Nieuws
image

Synology verplicht sterk wachtwoord voor nas-servers

vrijdag 21 oktober 2016, 09:56 door Redactie, 4 reacties

Hardwarefabrikant Synology heeft voor verschillende nas-servers een beveiligingsupdate uitgebracht die verplicht dat gebruikers een sterk wachtwoord voor het beheerdersaccount instellen, aangezien er eerder helemaal geen wachtwoord was vereist.

Het probleem van de standaard gebruikersnaam zonder wachtwoord speelde bij de Synology nas-servers DS107, DS116 en DS213. Een aanvaller op het netwerk zou zo volledige controle over het apparaat kunnen krijgen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De update voor de nas-servers verplicht echter alleen een sterk wachtwoord voor het beheerdersaccount.

Voor het gast-account kan er standaard nog steeds met een leeg wachtwoord worden ingelogd. De nieuwste firmware-update maakt het echter mogelijk om het standaard gast-account uit te schakelen. Iets dat het CERT/CC ook aanraadt. Verder wordt geadviseerd om alleen vertrouwde systemen toegang tot de nas-server te geven.

Reacties (4)
21-10-2016, 10:24 door Briolet
voor het beheerdersaccount instellen, aangezien er eerder helemaal geen wachtwoord was vereist.

Hierboven wordt gesuggereerd dat dit alles met de update van vorige week aangepast is. Dat met een leeg admin wachtwoord is echter al in maart van dit jaar aangepast.
Op het Synology forum waren er toen diverse meldingen van mensen die plots niet meer in hun nas konden omdat ze nooit een wachtwoord ingesteld hadden voor hun admin account. Die mensen bestaan echt nog.

Verder wil ik wel weten waar de bovenstaande bewering vandaan komt dat je nu een sterk wachtwoord moet gebruiken voor een admin. Ik heb als test mijn test account administrator rechten gegeven en als wachtwoord "password" ingesteld. Dat werd gewoon geaccepteerd.

En dat de nieuwe firmware het mogelijk maakt om het gastaccount nu uit te schakelen is ook onzin. Ik heb deze nas al sinds 2011. Vanaf het begin heb ik het gastaccount uitgeschakeld gehad.

Nieuwsberichten op dit forum zijn leuk, maar ze moeten wel kloppen, anders kun je hier geen een bericht meer geloven.
21-10-2016, 11:28 door Anoniem
Je kan het guest account niet weggooien, wel disablen.
21-10-2016, 11:56 door Anoniem
Synology is goed bezig. Om een voorbeeld te geven; als je hun router voor de eerste keer installeert dan ben je gewoon verplicht een goed wachtwoord op te geven. Dat klinkt triviaal, maar dat doen de meeste router fabrikanten niet eens (ten minste de laatste keer dat ik keek)! Dan heb ik het dus over de grote merken als Asus, D-Link en consorten.Verder kan de concurrentie nog wat leren van Synology's patch beleid en gebruikersvriendelijk besturingssysteem met ingebouwde security scanner. Ze laten hun software door een derde partij op vulnerabilities scannen (Secunia?)
Natuurlijk is er ook op Synology ook wel iets aan te merken maar ze doen het stukken beter dan menig concurrent. Nee, ik heb geen relatie met Synology behalve als consument.
21-10-2016, 12:45 door ph-cofi
Dat met een leeg admin wachtwoord is echter al in maart van dit jaar aangepast.
Really? En dat met dit mainstream merk? Verborgen users in /etc/passwd? Deamons die standaard staan luisteren naar de buitenwereld?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure