Beim "Zugang von unterwegs" würde ich eventuell noch anregen sich darüber Gedanken zu machen, worauf will ich denn zugreifen?!
Wenn ich bereits im Vorfeld eine Ahnung habe worauf ich von unterwegs zugreifen können muss, dann kann man diese Daten ggf. auch verschlüsselt in einer Dropbox, OneDrive oder ähnlichen Dienst verfügbar machen und habe erneut einen Grund weniger den Zugriff von außen auf das gesamte NAS/Netz ermöglichen zu müssen.
Für den ständigen Zugriff von außen auf meine Musik nutze ich wiederum bspw. Subsonic. Damit mache ich zwar einen Weg von außen über einen Port frei, jedoch auf einen - meiner Meinung nach - völlig unkritischen -Bereich.
Passwort(e)
Die Idee mit dem eingängigen Satz zur Generierung eines sicheren Passwortes ist zunächst einmal ein guter Ansatz, jedoch hilft der nicht mehr wenn ich dieses gute/sichere Passwort überall verwende.
Sollte einmal ein Dienst gehackt werden und die Passworte wurden dort nicht verschlüsselt (mehrfach gesalzen) abgelegt, dann ist das auch übel.
Ich habe mir angewöhnt für jeden Zugang ein zufälliges Passwort zu generieren und dies in einem Passwort-Safe abzulegen.
Ich selbst verwende hierfür KeePass. Es gibt allerdings auch für das QNAP-Nas und auch für Docker ähnliche Programme (ich komme gerade nicht auf den Namen).
KeePass und Apps gibt es sowohl für Win, MAC, iOS als auch Android.