Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › T-Mobile Österreich…

Missverständnis? Kundenkennwort != Accountkennwort

  1. Thema

Neues Thema Ansicht wechseln


  1. Missverständnis? Kundenkennwort != Accountkennwort

    Autor: seronulpha 07.04.18 - 11:59

    Ich habe während meines Studiums im first und second level bei der Kundenbetreuung von Vodafone DSL gearbeitet. In der Software des Kundenbetreuers ist auf der "Startseite" eines jeden Kundenkontos das Kundenkennwort sichtbar, im Klartext.

    Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone, also dem Online-Kundencenter.

    Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon verwendet wird, wenn es um persönliche Daten geht. Zweiteres dient ausschließlich dem Login. Und dieses ist gehasht gespeichert und für den Kundenbetreuuer auch im gehashten Zustand nicht auslesbar. Die können nur ein neues festlegen.

    Möglicherweise ist der Twitter-Nutzer dem Missverständnis unterlegen, das viele Kunden haben: Die glauben, dass das Kundenkennwort das gleiche wie das Kundenloginkennwort ist.

    Mir wurde schon sicher hunderte Male ein Kennwort vom Login telefonisch durchgegeben.

    EDIT: Ob das bei der Telekom genauso gehandhabt wird, weiß ich nicht. Ich vermute dies jedoch.



    2 mal bearbeitet, zuletzt am 07.04.18 12:01 durch seronulpha.

  2. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: das_mav 07.04.18 - 12:11

    Danke, habe das genau so auch verstanden.

    Der Kundendienst hat nämlich überhaupt keinen Zugriff auf das Login PW, gehasht oder im Klartext ist dabei egal.

    Dieser Fall lässt sich also wie du sagst auch auf jeden Telco in Deutschland anwenden und betrifft nicht nur T-Mobile AT.

    Sie müssen eben etwas haben um den Kunden als solchen zu identifizieren, einzige "Lücke" ist dass auch ein Außenstehender theoretisch in der Lage ist das Gespräch zu belauschen um später mit den erschnüffelten Daten Dinge im Kundenkonto ändern lassen - u.a. halt eben auch das Login PW.

    In der gleichen Kategorie läuft Telefon Banking aber auch - ich glaube nicht, dass der MA erst die vorgesagte PIN irgendwo eingibt und das System danach einen Zugang freigibt - das wird auch auf der Startseite im Klartext stehen und mich würde es nicht wundern wenn es auch so gespeichert ist.

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  3. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: My1 07.04.18 - 13:01

    bild des tweets lesen hilft:

    https://pbs.twimg.com/media/DZsouX4W0AAIjmr.jpg:large

    das war der ursprung von allem, und es steht deutlich dass es um das login pass geht.

    Asperger inside(tm)

  4. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: das_mav 07.04.18 - 14:32

    Wenn du den Tweet gelesen hättest wäre dir auch klar geworden, dass die beiden Dinge durcheinander gewürfelt wurden.

    In einem SHOP oder am TELEFON wird man nach seinem KUNDENKENNWORT gefragt, das wird im Klartext im Benutzerprofil gespeichert

    Beim Login in den Account nach dem ACCOUNTPASSWORT, DIESES wird ganz sicher NICHT Unverschlüsselt irgendwo abgelegt sein.

    Immer noch 2 verschiedene Dinge.

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  5. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: fuzzy 07.04.18 - 14:42

    Auch dieses „Telefonkennwort“ müsste nicht im Klartext gespeichert werden. Der Mensch am anderen Ende braucht von seinem PC ja nur die Rückmeldung ob es passt oder nicht.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  6. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: uschatko 07.04.18 - 14:58

    seronulpha schrieb:
    --------------------------------------------------------------------------------
    > "Startseite" eines jeden Kundenkontos das
    > Kundenkennwort sichtbar, im Klartext.
    >
    > Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone,
    > also dem Online-Kundencenter.
    >
    > Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon
    > verwendet wird, wenn es um persönliche Daten geht.

    Das ist doch noch viel schlimmer. Da wird mit einer Nonchalance mit persönlichen Daten gearbeitet das es einen Hund samt Hütte schüttelt.

  7. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: My1 07.04.18 - 15:51

    naja beim telefonkennwort sehe ich es schon ein wenn man es nicht hasht denn dann hat man nicht die problematik wie man irgendwas jetzt schreibt oder sonstwelchen müll sondern man sieht es halt einfach und kann vergleichen.
    aber verschlüsseln mit keys die so nicht in der DB liegen wäre möglich.

    Asperger inside(tm)

  8. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: Bradolan 07.04.18 - 18:41

    https://twitter.com/SeloX_AUT/status/982387407986286598?s=20

  9. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: bark 08.04.18 - 07:38

    Keine Passwörter sollen im klar Text gespeichert werden


    seronulpha schrieb:
    --------------------------------------------------------------------------------
    > Ich habe während meines Studiums im first und second level bei der
    > Kundenbetreuung von Vodafone DSL gearbeitet. In der Software des
    > Kundenbetreuers ist auf der "Startseite" eines jeden Kundenkontos das
    > Kundenkennwort sichtbar, im Klartext.
    >
    > Das ist aber nicht das gleiche wie das Login-Kennwort für MeinVodafone,
    > also dem Online-Kundencenter.
    >
    > Ersteres ist das Vertragskennwort, das zur Authentifizierung am Telefon
    > verwendet wird, wenn es um persönliche Daten geht. Zweiteres dient
    > ausschließlich dem Login. Und dieses ist gehasht gespeichert und für den
    > Kundenbetreuuer auch im gehashten Zustand nicht auslesbar. Die können nur
    > ein neues festlegen.
    >
    > Möglicherweise ist der Twitter-Nutzer dem Missverständnis unterlegen, das
    > viele Kunden haben: Die glauben, dass das Kundenkennwort das gleiche wie
    > das Kundenloginkennwort ist.
    >
    > Mir wurde schon sicher hunderte Male ein Kennwort vom Login telefonisch
    > durchgegeben.
    >
    > EDIT: Ob das bei der Telekom genauso gehandhabt wird, weiß ich nicht. Ich
    > vermute dies jedoch.

