Krajem lipnja 2021. godine, Synology je službeno objavio novih DSM 7, ali i nove C2 cloud aplikacije.

U ovom članku, govorio bi malo o jednoj od tih aplikacija, novom C2 Password-u. Riječ je o novom Synology manadžeru zaporki (password manager).

C2 Password - Synology freemium password manager

Uz veliki broj ovakvih rješenja danas, izbor je svakakav. Osobno ja sam veliki zagovornik Bitwarden platforme i imam nekoliko članaka na tu temu kako ga postaviti na vlastitom NAS-u putem Docker-a.

Glavni razlog korištenja Bitwarden-a je taj što je većina drugih platformi komercijalna i traži držanje osjetljivih podataka u vlastitim cloud destinacijama. Dakle ostaje na vama da li ćete vjerovati takvim tvrtkama ili ne.

Osobno, nisam naklonjen takvom razmišljanju niti bi volio da mi takve informacije stoje van mog dohvata i kontrole. S druge strane, danas je pojam cloud-a jako teško izbjeći osim ako ne koristite vlastitu infrastrukturu za hosting nekog rješenja, kao primjerice NAS. Da bi ovo postigli, treba niz predradnji i uvjeta zadovoljiti, pa nije ni čudo da se većina korisnika odlučuje na kraju za sustav "ključ u ruke".

Ako govorimo o password manager-ima ne postoje besplatna rješenja koja će podržavati više simultanih uređaja, korisnika, sinkronizaciju, itd., bez neke konkretne cijene, pa tako ni C2 Password nije ništa drugačiji.

Iako je Synology rješenje klasificirano kao freemium, nudi dosta toga u svojoj besplatnoj varijanti.

C2 Password cijene i mogućnosti (veljača 2022.)

Što je u kutiji?

Dakle što točno C2 Password nudi? Kao što je vidljivo iz prethodno navedenog popisa, riječ je o klasičnim password manageri funkcijama kao i generator zaporki, ali na kraju nudi i opciju slanja zaštićenih datoteka (ovo je nešto što je dodatno razrađeno unutar C2 Transfer aplikacije).

Kao i ostatak konkurencije, uglavnom će biti rame uz rame as većinom, no kod C2 Password aplikacije treba posebno pripaziti na kojim je sve operativnim sustavima i uređajima dostupan. Ovo navodim iz razloga što ako se opet vratimo na popis iznad, vidjeti ćete da je podrška za web preglednike jako ograničena i to samo na Chrome i Edge, koje iz osobnih razloga ne želim koristiti.

Što se tiče mobilnih aplikacija, ista postoji za iOS platformu (od 1. veljače 2022.), ali trenutno možete koristiti stavke, no ne i dodavati nove ili uređivati postojeće. Malo čudno ako mene pitate, ali pretpostavljam da će te funkcije biti dodane u nekim kasnijim verzijama.

C2 Password za iOS - možete samo koristiti postojeće stavke koje imate unesene

Novim C2 aplikacijama, Synology izlazi iz svoje zadane zone i to je dobra stvar, jer za korištenje C2 Password aplikacije vam ne treba nikakav uređaj od istoimene tvrtke. Dakle ako tražite neki password manager, koji radi (ili će raditi) na svim platformama, inicijalno je besplatan, a ne želite ili ne možete sami odražavati neko rješenje, onda bi C2 Password mogao biti upravo ono što vam treba.

Sigurnost C2 Password platforme

Ako govorimo o sigurnosti same platforme, C2 Password će biti dostupan ekskluzivno od strane Synology-a i to putem njihovih C2 data centara. Ukoliko niste u mogućnosti sami održavati neku vrste password manager aplikacije sa svoje strane, morati ćete vjerovati nekoj kompaniji. Da li je to u ovom slučaju Synology ili 1Password, sada je sporedno, no idemo vidjeti što C2 Password i Synology mogu ponuditi sa aspekta same zaštite i sigurnosti vaših povjerljivih podataka.

U nastavku su službene Synology sigurnosne značajke pa ih kao takve neću ni prevoditi:

End-to-End Encryption
Passwords, items, and stored files are protected using AES 256-bit encryption. Encryption and decryption are carried out at the device level, meaning that all data that leaves the device is fully protected

Zero-Knowledge Design
The C2 Encryption Key, which is used to encrypt all data on the platform, never leaves the device on which it is created, greatly reducing the risk of credential leaks over insecure networks

Two-Factor Authentication (2FA)
Sign in attempts to C2 Password require a TOTP generated on a mobile device, ensuring that only rightful individuals can access stored data

Za više detalja, pogledajte i sami C2 Password white paper dokument.

C2 Password - glavne značajke

Pogledajmo što i kako C2 Password radi kada su u pitanju osnovne funkcije. Za početak, koristite c2.synology.com link kako bi došli na početnu stranicu te dalje krenuli u korištenje ove konkretne (ili neke druge) C2 aplikacije.

