Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › T-Mobile Österreich…

Missverständnis? Kundenkennwort != Accountkennwort

  1. Thema

Neues Thema Ansicht wechseln


  1. Missverständnis? Kundenkennwort != Accountkennwort

    Autor: seronulpha 07.04.18 - 11:59

    Ich habe während meines Studiums im first und second level bei der Kundenbetreuung von Vodafone DSL gearbeitet. In der Software des Kundenbetreuers ist auf der "Startseite" eines jeden Kundenkontos das Kundenkennwort sichtbar, im Klartext.

    Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone, also dem Online-Kundencenter.

    Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon verwendet wird, wenn es um persönliche Daten geht. Zweiteres dient ausschließlich dem Login. Und dieses ist gehasht gespeichert und für den Kundenbetreuuer auch im gehashten Zustand nicht auslesbar. Die können nur ein neues festlegen.

    Möglicherweise ist der Twitter-Nutzer dem Missverständnis unterlegen, das viele Kunden haben: Die glauben, dass das Kundenkennwort das gleiche wie das Kundenloginkennwort ist.

    Mir wurde schon sicher hunderte Male ein Kennwort vom Login telefonisch durchgegeben.

    EDIT: Ob das bei der Telekom genauso gehandhabt wird, weiß ich nicht. Ich vermute dies jedoch.



    2 mal bearbeitet, zuletzt am 07.04.18 12:01 durch seronulpha.

  2. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: das_mav 07.04.18 - 12:11

    Danke, habe das genau so auch verstanden.

    Der Kundendienst hat nämlich überhaupt keinen Zugriff auf das Login PW, gehasht oder im Klartext ist dabei egal.

    Dieser Fall lässt sich also wie du sagst auch auf jeden Telco in Deutschland anwenden und betrifft nicht nur T-Mobile AT.

    Sie müssen eben etwas haben um den Kunden als solchen zu identifizieren, einzige "Lücke" ist dass auch ein Außenstehender theoretisch in der Lage ist das Gespräch zu belauschen um später mit den erschnüffelten Daten Dinge im Kundenkonto ändern lassen - u.a. halt eben auch das Login PW.

    In der gleichen Kategorie läuft Telefon Banking aber auch - ich glaube nicht, dass der MA erst die vorgesagte PIN irgendwo eingibt und das System danach einen Zugang freigibt - das wird auch auf der Startseite im Klartext stehen und mich würde es nicht wundern wenn es auch so gespeichert ist.

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  3. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: My1 07.04.18 - 13:01

    bild des tweets lesen hilft:

    https://pbs.twimg.com/media/DZsouX4W0AAIjmr.jpg:large

    das war der ursprung von allem, und es steht deutlich dass es um das login pass geht.

    Asperger inside(tm)

  4. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: das_mav 07.04.18 - 14:32

    Wenn du den Tweet gelesen hättest wäre dir auch klar geworden, dass die beiden Dinge durcheinander gewürfelt wurden.

    In einem SHOP oder am TELEFON wird man nach seinem KUNDENKENNWORT gefragt, das wird im Klartext im Benutzerprofil gespeichert

    Beim Login in den Account nach dem ACCOUNTPASSWORT, DIESES wird ganz sicher NICHT Unverschlüsselt irgendwo abgelegt sein.

    Immer noch 2 verschiedene Dinge.

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  5. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: fuzzy 07.04.18 - 14:42

    Auch dieses „Telefonkennwort“ müsste nicht im Klartext gespeichert werden. Der Mensch am anderen Ende braucht von seinem PC ja nur die Rückmeldung ob es passt oder nicht.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  6. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: uschatko 07.04.18 - 14:58

    seronulpha schrieb:
    --------------------------------------------------------------------------------
    > "Startseite" eines jeden Kundenkontos das
    > Kundenkennwort sichtbar, im Klartext.
    >
    > Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone,
    > also dem Online-Kundencenter.
    >
    > Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon
    > verwendet wird, wenn es um persönliche Daten geht.

    Das ist doch noch viel schlimmer. Da wird mit einer Nonchalance mit persönlichen Daten gearbeitet das es einen Hund samt Hütte schüttelt.

  7. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: My1 07.04.18 - 15:51

    naja beim telefonkennwort sehe ich es schon ein wenn man es nicht hasht denn dann hat man nicht die problematik wie man irgendwas jetzt schreibt oder sonstwelchen müll sondern man sieht es halt einfach und kann vergleichen.
    aber verschlüsseln mit keys die so nicht in der DB liegen wäre möglich.

    Asperger inside(tm)

  8. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: Bradolan 07.04.18 - 18:41

    https://twitter.com/SeloX_AUT/status/982387407986286598?s=20

  9. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: bark 08.04.18 - 07:38

    Keine Passwörter sollen im klar Text gespeichert werden


    seronulpha schrieb:
    --------------------------------------------------------------------------------
    > Ich habe während meines Studiums im first und second level bei der
    > Kundenbetreuung von Vodafone DSL gearbeitet. In der Software des
    > Kundenbetreuers ist auf der "Startseite" eines jeden Kundenkontos das
    > Kundenkennwort sichtbar, im Klartext.
    >
    > Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone,
    > also dem Online-Kundencenter.
    >
    > Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon
    > verwendet wird, wenn es um persönliche Daten geht. Zweiteres dient
    > ausschließlich dem Login. Und dieses ist gehasht gespeichert und für den
    > Kundenbetreuuer auch im gehashten Zustand nicht auslesbar. Die können nur
    > ein neues festlegen.
    >
    > Möglicherweise ist der Twitter-Nutzer dem Missverständnis unterlegen, das
    > viele Kunden haben: Die glauben, dass das Kundenkennwort das gleiche wie
    > das Kundenloginkennwort ist.
    >
    > Mir wurde schon sicher hunderte Male ein Kennwort vom Login telefonisch
    > durchgegeben.
    >
    > EDIT: Ob das bei der Telekom genauso gehandhabt wird, weiß ich nicht. Ich
    > vermute dies jedoch.

