Changer d'utilisateur

[thrymartin]

Hello

(Cloud Station Backup sur l'ordi)
On peut changer le mdp, mais on ne peut pas changer l'utilisateur sans délier ? (j'ai toujours 'admin', et comme le syno me fait un c.c. nerveux pour que le désactive alors que j'ai un mot de passe de 15km avec 3 millions d'année de force brute à la clé pour le déplomber... mais bon)
ou alors si on peut zapper (que ça n'apparaisse plus) les messages de "sécurité" qui ne veulent pas l'utilisateur admin ?

je sais, il y a le nouveau drive server, mais pour les mêmes raison que je ne veux pas délier : ça marche bien comme ça et je préfère éviter que ça tourne 107 ans pour recommencer la sauvegarde...
oui je sais c'est mal 😉

[CyberFr]

Le compte admin qui existe par défaut doit être désactivé mais il ne faut surtout pas le supprimer car il est nécessaire au bon fonctionnement de DSM. Si tu fais un reset par exemple, le compte admin est réactivé afin que tu puisses te connecter avec ses identifiant et mot de passe. Un conseil, attribue au compte admin un mot de passe qu'il vaut mieux noter quelque part au cas où.

[thrymartin]

Le 27/11/2023 à 6:25 PM, CyberFr a dit :

Le compte admin qui existe par défaut doit être désactivé

ben oui, mais comme il est utilisé par cloud station backup, si je le désactive, je me retrouve avec le login "admin" en grisé".
le mot de passe associé est généré par bitwarden, quand je dis 3 millions d'années de force brute pour le casser, c'est ce que j'ai dans un tableau sur les "duretés" de mot de passe. donc je demande aussi si on peut empêcher le syno de m'ennuyer avec son message répétitif qui me demande de désactiver "admin"

franchement c'est NUL : alors toto mot de passe 0000 c'est OK, mais admin et non par exemple  s@&52%$KqT4HM9 
n'importnawak

[CyberFr]

Il y a 2 heures, thrymartin a dit :

franchement c'est NUL : alors toto mot de passe 0000 c'est OK, mais admin et non par exemple  s@&52%$KqT4HM9 
n'importnawak

Tous les attaquants de la planète savent que le compte admin existe par défaut sur les NAS Synology, c'est donc le premier compte qu'ils vont tester. Le message d'avertissement qui te demande de désactiver le compte admin est simplement une mesure de sécurité, après c'est toi qui voit.

Il y a 2 heures, thrymartin a dit :

ben oui, mais comme il est utilisé par cloud station backup, si je le désactive, je me retrouve avec le login "admin" en grisé".

L'erreur est là. Il faut désigner un compte appartenant au groupe administrateurs pour gérer Cloud Station Backup mais sûrement pas le compte admin.

[Mic13710]

Il y a 2 heures, thrymartin a dit :

je demande aussi si on peut empêcher le syno de m'ennuyer avec son message répétitif qui me demande de désactiver "admin"

C'est possible de désactivé le message dans le conseiller de sécurité. Après, comme le dit @CyberFr, ce choix vous appartient.

[thrymartin]

OK, Vu,
Dans le conseiller de sécurité, j'ai désactivé l'alerte

@Mic : on ne peut pas changer l'utilisateur de csb sans délier et donc refaire tout le backup- un jour si j'ai le temps. Mais de toute façon, comme il faut garder "admin" pour la maintenance, j'en vois pas l'intérêt :
@Mic @Cyber : qu'est ce que ça peut faire que l'utilisateur "admin" soit testé par un hacker avec un mot de passe hyper fort ? j'ai donné un exemple, c'est indéplombable : comme c'est" au hasard", pas de dictionnaire, comme c'est 14 caractères : min, maj, chiffres, caract spéciaux : c'est 1 millions d'années (3 c'était l'année dernière, ça change rien) pour passer toutes les possibilités en revue avec une station de travail au top.

Je répète que n'importnawak si on se contente de suivre les recommandations du syno (qui a la complexité du mdp désactivé par défaut ???)
Par contre nommer son utilisateur avec son prénom et mettre un mot de passe simple genre sa date de naissance, ça on peut ! alors que ça, c'est trouvable sans problème en quelques minutes.

De toute façon, j'ai positionné le Blacklistage de l'IP à 2 essais.

bon, en tout cas, j'ai ma réponse, merci

(j'aurai du fouiller plus avant les menus du conseiller de sécurité. La flemme ou ou la fatigue quoi... :-o )

 

[CyberFr]

il y a 9 minutes, thrymartin a dit :

Par contre nommer son utilisateur avec son prénom et mettre un mot de passe simple genre sa date de naissance, ça on peut ! alors que ça, c'est trouvable sans problème en quelques minutes.

Cela se paramètre dans Utilisateur et groupe > Avancé.

[PiwiLAbruti]

il y a 18 minutes, thrymartin a dit :

qu'est ce que ça peut faire que l'utilisateur "admin" soit testé par un hacker avec un mot de passe hyper fort ?

Rien, mais ça se cassera un jour. Maintenant je préfère prendre le problème en amont afin que les comptes ne puissent même pas être testés, ou alors avec de fortes limitations rendant inexploitable une attaque par Brute Force.

il y a 19 minutes, thrymartin a dit :

qui a la complexité du mdp désactivé par défaut ???

Moi (même pas peur 😄), pour la simple raison qu'il n'y a pas que la force du mot de passe à prendre en compte (ce serait d'ailleurs bien trop réducteur).

Sur un NAS Synology, avec le blocage automatique activé et bien paramétré, un périmètre d'exposition limité au strict nécessaire par des règles de pare-feu (peut être complexe à mettre en place mais extrêmement efficace), du verrouillage automatique de compte en cas de plusieurs échecs, des profils de contrôle d'accès sur les services web, … il n'y a plus grand chose à craindre.