Značajke besplatnog C2 Password rješenja

Prije nego krenete raditi i koristiti svoj C2 Password, morate kreirati svoj C2 encryption key (enkripcijski ključ).

Kreirajte jaki enkripcijski ključ
UPOZORENJE: Ako prilikom kreiranja ključa dobijete grešku u donjem desnom kutu okvira koja kaže, [object Response], NEMOJTE otići sa okvira jer će proces to svejedno registrirati kao ključ koji zapravo ne radi, te će vas pitati za isti prilikom prijave. Prijavu nećete moći izvesti, a jednokratna lozinka za oporavak (trenutno) ne radi, pa ćete biti u nemogućnosti doći do vaših podataka.

Dodatno, ako koristite Apple preglednike ili uređaje, obavezno pregledajte problem i rješenje oko ovoga na službenom forumu. Ovo je riješeno 30.06.2021. https://community.synology.com/enu/forum/4/post/145370

Problemi sa C2 ključem

S druge strane, ako sve prođe kako spada, dobrodošli u C2 Password!

C2 Password glavno sučelje

Kreiranje, brisanje i korištenje

Kao i svaki drugi password manager, C2 Password nudi kreiranje nekoliko vrsta objekata za svaku novu stavku.

Kategorije objekata

Ovisno o tome koje vrste je sam objekt imati ćete drugačije opcije za popuniti.

Wireless ruter opcije 
Primjer objekta za prijavu
Primjer sigurne poruke

U svakom slučaju, neovisno o vrsti objekta koju ste odabrali, istu ćete moći proširiti sa dodatnim poljima ukoliko to želite.

Primjer unesene stavke u C2 Password

2FA - dvostupanjska autorizacija

Interesantna stvar kada govorimo o objektima putem koji se prijavljujete u razne sustave, jest podrška za MFA (multi-factor authentication) kao primjerice 2FA (dvostupanjska authentifikacija). Iako C2 Password ima podršku za 2FA, njegova aktivacija možda nije baš najelegantnija.

Razlog toga je što ćete morati isti upisati ili kopirati u odgovarajućem formatu.

Očekivani format je slijedeći: otpauth://TYPE/LABEL?PARAMETERS , a uz nedostatak mobilne aplikacije kako sam prije naveo, nećete biti u mogućnosti skenirati QR kôd. Dakle ostaje vam unijeti ovakav zapis manualno. U nastavku je primjer jednog ovakvog zapisa:

otpauth://totp/matomotst?secret=PJIKFLGEV63XA2DJ&issuer=Analytics+-+metrics.domain.com

Ok prije nego poludite, postoji način kako dobiti ovaj zapis i bez korištenje mobilne aplikacije. Jednostavno koristite neku generičku QR aplikaciju kako bi očitali zapis. Nakon toga ga jednostavno kopirajte i to je to. Da, nije najelegantnije rješenje, ali opet nećete dodavati 2FA na svoje objekte baš non-stop, pa možemo reći da je ovo prihvatljivi (za sada) zaobilazni put.

2FA radi uredno kada ga krenete koristiti, ali morati ćete se malo potruditi oko podešavanja.

Web ekstenzije

Kako samo prije naveo, trenutno su samo Chrome i Edge web preglednici ti koji podržavaju C2 Password web ekstenziju, a pošto osobno ne koristim niti jedan od njih, nisam u mogućnosti dati obol da li rade kako trebaju ili ima nekih konkretnih problema.

Postoji i vrlo detaljan službeni članak o tome kako riješiti Chrome autofill problem pa pročitajte malo ukoliko koristite navedeni preglednik.

Uvoz iz drugih platformi

Ovo je nešto što bi se očekivalo od ovakve vrste aplikativnog rješenja i C2 Password podržava ovu funkcionalnost. Doduše, ako želite ovo realizirati, morati ćete prilagoditi izvoz podataka prije nego ga možete uvesti u C2.

Razlog tome je što C2 koristi posebni CSV predložak prilikom uvoza podataka.

CSV uvoz je trenutno jedini način kako se mogu podaci dovesti u C2 Password

U slijedećem službenom članku su objašnjena sva potrebna zaglavlja i tip podataka koji su bitni za uspješan uvoz.

U nastavku su i ograničenja prilikom uvoza u C2 Password:

  • C2 Password currently only supports importing login items from CSV files. File attachments and items other than logins will need to be manually added to your Vault.
  • Please save your prepared CSV files in UTF-8 (8-bit Unicode Transformation Format).
  • Each CSV record will be displayed as an item in your Vault. C2 Password does not check if the items in your CSV import file are duplicates of items in your Vault. This means that if an item already exists in Vault, importing the same item will create a duplicate Vault item. Before importing, we recommend that you do either of the following:
  • Editing your import file to include only the new Vault items.
  • Clearing your Vault login entries prior to the import operation.

