Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › T-Mobile Österreich…

Missverständnis? Kundenkennwort != Accountkennwort

  1. Thema

Neues Thema Ansicht wechseln


  1. Missverständnis? Kundenkennwort != Accountkennwort

    Autor: seronulpha 07.04.18 - 11:59

    Ich habe während meines Studiums im first und second level bei der Kundenbetreuung von Vodafone DSL gearbeitet. In der Software des Kundenbetreuers ist auf der "Startseite" eines jeden Kundenkontos das Kundenkennwort sichtbar, im Klartext.

    Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone, also dem Online-Kundencenter.

    Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon verwendet wird, wenn es um persönliche Daten geht. Zweiteres dient ausschließlich dem Login. Und dieses ist gehasht gespeichert und für den Kundenbetreuuer auch im gehashten Zustand nicht auslesbar. Die können nur ein neues festlegen.

    Möglicherweise ist der Twitter-Nutzer dem Missverständnis unterlegen, das viele Kunden haben: Die glauben, dass das Kundenkennwort das gleiche wie das Kundenloginkennwort ist.

    Mir wurde schon sicher hunderte Male ein Kennwort vom Login telefonisch durchgegeben.

    EDIT: Ob das bei der Telekom genauso gehandhabt wird, weiß ich nicht. Ich vermute dies jedoch.



    2 mal bearbeitet, zuletzt am 07.04.18 12:01 durch seronulpha.

  2. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: das_mav 07.04.18 - 12:11

    Danke, habe das genau so auch verstanden.

    Der Kundendienst hat nämlich überhaupt keinen Zugriff auf das Login PW, gehasht oder im Klartext ist dabei egal.

    Dieser Fall lässt sich also wie du sagst auch auf jeden Telco in Deutschland anwenden und betrifft nicht nur T-Mobile AT.

    Sie müssen eben etwas haben um den Kunden als solchen zu identifizieren, einzige "Lücke" ist dass auch ein Außenstehender theoretisch in der Lage ist das Gespräch zu belauschen um später mit den erschnüffelten Daten Dinge im Kundenkonto ändern lassen - u.a. halt eben auch das Login PW.

    In der gleichen Kategorie läuft Telefon Banking aber auch - ich glaube nicht, dass der MA erst die vorgesagte PIN irgendwo eingibt und das System danach einen Zugang freigibt - das wird auch auf der Startseite im Klartext stehen und mich würde es nicht wundern wenn es auch so gespeichert ist.

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  3. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: My1 07.04.18 - 13:01

    bild des tweets lesen hilft:

    https://pbs.twimg.com/media/DZsouX4W0AAIjmr.jpg:large

    das war der ursprung von allem, und es steht deutlich dass es um das login pass geht.

    Asperger inside(tm)

  4. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: das_mav 07.04.18 - 14:32

    Wenn du den Tweet gelesen hättest wäre dir auch klar geworden, dass die beiden Dinge durcheinander gewürfelt wurden.

    In einem SHOP oder am TELEFON wird man nach seinem KUNDENKENNWORT gefragt, das wird im Klartext im Benutzerprofil gespeichert

    Beim Login in den Account nach dem ACCOUNTPASSWORT, DIESES wird ganz sicher NICHT Unverschlüsselt irgendwo abgelegt sein.

    Immer noch 2 verschiedene Dinge.

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  5. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: fuzzy 07.04.18 - 14:42

    Auch dieses „Telefonkennwort“ müsste nicht im Klartext gespeichert werden. Der Mensch am anderen Ende braucht von seinem PC ja nur die Rückmeldung ob es passt oder nicht.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  6. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: uschatko 07.04.18 - 14:58

    seronulpha schrieb:
    --------------------------------------------------------------------------------
    > "Startseite" eines jeden Kundenkontos das
    > Kundenkennwort sichtbar, im Klartext.
    >
    > Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone,
    > also dem Online-Kundencenter.
    >
    > Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon
    > verwendet wird, wenn es um persönliche Daten geht.

    Das ist doch noch viel schlimmer. Da wird mit einer Nonchalance mit persönlichen Daten gearbeitet das es einen Hund samt Hütte schüttelt.