J'ai bien conscience que j'ai certainement une configuration peu courante, mais je ne me prends pas la tête avec des mots de passe à rallonge qui n'ont plus vraiment d'utilité vu les mécanismes de sécurité mis en place.

Je précise au passage que ce qui est écrit ci-dessus ne s'applique qu'à un cas particulier (NAS Synology) et n'est pas une vérité générale.

 

[thrymartin]

@CYber 10 caractères, c'est 2 semaines pour déplomber (voir tableau), bon, si on réduit les tentatives avant blacklistage, changer d'IP ça prend assez de temps pour passer de 2 semaines à ... trop longtemps pour Hacker 10 caractères, mais quitte a mettre un mot de passe fort, autant qu'il le soit vraiment, et c'est impossible sans gestionnaire de mot de passe... (bitwarden ou ... le c2 de syno.)

@Piwi ça cassera un jour, ... quand l'humanité aura disparue 🙂 quand à mettre un prénom à la place de 'admin' ça revient au même, ce sera testé.
En fait, donner un login complexe, revient à ... complexifier le mdp : ça revient au même d'avoir... juste un mot de passe plus complexe
login / mdp = log / inmdp = l / oginmdp

donc si on durci suffisamment le mdp, on n'a même pas besoin de login : il ya d'ailleurs des systemes comme ça
ni de double facteur quand on peut mettre un mdp dur, (mais indispensable les sites a PIN ou mdp en chiffres, comme les banques)

Par contre je suis d'accord d'utiliser les autres moyens, déjà juste ne pas permettre plusieurs essais avant blacklistage (moi c'est une seule entrée erronée, mais pas 2)

================================================================

J'ai eu beau désactiver la notification admin dans le conseiller de sécurité, rien a faire, ça revient comme un papier collant sur la patte d'un chat

[PiwiLAbruti]

il y a 52 minutes, thrymartin a dit :

J'ai eu beau désactiver la notification admin dans le conseiller de sécurité, rien a faire, ça revient comme un papier collant sur la patte d'un chat

Si tu ne veux plus cette notification, il faut désactiver le compte admin.

C'est une mauvaise habitude d'utiliser un compte par défaut (quelque soit son nom) car c'est toujours celui qui apparaît dans la documentation des constructeurs, et nécessairement celui qui sera testé en premier.

[Kramlech]

On se plein assez que les fabricants d'objets connectés ne sécurisent pas assez leurs logiciels ... On ne va se plaindre quand un fabricant se décide à essayer d'éduquer les utilisateurs !

[thrymartin]

Donc d'après vous, par exemple paul.dupond / ybn4zjbq (login / pass) c'est sécurisé ?
ça se craque pourtant tous les jours ! et j'en ai été victime (BAL Orange)

Dans ce cas, certes, paul.dupond est public, puisque tiré d'un email, mais Paul aussi, et même Kramlech, tout ça, ne vaut pas mieux que "admin" !!!
donc ... si on veut sécuriser un compte, il faut :

Soit, mettre un login construit comme un mdp
Soit mettre un mot de passe très fort (donc utiliser un gestionnaire)
(je sais, soit les deux, mais on s'arrête quand ? deja qu'il ya d'autres moyens de sécurité avec le changement de port, le blacklistage après erreurs, les double identification en cas de nouvel appareil ... à un moment ça devient de la parano alors que personne n'a réussi à pirater le code PIN d'une carte bancaire (sauf a espionner par dessus l'épaule), pourtant 4 petits chiffres, mais voila, invalidé à la 3ème erreur).

@Kramlech "éduquer les utilisateurs"
C'est ce qu'à cru faire Orange en forçant le changement de mdp et en proposant un mdp a 8 minuscules et voila...
Si on veut "éduquer" l'utilisateur, vaut mieux, plutôt que de lui interdire "admin", lui apprendre a réellement mettre des vrais mdp ! Or, demande autour de toi, c'est quasiement jamais le cas ! c'est 0000 123456 prenom-date de naissance et autre "j'utilise le même partout" ils sont en faire très rares ceux qui utilisent un gestionnaire, seule solution pour gérer des mdp forts aléatoirement construits, avec un différent / site et donc qu'on ne peut pas retenir par coeur.
Faites un sondage.

[CyberFr]

Il y a 7 heures, thrymartin a dit :

Si on veut "éduquer" l'utilisateur, vaut mieux, plutôt que de lui interdire "admin", lui apprendre a réellement mettre des vrais mdp !

« Je ne suis pas d’accord avec ce que vous dites, mais je me battrai pour que vous ayez le droit de le dire. » Voltaire.

Dans le Conseiller de sécurité, prendre l'option "Personnalisé".

Dans les paramètres personnalisés, décocher la case "Le compte admin est activé".

Par la suite il ne devrait plus y avoir d'alerte à cause du compte admin par défaut.

[thrymartin]

@CyberFr
Merci, mais...
Malheureusement, c'était déjà configuré ainsi et ça ne change strictement rien,

par contre une nouveauté : depuis 2 jours j'ai une alerte sur la dureté du mot de passe qui ne satisfait pas aux exigences etc.
Mwouah ahahahaha 14 caractères alphanum avec mj + caractères spéciaux fait au hasard par bitwarden et donné pour 1 million d'année d'une statio de travail pour le déplomber ça suffit pas ... :-O  ou alors ce "conseiller de sécurité" est à la ramasse :-)

Merci d'avoir essayé de trouver une solution, mais je me résigne à 'idée qu'il n'y en a pas.
quand j'aurai vraiment du temps à perdre, je reconfigurerai ma sauvegarde et la recommençant a zero, et en virant ce compte admin

Je persiste a trouver ça ridicule, mais bon...