  10. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: mieze1 08.04.18 - 19:21

    Bei den meisten werden ohnehin beide Kennwörter gleich sein. Somit ist es kein großer Sicherheitsgewinn.

  11. Re: Missverständnis? Kundenkennwort != Accountkennwort

    Autor: b.mey 09.04.18 - 09:13

    Die Seriöse Methode bei Kundenpasswörtern am Telefon im Kontakt mit Kundenbetreuern sieht übrigens so aus:

    Der Kundenbetreuer hat ein Eingabefeld in seiner Anwendung, nach Aufruf des Kundenprofils. Er muss dort das Kennwort eingeben, welches der Kunde ihm nennt. Ist es richtig geht es weiter. Das Passwort wird mit einem salt-Hash in der Datenbank abgelegt und eine Klartext Ablage ist nicht erforderlich.

    Natürlich kann der Kundenbetreuer am Telefon dann das Kennwort notieren und kennt es, das wird natürlich intern per Anweisung verboten und entsprechend regelmäßig kontrolliert. Und geht es um wirklich sensible Informationen reicht auch das nicht aus, und ein sich telefonisch meldender Kunde muss zu einem Voice-Portal zur Legitimation weitergeleitet werden, wo er dann ohne menschlichen Kontakt über eine PIN-Eingabe legitimiert wird und zurück zum Kundenberater geleitet wird. Der sieht dann über seine CTI Oberfläche, dass der Kunde nun legitimiert ist, und kann im Programm entsprechende Aufträge in seinem Namen umsetzen. Das dieses Niveau bei "einfachen" Telefonverträgen nicht genutzt wird, lässt sich argumentieren und ist für mein Verständnis ok. Bei einer Krankenkasse und entsprechenden Gesundheitsdaten würde ich das aber schon etwas anders beurteilen, besonders nach EU-DSGVO!


    Es gibt aber in keinem Fall irgendeinen Grund ein Kundenpasswort im Klartext abzulegen. Denn ein Legitimationsmittel für Kunden, dass jedem Mitarbeiter jederzeit zur Verfügung steht, ist wertlos als Legitimationsmittel. Denn in der Protokollierung ließe sich nie nachweisen, ob sich der vom Berater gestartete Auftrag wirklich vom Kunden beauftragt wurde oder nicht. Dies ginge dann nur noch per Telefonaufzeichnung. Und selbst über die, ist der Kunde nicht eindeutig über die Stimme legitimiert, da wir immer noch nur reduzierte Sprachqualität im Telfonnetz haben und somit die Bandbreite des Audios in der Regel nicht ausreicht um die Stimme als biometrisches Merkmal nutzen zu können.

    Es sollte daher auch schon im Interesse des Dienstleisters sein, dass er Kundenpasswörter oder ähnliche Legitimationsmittel nicht für seine Mitarbeiter zugänglich bzw. lesbar abspeichert!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, Altenholz bei Kiel, Hamburg
  2. IcamSystems GmbH, Leipzig
  3. BWI GmbH, Bonn
  4. Badischer Verlag GmbH & Co. KG, Freiburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 32,99€
  2. 20,99€ - Release 07.11.
  3. (-80%) 6,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

  1. Android: Google-Apps könnten Hersteller bis zu 40 US-Dollar kosten
    Android
    Google-Apps könnten Hersteller bis zu 40 US-Dollar kosten

    Interne Dokumente sollen Aufschluss über das künftige Finanzierungsmodell für die Google-Apps geben: Demnach will Google von den Herstellern je nach Region und Pixeldichte bis zu 40 US-Dollar pro Android-Gerät verlangen. Wer Chrome und die Google-Suche installiert, soll Ermäßigungen bekommen.

  2. Google: Pixel-Besitzer beklagen nicht abgespeicherte Fotos
    Google
    Pixel-Besitzer beklagen nicht abgespeicherte Fotos

    Nutzer von Googles Pixel-Smartphones berichten von Problemen mit nicht abgespeicherten Fotos. Nachdem sie eine Aufnahme gemacht haben, taucht diese manchmal gar nicht in der Galerie auf oder nur das Thumbnail. Ursache des Problems könnte die HDR-Funktion sein.

  3. e*message: Deutscher Unternehmer verklagt Apple wegen iMessage
    e*message
    Deutscher Unternehmer verklagt Apple wegen iMessage

    Dietmar Gollnick ist Chef von e*message, einem Pager-Funkbetreiber, der unter anderem Ärzte und Feuerwehrleute über Notfälle benachrichtigt. Vor dem Landgericht Braunschweig verklagt er Apple, da diese mit iMessage einen Dienst mit zu ähnlichem Namen anbieten.


  1. 15:23

  2. 13:48

  3. 13:07

  4. 11:15

  5. 10:28

  6. 09:02

  7. 18:36

  8. 18:09