  7. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: My1 07.04.18 - 15:51

    naja beim telefonkennwort sehe ich es schon ein wenn man es nicht hasht denn dann hat man nicht die problematik wie man irgendwas jetzt schreibt oder sonstwelchen müll sondern man sieht es halt einfach und kann vergleichen.
    aber verschlüsseln mit keys die so nicht in der DB liegen wäre möglich.

    Asperger inside(tm)

  8. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: Bradolan 07.04.18 - 18:41

    https://twitter.com/SeloX_AUT/status/982387407986286598?s=20

  9. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: bark 08.04.18 - 07:38

    Keine Passwörter sollen im klar Text gespeichert werden


    seronulpha schrieb:
    --------------------------------------------------------------------------------
    > Ich habe während meines Studiums im first und second level bei der
    > Kundenbetreuung von Vodafone DSL gearbeitet. In der Software des
    > Kundenbetreuers ist auf der "Startseite" eines jeden Kundenkontos das
    > Kundenkennwort sichtbar, im Klartext.
    >
    > Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone,
    > also dem Online-Kundencenter.
    >
    > Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon
    > verwendet wird, wenn es um persönliche Daten geht. Zweiteres dient
    > ausschließlich dem Login. Und dieses ist gehasht gespeichert und für den
    > Kundenbetreuuer auch im gehashten Zustand nicht auslesbar. Die können nur
    > ein neues festlegen.
    >
    > Möglicherweise ist der Twitter-Nutzer dem Missverständnis unterlegen, das
    > viele Kunden haben: Die glauben, dass das Kundenkennwort das gleiche wie
    > das Kundenloginkennwort ist.
    >
    > Mir wurde schon sicher hunderte Male ein Kennwort vom Login telefonisch
    > durchgegeben.
    >
    > EDIT: Ob das bei der Telekom genauso gehandhabt wird, weiß ich nicht. Ich
    > vermute dies jedoch.

  10. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: mieze1 08.04.18 - 19:21

    Bei den meisten werden ohnehin beide Kennwörter gleich sein. Somit ist es kein großer Sicherheitsgewinn.

  11. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: b.mey 09.04.18 - 09:13

    Die Seriöse Methode bei Kundenpasswörtern am Telefon im Kontakt mit Kundenbetreuern sieht übrigens so aus:

    Der Kundenbetreuer hat ein Eingabefeld in seiner Anwendung, nach Aufruf des Kundenprofils. Er muss dort das Kennwort eingeben, welches der Kunde ihm nennt. Ist es richtig geht es weiter. Das Passwort wird mit einem salt-Hash in der Datenbank abgelegt und eine Klartext Ablage ist nicht erforderlich.

    Natürlich kann der Kundenbetreuer am Telefon dann das Kennwort notieren und kennt es, das wird natürlich intern per Anweisung verboten und entsprechend regelmäßig kontrolliert. Und geht es um wirklich sensible Informationen reicht auch das nicht aus, und ein sich telefonisch meldender Kunde muss zu einem Voice-Portal zur Legitimation weitergeleitet werden, wo er dann ohne menschlichen Kontakt über eine PIN-Eingabe legitimiert wird und zurück zum Kundenberater geleitet wird. Der sieht dann über seine CTI Oberfläche, dass der Kunde nun legitimiert ist, und kann im Programm entsprechende Aufträge in seinem Namen umsetzen. Das dieses Niveau bei "einfachen" Telefonverträgen nicht genutzt wird, lässt sich argumentieren und ist für mein Verständnis ok. Bei einer Krankenkasse und entsprechenden Gesundheitsdaten würde ich das aber schon etwas anders beurteilen, besonders nach EU-DSGVO!


    Es gibt aber in keinem Fall irgendeinen Grund ein Kundenpasswort im Klartext abzulegen. Denn ein Legitimationsmittel für Kunden, dass jedem Mitarbeiter jederzeit zur Verfügung steht, ist wertlos als Legitimationsmittel. Denn in der Protokollierung ließe sich nie nachweisen, ob sich der vom Berater gestartete Auftrag wirklich vom Kunden beauftragt wurde oder nicht. Dies ginge dann nur noch per Telefonaufzeichnung. Und selbst über die, ist der Kunde nicht eindeutig über die Stimme legitimiert, da wir immer noch nur reduzierte Sprachqualität im Telfonnetz haben und somit die Bandbreite des Audios in der Regel nicht ausreicht um die Stimme als biometrisches Merkmal nutzen zu können.

