplé à un mdp fort, c'est tout de même plus sécure qu'un mdp fort tout seul non ?

J'utilise le 2FA depuis des années. Je ne déplore qu'un seul problème lié a une mauvaise synchro d'horloge. Depuis, tous mes appareils sont synchronisés sur le même serveur NTP.

Quant au code envoyé par le NAS en cas de perte de l'OTP, il faut bien sûr vérifier que l'adresse d'envoi est bien enregistrée et qu'elle fonctionne, ce que tout le monde ou presque oublie.

A titre perso, j'utilise Keepass, certes désuet mais qui fait le taff, avec l'addon KeeOTP2 et j'ai FreeOTP+ sur le smartphone. Keepass est bien entendu sur Synology Drive ce qui me permet d'y accéder à partir de tous mes clients Drive (smartphone, tablette, PCs). Les risques de ne pas pouvoir me connecter sont nuls à infinitésimaux.

[StéphanH]

J’aimerais bien connaître le mode de fonctionnement des logiciels que vous citez dans le cas de figure objet de ce post !

en attendant, je reste fidèle à l’outil Apple qui répond à mon besoin.

[Mic13710]

@StéphanH Concernant les applications pour les produits Apple, je ne peux rien en dire, je n'ai pas ça chez moi et je ne les connais pas. J'intervenais uniquement pour le 2FA. Rien de plus.

[CyberFr]

Il y a 14 heures, Mic13710 a dit :

Il n'y a pas que les smartphones pour ça. Tout gestionnaire de mdp qui se respecte intègre aussi le 2FA. Et franchement, exception faite des accès biométriques, le 2FA couplé à un mdp fort, c'est tout de même plus sécure qu'un mdp fort tout seul non ?

Certes mais c'est contraignant et ça n'évite pas les attaques. L'équilibre entre contraintes et bénéfices en matière de sécurité est à prendre en compte. Le bug auquel j'ai été confronté dans DSM où l'on me demandait un code de sécurité lié à la clé de Synology alors que je n'avais jamais utilisé cette clé a calmé mes ardeurs. À l'époque j'utilisais Authy donc sans aucun rapport avec Synology. J'ai été obligé de faire un reset du NAS.

[Mic13710]

Il y a 2 heures, CyberFr a dit :

ça n'évite pas les attaques

Ce n'est pas un argument. Sauf à la rendre inaccessible ce qui du coup la rend inutilisable, toute IP est susceptible d'être attaquée et aucun système permet d'éviter ça !

C'est ce qu'on y met derrière qui évite que les attaques puisse aller au delà.

Il y a 3 heures, CyberFr a dit :

c'est contraignant

Pas vraiment non. On peut définir des équipements comme étant fiables, et dans ce cas le 2FA n'est pas demandé.

[CyberFr]

il y a 14 minutes, Mic13710 a dit :

C'est ce qu'on y met derrière qui évite que les attaques puisse aller au delà.

Je suis bien d'accord. D'où l'importance, on ne le dira jamais assez, des mesures de sécurité mises en œuvre au niveau du NAS. J'ai, pas plus tard qu'aujourd'hui, rendu mon NAS inaccessible depuis Internet, il ne l'est que sur le réseau local ou à travers un VPN.

[Geoff1330]

il y a une heure, CyberFr a dit :

Je suis bien d'accord. D'où l'importance, on ne le dira jamais assez, des mesures de sécurité mises en œuvre au niveau du NAS. J'ai, pas plus tard qu'aujourd'hui, rendu mon NAS inaccessible depuis Internet, il ne l'est que sur le réseau local ou à travers un VPN.

Le VPN c'est contraignant aussi 😉 

[CyberFr]

il y a 3 minutes, Geoff1330 a dit :

Le VPN c'est contraignant aussi 😉

Certes mais on ne risque pas d'être devant la porte de son NAS sans pouvoir y entrer comme avec le 2FA 😀

[Mic13710]

@CyberFr j'espère que l'accès au VPN est sur un compte spécifique qui n'a pas d'autre autorisation sur le NAS que le VPN et que les autres comptes ne peuvent pas y accéder. Autant être parano jusqu'au bout !

Je trouve que de se priver de l'accès au NAS de l'extérieur autrement que par le VPN restreint considérablement l'usage du dit NAS. Synology Drive par exemple, ou encore l'accès à la musique, aux photos etc.. s'il faut activer le VPN pour pouvoir y accéder, ce n'est pas très user friendly.

Encore une fois, ce sont surtout les protections qu'il faut soigner. Un accès VPN est certes un peu plus protégé qu'un HTTPS, mais ce n'est pas non plus une garantie absolue d'inviolabilité.

Enfin, je ne suis pas partisan d'une utilisation du serveur VPN du NAS de manière permanente. Les versions fournies par Synology sont certes éprouvées mais anciennes.

Perso, mes accès aux applications se fait en https. J'utilise Wireguard pour l'accès à DSM ou pour l'accès à internet de mon smartphone lorsque je suis sur des réseaux publiques. J'ai gardé le serveur VPN sous le coude comme roue de secours en cas de dysfonctionnement de Wireguard qui est installé sur mes routeurs. L'avantage, outre le fait que le NAS ne soit pas sollicité, c'est que je ne suis pas dépendant de ce dernier (plus simple pour faire des mises à jour ou autres opérations qui nécessitent un redémarrage du NAS sans couper le VPN). Même si le NAS est arrêté, je peux joindre le réseau. A savoir aussi que je fais du site à site permanent avec mes routeurs et que de l'extérieur je peux joindre chaque site aussi par Wireguard. Les "anciens" VPN (OpenVPN et consorts) ne sont plus utilisés que très rarement et quasi exclusivement vers des sites qui n'ont pas Wireguard.

[CyberFr]

il y a 54 minutes, Mic13710 a dit :

 j'espère que l'accès au VPN est sur un compte spécifique qui n'a pas d'autre autorisation sur le NAS que le VPN et que les autres comptes ne peuvent pas y accéder. Autant être parano jusqu'au bout !

J'ai effectivement créé un utilisateur dédié qui seul peut accéder au VPN. Par contre je m'interroge sur les droits que je dois lui donner en dehors du VPN pour accéder aux ressources de DSM. Pour l'instant c'est un compte d'administrateur mais je vais sans doute réduire la voilure et pour cela il faudra étudier les besoins de façon détaillée.

il y a une heure, Mic13710 a dit :

Je trouve que de se priver de l'accès au NAS de l'extérieur autrement que par le VPN restreint considérablement l'usage du dit NAS. Synology Drive par exemple, ou encore l'accès à la musique, aux photos etc.. s'il faut activer le VPN pour pouvoir y accéder, ce n'est pas très user friendly.

Pour la musique, les photos, les applications de DSM en général et celles sous docker j'ai conservé les reverse-proxy. Mais le cœur du système, à savoir DSM, n'est plus accessible depuis l'Internet.

il y a une heure, Mic13710 a dit :

Encore une fois, ce sont surtout les protections qu'il faut soigner. Un accès VPN est certes un peu plus protégé qu'un HTTPS, mais ce n'est pas non plus une garantie absolue d'inviolabilité.

Tour à fait d'accord. Il s'agit de réduire le risque et un NAS mal protégé à l'origine le restera. Il est dommage que Synology ne propose pas Wireguard sous forme de paquet à cause de obsolescence des composants utilisés dans leurs NAS.