  10. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: mieze1 08.04.18 - 19:21

    Bei den meisten werden ohnehin beide Kennwörter gleich sein. Somit ist es kein großer Sicherheitsgewinn.

  11. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: b.mey 09.04.18 - 09:13

    Die Seriöse Methode bei Kundenpasswörtern am Telefon im Kontakt mit Kundenbetreuern sieht übrigens so aus:

    Der Kundenbetreuer hat ein Eingabefeld in seiner Anwendung, nach Aufruf des Kundenprofils. Er muss dort das Kennwort eingeben, welches der Kunde ihm nennt. Ist es richtig geht es weiter. Das Passwort wird mit einem salt-Hash in der Datenbank abgelegt und eine Klartext Ablage ist nicht erforderlich.

    Natürlich kann der Kundenbetreuer am Telefon dann das Kennwort notieren und kennt es, das wird natürlich intern per Anweisung verboten und entsprechend regelmäßig kontrolliert. Und geht es um wirklich sensible Informationen reicht auch das nicht aus, und ein sich telefonisch meldender Kunde muss zu einem Voice-Portal zur Legitimation weitergeleitet werden, wo er dann ohne menschlichen Kontakt über eine PIN-Eingabe legitimiert wird und zurück zum Kundenberater geleitet wird. Der sieht dann über seine CTI Oberfläche, dass der Kunde nun legitimiert ist, und kann im Programm entsprechende Aufträge in seinem Namen umsetzen. Das dieses Niveau bei "einfachen" Telefonverträgen nicht genutzt wird, lässt sich argumentieren und ist für mein Verständnis ok. Bei einer Krankenkasse und entsprechenden Gesundheitsdaten würde ich das aber schon etwas anders beurteilen, besonders nach EU-DSGVO!


    Es gibt aber in keinem Fall irgendeinen Grund ein Kundenpasswort im Klartext abzulegen. Denn ein Legitimationsmittel für Kunden, dass jedem Mitarbeiter jederzeit zur Verfügung steht, ist wertlos als Legitimationsmittel. Denn in der Protokollierung ließe sich nie nachweisen, ob sich der vom Berater gestartete Auftrag wirklich vom Kunden beauftragt wurde oder nicht. Dies ginge dann nur noch per Telefonaufzeichnung. Und selbst über die, ist der Kunde nicht eindeutig über die Stimme legitimiert, da wir immer noch nur reduzierte Sprachqualität im Telfonnetz haben und somit die Bandbreite des Audios in der Regel nicht ausreicht um die Stimme als biometrisches Merkmal nutzen zu können.

    Es sollte daher auch schon im Interesse des Dienstleisters sein, dass er Kundenpasswörter oder ähnliche Legitimationsmittel nicht für seine Mitarbeiter zugänglich bzw. lesbar abspeichert!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main
  3. Bosch Gruppe, Grasbrunn
  4. SV Informatik GmbH, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)
  2. 5€ inkl. FSK-18-Versand
  3. 5€ inkl. FSK-18-Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Europäische Netzpolitik: Schlimmer geht's immer
Europäische Netzpolitik
Schlimmer geht's immer

Lobbyeinfluss, Endlosdebatten und Blockaden: Die EU hat in den vergangenen Jahren in der Netzpolitik nur wenige gute Ergebnisse erzielt. Nach der Europawahl im Mai gibt es noch viele Herausforderungen für einen digitalen Binnenmarkt.
Eine Analyse von Friedhelm Greis


    Elektroauto: Eine Branche vor der Zerreißprobe
    Elektroauto
    Eine Branche vor der Zerreißprobe

    2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
    Eine Analyse von Dirk Kunde

    1. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren
    2. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
    3. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie

    Datenleak: Die Fehler, die 0rbit überführten
    Datenleak
    Die Fehler, die 0rbit überführten

    Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

    1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
    2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
    3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

    1. Macbook Pro: Core i9 immer noch langsamer als Core i7
      Macbook Pro
      Core i9 immer noch langsamer als Core i7

      Apple bietet das Macbook Pro auch mit Core i9 mit sechs Kernen statt mit Core i7 mit vier an. Der Aufpreis von gleich 340 Euro ist verschwendet, weil der Hexacore praktisch keine Mehrleistung liefert.

    2. Elektromobilität: Gesetzentwurf zu privaten Ladesäulen frühestens Ende 2019
      Elektromobilität
      Gesetzentwurf zu privaten Ladesäulen frühestens Ende 2019

      Die Bundesregierung lässt sich weiter Zeit mit dem gesetzlichen Anspruch auf Ladesäulen am heimischen Parkplatz. Bayern lehnt einen Anspruch ohnehin ab und schlägt hohe Zustimmungshürden vor.

    3. 970 Evo Plus ausprobiert: Samsung macht die Evo-SSD flotter
      970 Evo Plus ausprobiert
      Samsung macht die Evo-SSD flotter

      Mit der 970 Evo verkauft Samsung eine sehr beliebte NVMe-SSD, der Nachfolger heißt 970 Evo Plus: Dieses Modell nutzt deutlich flotteren Flash-Speicher, die Preise senken die Koreaner dennoch.


    1. 16:19

    2. 16:03

    3. 16:00

    4. 15:52

    5. 15:26

    6. 15:09

    7. 14:56

    8. 14:41