Iz priloženog se vidi da ovo nije baš najelegantnije rješenje, ali uz popratnu dokumentaciju imati ćete upute kako pripremiti sve za C2 Password prije samog uvoza. S obzirom da je ovo vjerojatno jednokratna operacija, možemo reći da ovo i nije tako strašno, no s druge strane ne možemo očekivati da će netko raditi proces izvoza za konkurentni proizvod.

CSV izvoz/uvoz je unificirano rješenje, ali morati ćete se malo više potruditi za isto sprovesti u djelo.

Generator zaporki

Prednost ovakvog rješenja jest da ne morate razmišljati o nekim kompleksnim nasumičnim zaporkama. Tu zadaću može preuzeti generator zaporki, jer najbolje način kako zaštiti vaše zaporke jest da ih ne znate i ne pamtite.

Generator zaporki

Ova značajka nije ništa specijalno, ali moram napomenuti da će maksimalni broj znakova biti (trenutno) 30 znakova. Sa opcijama složenosti, ovaj broj će biti uglavnom više nego dovoljan, ali se postavlja pitanje zašto onda polje zaporke prima 64 znaka?

Ono što bi naglasio kao nedostatak, jest činjenica da se generator ne može pozvati u trenutku generiranja nove stavke. Dakle morati ćemo generirati zaporku, kopirati je i onda pokrenuti proces dodavanja nove C2 Password stavke, te je tamo zalijepiti. Opet napominjem da je ovo samo zaporka do 30 znakova, ako želite više, morati ćete upisati manualno dodatne znakove.

Nije baš neki veliki problem, ali bi bilo lijepo da se generator bolje integrira u cjelokupno rješenje.

Sigurno prosljeđivanje datoteka

Osim što se ovo rješenje može koristiti kao menadžer zaporki, C2 Password možete koristiti i za slanje vaših objekata (zaporki, prijava i slično) bilo kome (čak i ako ne koristi C2 Password) i to kompletno kriptirano (E2E).

Možete dodati manji ili veći broj datoteka, ali i mapa, kao jedan zadatak koji ćete nekome u konačnici i poslati. Koristeći Upload tipku moći ćete dodati materijal te zatim ga i konfigurirati putem čarobnjaka.

Materijal koji želite poslati
Postavke koje možete postaviti

Kada u konačnici odlučite što želite poslati možete definirati i nekoliko opcija, kao primjerice ime samog zadatka, datum kada isti ističe, pa čak i vodeni žig.

Na kraju, ovisno o vašoj pretplati, spremni ste poslati “pozivnicu”.

Jednom kada primatelj primi link (URL) moći će biti u mogućnosti pristupiti sadržaju nakon procesa identifikacije.

Primatelj mora unjeti svoju e-mail adresu kako bi dobio jednokratnu pristupnu zaporku
Unesite kod
Popis svih datotka koje su bile u prilogu
Priloge možete pregledati i bez prethodnog preuzimanja

Još jedan način kako možete doći do datoteka je skeniranje QR kôda.

Zaključak

Sa ovom prvom verzijom C2 Password-a, Synology je jasno dao do znanja da žele bolje iskoristiti svoju C2 platformu, ali prostora za poboljšanje (uvoz iz drugih aplikacija, bolja podrška za web preglednike, ekstenzije, generator zaporki…) uvijek ima te se nadam da će se to uskoro i dogoditi.

Trenutno, C2 Password je solidna platforma ako tražite neki menadžer zaporki koji radi po sistemu ključ u ruke, no ako ga usporedimo sa primjerice Bitwarden-om, postoji niz elemenata koji traže pažnju i dodatni rad.

Onda, jeste spremni? Čak i ako ne želite svoje osjetljive podatke predati Synology-u i njihovoj C2 platformi, nadam se da vas je ovaj članak barem malo probudio i natjerao postaviti pitanja vezana oko vašeg ponašanja kada su u pitanju pristupni podaci za sve moguće servise koje koristite danas. Nadam se da ćete do slijedećeg #passwordday biti bolje organizirani i zaštićeni za vaše dobro, neovisno o platformi koju odabere.

Da li će Synology uspjeti dugoročno nametnuti C2 Password kao kvalitetnog konkurenta već ionako velikom broju igrača? Možda, ostaje za vidjeti. Iskreno s obzirom na broj današnjih sigurnosnih problema, propusta, hacks i svega ostalog, svaki novi alat je dobrodošao. Nastojte ne biti dio statistike, odlučite se koristiti menadžer zaporki, da li je to C2 ili neki drugi proizvod.

Ako imate koji komentar na ovo rješenje ili na cijelu priču oko organizacije svojih pristupnih podataka, slobodno komentirajte u nastavku.