Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › T-Mobile Österreich…

Missverständnis? Kundenkennwort != Accountkennwort

  1. Thema

Neues Thema Ansicht wechseln


  1. Missverständnis? Kundenkennwort != Accountkennwort

    Autor: seronulpha 07.04.18 - 11:59

    Ich habe während meines Studiums im first und second level bei der Kundenbetreuung von Vodafone DSL gearbeitet. In der Software des Kundenbetreuers ist auf der "Startseite" eines jeden Kundenkontos das Kundenkennwort sichtbar, im Klartext.

    Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone, also dem Online-Kundencenter.

    Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon verwendet wird, wenn es um persönliche Daten geht. Zweiteres dient ausschließlich dem Login. Und dieses ist gehasht gespeichert und für den Kundenbetreuuer auch im gehashten Zustand nicht auslesbar. Die können nur ein neues festlegen.

    Möglicherweise ist der Twitter-Nutzer dem Missverständnis unterlegen, das viele Kunden haben: Die glauben, dass das Kundenkennwort das gleiche wie das Kundenloginkennwort ist.

    Mir wurde schon sicher hunderte Male ein Kennwort vom Login telefonisch durchgegeben.

    EDIT: Ob das bei der Telekom genauso gehandhabt wird, weiß ich nicht. Ich vermute dies jedoch.



    2 mal bearbeitet, zuletzt am 07.04.18 12:01 durch seronulpha.

  2. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: das_mav 07.04.18 - 12:11

    Danke, habe das genau so auch verstanden.

    Der Kundendienst hat nämlich überhaupt keinen Zugriff auf das Login PW, gehasht oder im Klartext ist dabei egal.

    Dieser Fall lässt sich also wie du sagst auch auf jeden Telco in Deutschland anwenden und betrifft nicht nur T-Mobile AT.

    Sie müssen eben etwas haben um den Kunden als solchen zu identifizieren, einzige "Lücke" ist dass auch ein Außenstehender theoretisch in der Lage ist das Gespräch zu belauschen um später mit den erschnüffelten Daten Dinge im Kundenkonto ändern lassen - u.a. halt eben auch das Login PW.

    In der gleichen Kategorie läuft Telefon Banking aber auch - ich glaube nicht, dass der MA erst die vorgesagte PIN irgendwo eingibt und das System danach einen Zugang freigibt - das wird auch auf der Startseite im Klartext stehen und mich würde es nicht wundern wenn es auch so gespeichert ist.

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  3. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: My1 07.04.18 - 13:01

    bild des tweets lesen hilft:

    https://pbs.twimg.com/media/DZsouX4W0AAIjmr.jpg:large

    das war der ursprung von allem, und es steht deutlich dass es um das login pass geht.

    Asperger inside(tm)

  4. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: das_mav 07.04.18 - 14:32

    Wenn du den Tweet gelesen hättest wäre dir auch klar geworden, dass die beiden Dinge durcheinander gewürfelt wurden.

    In einem SHOP oder am TELEFON wird man nach seinem KUNDENKENNWORT gefragt, das wird im Klartext im Benutzerprofil gespeichert

    Beim Login in den Account nach dem ACCOUNTPASSWORT, DIESES wird ganz sicher NICHT Unverschlüsselt irgendwo abgelegt sein.

    Immer noch 2 verschiedene Dinge.

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  5. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: fuzzy 07.04.18 - 14:42

    Auch dieses „Telefonkennwort“ müsste nicht im Klartext gespeichert werden. Der Mensch am anderen Ende braucht von seinem PC ja nur die Rückmeldung ob es passt oder nicht.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  6. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: uschatko 07.04.18 - 14:58

    seronulpha schrieb:
    --------------------------------------------------------------------------------
    > "Startseite" eines jeden Kundenkontos das
    > Kundenkennwort sichtbar, im Klartext.
    >
    > Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone,
    > also dem Online-Kundencenter.
    >
    > Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon
    > verwendet wird, wenn es um persönliche Daten geht.

