Simyo-Hotline kennt mehr als halbes Passwort: Sicherheit ade!

Nennen musst Du schon.
Daher ist es weiterhin sinnvoll, für alles ein eigenes Passwort zu haben. Du könntest so sogar nach jedem Kontakt das Passwort rotieren lassen, indem Du auf einem anderen Kanal (Weboberfläche) ein neues vergibst. Trotzdem braucht es kein Klartext-Passwort.

Zitat

Original geschrieben von Abi99
Aus dem Klartext-Passwort was Du nennst, wird errechnet, ob Du legitimiert bist.

Und das ginge auch, wenn man nur einen Teil des Passwortes nennt?

Wer sollte das Passwort (wenn auch nur in Teilen) kennen wenn nicht der Anbieter selber? Macht fonic doch auch so mit den ersten 3 Zeichen vom Passwort legitimieren.

Man soll es keinem dritten mitteilen aber der Anbieter ist ja der erste. Und jeder Mitarbeiter unterschreibt eine Datenschutzerklärung bei Einstellung.

Ich finde das korrekt so.

Zitat

Original geschrieben von Stromae
Bei der Bestellung steht sogar dabei

"Das Passwort benötigen Sie zum Login in Mein Simyo - Ihrem Servicebereich - und um sich bei einem Anruf im Servicecenter legitimieren zu können. Bitte bewahren Sie es sicher auf."

Ich Zitiere mich mal selbst.

Ich glaube, man muss mal einige grundlegende Missverständnisse ausräumen. ...

Benutzerpasswörter sollten in der Datenbank des Systems grundsätzlich gehasht (also verschlüsselt) gespeichert werden. Wenn dieses getan wird, sind diese Hashes nicht mehr mit trivialen Mitteln rekonstruierbar, d. h. aus einem Hash lässt sich das zugrundeliegende Passwort nicht wieder zurück ableiten. Man hat sozusagen eine "Verschlüsselungs-Einbahnstraße". Nun kann man sich natürlich die Frage stellen, wie sich der Nutzer dann überhaupt noch einloggen kann, wenn er das Passwort doch im Klartext, also unverschlüsselt, ins Passwort-Feld eingibt und es - eigentlich - nicht mehr mit dem im System verschlüsselt hinterlegten Passwort abgeglichen werden kann. Deswegen zäumt man das Pferd nun einfach von hinten auf und verschlüsselt auch die vom Benutzer getätigte Eingabe mit dem gleichen Verfahren und kommt somit nur wieder auf den identischen im System als Passwort hinterlegten Hashwert, sofern der Benutzer das korrekte Passwort eingegeben hat.

Insofern wäre es denkbar, dass man in einem solchen Fall wie dem hier aufgetretenen beim Anlegen des Benutzerkontos einfach zwei Informationen in die Datenbank ablegt. Zum einen das gehashte vollständige Passwort, und zum anderen, getrennt davon, den Hashwert ausschließlich der letzten drei Zeichen des betreffenden Passwortes. Wenn der Hotline-Mitarbeiter nun mit dem Kunden telefoniert, fragt er ihn für die Legitimation nach den letzten drei Zeichen des Passwortes, gibt die vom Kunden genannten Zeichen in eine Bildschirmmaske ein und schickt die Abfrage ab. Die getätigte Eingabe wird nun im Zuge der Prüfung verschlüsselt und mit dem in der Systemdatenbank hinterlegten Hashwert der letzten drei Zeichen abgeglichen. Sind die Werte identisch, hat sich der Benutzer erfolgreich legitimiert, andernfalls nicht. Und nur das (Erfolg bzw. Misserfolg) wird dem Hotline-Mitarbeiter am Bildschirm angezeigt, und sonst nichts weiter.

Es ist also längst nicht so, wie sich mancheiner das hier vielleicht vorstellen mag, dass zwangsläufig jeder Hotline-Mitarbeier das komplette Benutzerpasswort des Kunden im Klartext in seiner Bildschirmmaske vor sich hat bzw. überhaupt haben MÜSSTE. Ich weiß auch nicht, ob das skizzierte Szenario dem tatsächlichen Vorgehen bei Eplus entspricht, aber es ist zumindest nicht unplausibel, dass durchaus alles mit rechten Dingen zugeht. Und das auch ohne die leichtfertige Annahme treffen zu müssen, Hotline-Mitarbeiter müsten sowieso in sämtliche Passwörter freien Einblick haben.

Noch als Anmerkung:

Wenn man als Nutzer also weiß, dass die letzten drei Zeichen für die Legitimierung dienen, könnte man im Grunde also einfach hingehen und das bisherige Passwort um beliebige drei Zeichen - quasi als Legitimierungscode - erweitern. Falls man zuvor ein "sprechendes" Passwort verwendet haben sollte, verrät man dem Mitarbeiter mit der Nennung der letzten drei Zeichen somit zumindest nicht z. B. irgendeine charakteristische Endung, die den Rückschluss auf das komplette Passwort einfacher macht. Und ob drei Zeichen nun die Hälfte, ein Achtel oder ein Eintel des kompletten Passwortes sind, hat letztlich ja sowieso immer noch jeder Nutzer selber in der Hand. :cool:

Und noch eine:

Wenn mir ein Hotline-Mitarbeiter das komplette Passwort einfach so, von sich aus, nennen könnte, dann würde ich allerdings auch hellhörig werden.

Hallo.

Bei Tchibo-Mobil ist es noch schlimmer. Bei Tchibo gab es am Anfang gar kein Online-Portal, wo man sich einloggen konnte. Das haben die erst viel später eingeführt. Der Knaller kommt aber jetzt: Nach der Einführung des Online-Portals konnte man sich mit einem 4-stelligen Kundenkennwort anmelden, dass nur aus Ziffern bestehen durfte. Das Kennwort war auch schon automatisch von Tchibo hinterlegt. Es waren die ersten 4 Ziffern des Geburtsdatums. Man kann dieses Kundenkennwort natürlich ändern, aber viele werden das aus Unwissendheit nie getan haben.

Beim letzten einloggen ist mir aufgefallen, dass man nun auch ein "echtes" Passwort mit Zahlen und Buchstaben und mit mehr als 4 Zeichen festlegen kann. Endlich ein Fortschritt, dachte ich und habe gleich ein neues Passwort mit mehr Zeichen, Zahlen und Buchstaben eingegeben. Der Witz ist jedoch, dass man sich nach wie vor auch mit dem 4 stelligen Kundenkennwort noch einloggen kann. Das Kundenkennwort kann nicht gelöscht werden. Was soll das?

Gruß handybär

Zitat

Original geschrieben von BornToRun
Wenn mir ein Hotline-Mitarbeiter das komplette Passwort einfach so, von sich aus, nennen könnte, dann würde ich allerdings auch hellhörig werden.

Bei simply Communication, jetzt Congstar (Deutsche Telekom) ist dem so. Die eigenen T-Systems Mitarbeiter sind wohl zu teuer, um mal ein Security-Audit durchzuführen.