Secure SignIn 技術規格 | 群暉科技 Synology Inc.

Secure SignIn

提升 DSM 帳號的登入服務，支援兩種登入方式：核准登入及硬體安全金鑰
提供可取代密碼的登入方式，達成流暢的 DSM 登入體驗
整合 DSM 中的身分驗證功能，提供更加強大的雙重驗證功能
- 除了使用一次性驗證碼 (OTP)，使用者可以選擇使用核准登入或硬體安全金鑰作為雙重驗證的第二步驟

支援 DSM 網路入口及 DSM 應用程式的登入入口
整合自動封鎖與帳號保護功能，嘗試登入失敗或身分驗證失敗都將計入登入失敗的次數中
核准登入
- Synology Secure SignIn 行動應用程式支援 Android 及 iOS 裝置
- 可取代密碼或作為雙重驗證的第二步驟
- 在已連線的裝置上點一下便可流暢登入 DSM
- 透過 Synology Secure SignIn 行動應用程式掃描 QC Code 即可快速完成設定
- 支援透過公用 IP 位址、網域名稱、QuickConnect 連線至 Synology NAS
硬體安全金鑰
- 支援使用符合 U2F 及 FIDO2 標準的硬體安全金鑰登入 DSM 帳號 (請參閱此相容性清單)
- 支援多種金鑰類型，包含 USB 形式的外接金鑰或內建金鑰 (macOS 裝置的 Touch ID 或 Windows 裝置的 Windows Hello)
- 可取代密碼或作為雙重驗證的第二步驟
雙重驗證
- 支援核准登入、硬體安全金鑰、以時間為基礎的一次性密碼 (Time-based One-Time Password，TOTP) 通訊協定
  - 支援 Synology Secure SignIn、Google Authenticator、Microsoft Authenticator 等使用 TOTP 通訊協定的行動裝置應用程式
- 針對特定使用者群組強制使用雙重驗證
- 可讓受信任的裝置略過雙重驗證

Secure SignIn 服務需要登入 Synology 帳戶才能使用
- 核准登入需要使用 DSM 推播服務，且若 Synology NAS 無法連線至 Synology 帳戶，核准登入將無法正常運作
核准登入
- 僅能透過 Synology Secure SignIn 行動應用程式使用
硬體安全金鑰
- 需透過 HTTPS 使用網域名稱存取 Synology NAS
- 不支援透過 IP 位址或 QuickConnect 連線至 Synology NAS
- 僅支援特定瀏覽器與作業系統 (了解更多)
- 安全金鑰的製造商及型號可能會影響 DSM 支援，請使用 Synology 測試過且推薦的產品 (請參閱此相容性清單)

使用 Synology Secure SignIn 時，行動裝置會預設開啟螢幕鎖定功能以確保安全性
核准登入
- 支援透過行動裝置的推播通知即時接收登入請求
- 即使未開啟推播通知，只要使用者可以解鎖螢幕，即支援使用此功能
- 支援使用 HTTPS 連線以確保網路傳輸的安全性
- 支援在未登入 DSM 桌面的情況下手動完成設定
- 支援使用公用 IP 位址、網域名稱、QuickConnect 來進行設定
- 支援最多 20 個核准登入帳號
一次性驗證碼 (OTP)
- 支援以時間為基礎的一次性密碼 (Time-based One-Time Password，TOTP)，除了可用於取得 DSM 的 OTP，也可用於支援相同標準的第三方服務
- 支援在沒有網路連線的情況下取得驗證碼 (建議使用 NTP 同步時間，以確保行動裝置維持正確時間)
- 每個行動裝置支援最多 50 個 OTP 檔案
備份與還原
- 支援自動備份核准登入帳號及 OTP 檔案至 Synology 帳戶。每個 Synology 帳戶可備份一個行動裝置
- 支援自動同步所有變更至雲端儲存空間
- 自 Synology 帳戶還原資料至新的行動裝置時，會在新裝置自動啟動備份功能，並在原裝置停用該功能
  - 還原後，列表內的核准登入帳號會被登出，使用者需重新驗證才能使用

設定及使用核准登入時，不支援透過私有 IP 位址存取 Synology NAS
不支援以 HMAC 為基礎的一次性密碼演算法 (HMAC-based One-time Password algorithm，HOTP；於 RFC 4226 文件中發布)