    Das ist doch noch viel schlimmer. Da wird mit einer Nonchalance mit persönlichen Daten gearbeitet das es einen Hund samt Hütte schüttelt.

  7. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: My1 07.04.18 - 15:51

    naja beim telefonkennwort sehe ich es schon ein wenn man es nicht hasht denn dann hat man nicht die problematik wie man irgendwas jetzt schreibt oder sonstwelchen müll sondern man sieht es halt einfach und kann vergleichen.
    aber verschlüsseln mit keys die so nicht in der DB liegen wäre möglich.

    Asperger inside(tm)

  8. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: Bradolan 07.04.18 - 18:41

    https://twitter.com/SeloX_AUT/status/982387407986286598?s=20

  9. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: bark 08.04.18 - 07:38

    Keine Passwörter sollen im klar Text gespeichert werden


    seronulpha schrieb:
    --------------------------------------------------------------------------------
    > Ich habe während meines Studiums im first und second level bei der
    > Kundenbetreuung von Vodafone DSL gearbeitet. In der Software des
    > Kundenbetreuers ist auf der "Startseite" eines jeden Kundenkontos das
    > Kundenkennwort sichtbar, im Klartext.
    >
    > Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone,
    > also dem Online-Kundencenter.
    >
    > Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon
    > verwendet wird, wenn es um persönliche Daten geht. Zweiteres dient
    > ausschließlich dem Login. Und dieses ist gehasht gespeichert und für den
    > Kundenbetreuuer auch im gehashten Zustand nicht auslesbar. Die können nur
    > ein neues festlegen.
    >
    > Möglicherweise ist der Twitter-Nutzer dem Missverständnis unterlegen, das
    > viele Kunden haben: Die glauben, dass das Kundenkennwort das gleiche wie
    > das Kundenloginkennwort ist.
    >
    > Mir wurde schon sicher hunderte Male ein Kennwort vom Login telefonisch
    > durchgegeben.
    >
    > EDIT: Ob das bei der Telekom genauso gehandhabt wird, weiß ich nicht. Ich
    > vermute dies jedoch.

  10. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: mieze1 08.04.18 - 19:21

    Bei den meisten werden ohnehin beide Kennwörter gleich sein. Somit ist es kein großer Sicherheitsgewinn.

  11. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: b.mey 09.04.18 - 09:13

    Die Seriöse Methode bei Kundenpasswörtern am Telefon im Kontakt mit Kundenbetreuern sieht übrigens so aus:

    Der Kundenbetreuer hat ein Eingabefeld in seiner Anwendung, nach Aufruf des Kundenprofils. Er muss dort das Kennwort eingeben, welches der Kunde ihm nennt. Ist es richtig geht es weiter. Das Passwort wird mit einem salt-Hash in der Datenbank abgelegt und eine Klartext Ablage ist nicht erforderlich.

    Natürlich kann der Kundenbetreuer am Telefon dann das Kennwort notieren und kennt es, das wird natürlich intern per Anweisung verboten und entsprechend regelmäßig kontrolliert. Und geht es um wirklich sensible Informationen reicht auch das nicht aus, und ein sich telefonisch meldender Kunde muss zu einem Voice-Portal zur Legitimation weitergeleitet werden, wo er dann ohne menschlichen Kontakt über eine PIN-Eingabe legitimiert wird und zurück zum Kundenberater geleitet wird. Der sieht dann über seine CTI Oberfläche, dass der Kunde nun legitimiert ist, und kann im Programm entsprechende Aufträge in seinem Namen umsetzen. Das dieses Niveau bei "einfachen" Telefonverträgen nicht genutzt wird, lässt sich argumentieren und ist für mein Verständnis ok. Bei einer Krankenkasse und entsprechenden Gesundheitsdaten würde ich das aber schon etwas anders beurteilen, besonders nach EU-DSGVO!