    Es sollte daher auch schon im Interesse des Dienstleisters sein, dass er Kundenpasswörter oder ähnliche Legitimationsmittel nicht für seine Mitarbeiter zugänglich bzw. lesbar abspeichert!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadtwerke Karlsruhe GmbH, Karlsruhe
  2. BASF Services Europe GmbH, Berlin
  3. Schaeffler AG, Herzogenaurach
  4. Abrechnungszentrum Emmendingen, Emmendingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-31%) 23,99€
  2. 50,99€ mit Vorbesteller-Preisgarantie
  3. 59,99€ mit Vorbesteller-Preisgarantie
  4. 59,99€ mit Vorbesteller-Preisgarantie


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gesetzesvorschlag: Regierung fordert Duldung privater Ladesäulen
Gesetzesvorschlag
Regierung fordert Duldung privater Ladesäulen

Die Bundesregierung hat ihren Entwurf zur Förderung privater Ladestationen für Elektroautos vorgelegt. Sowohl Mieter als auch Eigentümer erhalten damit einen gesetzlichen Anspruch. Aber es kann sehr teuer werden.
Ein Bericht von Friedhelm Greis

  1. Sono Motors Elektroauto Sion für 16.000 Euro schon 7.000 Mal reserviert
  2. Elektromobilität iEV X ist ein Ausziehelektroauto
  3. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam

HDR-Capture im Test: High-End-Streaming von der Couch aus
HDR-Capture im Test
High-End-Streaming von der Couch aus

Was bringen all die schönen neuen Farben auf dem 4K-HDR-TV, wenn man sie nicht speichern kann oder während des Livestreams nicht mehr selber sieht? Avermedia bietet mit den Capture-Karten Live Gamer 4K und Live Gamer Ultra erstmals bezahlbare Lösungen an. PC-Spieler sehen mit ihnen sogar bis zu 240 Bilder pro Sekunde.
Von Michael Wieczorek

  1. DisplayHDR Vesa veröffentlicht erstes Testwerkzeug für HDR-Standard
  2. HDMI 2.0 und Displayport HDR bleibt Handarbeit
  3. Intel Linux bekommt experimentelle HDR-Unterstützung

Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. Threadripper 2990X AMDs 32-Kerner soll mit 4,2 GHz laufen
  2. AMD Threadripper v2 mit 32 Kernen erscheint im Sommer 2018
  3. Raven Ridge AMDs Athlon kehrt zurück

  1. Turing-Grafikkarte: Nvidia stellt drei Geforce RTX mit Raytracing-Cores vor
    Turing-Grafikkarte
    Nvidia stellt drei Geforce RTX mit Raytracing-Cores vor

    Gamescom 2018 Ab September 2018 verkauft Nvidia die Geforce RTX 2080 Ti, die Geforce RTX 2080 und später die Geforce RTX 2070. Die Grafikkarten mit Turing-Architektur schlagen ihre Vorgänger, die Preise und die Leistungsaufnahme steigen. Dafür sieht Raytracing in Battlefield 5 schick aus.

  2. Wemacom Breitband: Glasfaserausbaupläne für Mecklenburg-Vorpommern beschlossen
    Wemacom Breitband
    Glasfaserausbaupläne für Mecklenburg-Vorpommern beschlossen

    Mecklenburg-Vorpommern bekommt in einem Landkreis echte Glasfaser. Doch nicht die Telekom, sondern ein kommunales Unternehmen kann sich die Aufträge sichern.

  3. Anno 1800 angespielt: Von Kartoffelbauern, Großkapitalisten und rosa Delfinen
    Anno 1800 angespielt
    Von Kartoffelbauern, Großkapitalisten und rosa Delfinen

    Gamescom 2018 Wir bauen eine Klassengesellschaft: In Anno 1800 müssen wir auf die Zusammensetzung der Gesellschaft achten - was gar nicht so einfach ist, wie Golem.de beim Anspielen des Aufbauspiels festgestellt hat. Als Ausgleich gibt es eine neue, ebenso gelungene wie simple Komfortfunktion.


  1. 21:20

  2. 19:03

  3. 18:10

  4. 17:47

  5. 17:10

  6. 16:55

  7. 15:55

  8. 13:45