    Es gibt aber in keinem Fall irgendeinen Grund ein Kundenpasswort im Klartext abzulegen. Denn ein Legitimationsmittel für Kunden, dass jedem Mitarbeiter jederzeit zur Verfügung steht, ist wertlos als Legitimationsmittel. Denn in der Protokollierung ließe sich nie nachweisen, ob sich der vom Berater gestartete Auftrag wirklich vom Kunden beauftragt wurde oder nicht. Dies ginge dann nur noch per Telefonaufzeichnung. Und selbst über die, ist der Kunde nicht eindeutig über die Stimme legitimiert, da wir immer noch nur reduzierte Sprachqualität im Telfonnetz haben und somit die Bandbreite des Audios in der Regel nicht ausreicht um die Stimme als biometrisches Merkmal nutzen zu können.

    Es sollte daher auch schon im Interesse des Dienstleisters sein, dass er Kundenpasswörter oder ähnliche Legitimationsmittel nicht für seine Mitarbeiter zugänglich bzw. lesbar abspeichert!

Neues Thema Ansicht wechseln


Dieses Thema wurde geschlossen.

Stellenmarkt
  1. EOS GmbH Electro Optical Systems, Krailling
  2. Landeshauptstadt München, München
  3. Hays AG, Affalterbach
  4. freenet Group, Büdelsdorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Overwatch GOTY für 22,29€ und South Park - Der Stab der Wahrheit für 1,99€)
  2. 999€ (Vergleichspreis 1.199€)
  3. 2.499€ (zusätzlich 10% Rabatt mit Prime Student) - Vergleichspreis 2.899€
  4. 629€ (zusätzlich 10% Rabatt mit Prime Student) - Vergleichspreis 750€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
Business-Festival
Cebit verliert 70.000 Besucher und ist hochzufrieden

Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

  1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


    Deutsche Siri auf dem Homepod im Test: Amazon und Google können sich entspannt zurücklehnen
    Deutsche Siri auf dem Homepod im Test
    Amazon und Google können sich entspannt zurücklehnen

    In diesem Monat kommt der dritte digitale Assistent auf einem smarten Lautsprecher nach Deutschland: Siri. Wir haben uns angehört, was die deutsche Version auf dem Homepod leistet.
    Ein Test von Ingo Pakalski

    1. Patentantrag von Apple Neues Verfahren könnte Siri schlauer machen
    2. Siri vs. Google Assistant Apple schnappt sich Googles KI-Chefentwickler
    3. Digitaler Assistent Apple will Siri verbessern

    1. Glücksspiel: Valve schränkt Steam-Marktplatz in den Niederlanden ein
      Glücksspiel
      Valve schränkt Steam-Marktplatz in den Niederlanden ein

      Pünktlich zum Ablauf einer Frist durch die niederländische Behörde für Glücksspiel sperrt Valve den Handel und Tausch von virtuellen Objekten in Counter-Strike und Dota 2 in dem Land - ohne Vorwarnung. Mit etwas Pech sind teuer gekaufte Gegenstände nun vorerst wertlos.

    2. Sim als App: Sipgate Satellite Plus kostet fünf Euro im Monat
      Sim als App
      Sipgate Satellite Plus kostet fünf Euro im Monat

      Unbegrenztes Telefonieren mit der App, die alles können soll, was eine SIM-Karte bietet: Sipgate Satellite Plus ist jetzt verfügbar.

    3. Samsung: Galaxy A8 kommt für 450 Euro nach Deutschland
      Samsung
      Galaxy A8 kommt für 450 Euro nach Deutschland

      Samsung bringt das in Asien bereits erhältliche Android-Smartphone Galaxy A8 mit dualer Frontkamera nach Deutschland: Das Gerät ist für ein Mittelklassegerät gut ausgestattet, aber nicht gerade preisgünstig.


    1. 18:16

    2. 17:59

    3. 17:35

    4. 17:16

    5. 16:43

    6. 16:23

    7. 16:00

    8. 15:20