Ankündigung

Einklappen
Keine Ankündigung bisher.

Umstellung der Login-Optionen des Kundenmenüs

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #16
    Zitat von fpielage Beitrag anzeigen
    Zur Erhöhung der Sicherheit haben Sie ja jetzt alle Kundennummern noch einmal per E-Mail an die jeweils hinterlegte Adresse verschickt.
    Eine gewisse Identifizierung muss ja möglich sein und per E-Mail ist jetzt grundsätzlich ja nur für Sie einsehbar.

    Zitat von fpielage Beitrag anzeigen
    Im Kundenmenü und auf Rechnungen beginnt die Kundennummer mit einem Buchstaben.
    Angegeben ist in der Mail aber ein rein numerischer Wert.
    Ist die Angabe des Buchstabens optional oder wurde der Buchstabe in der Mail zwecks Erhöhung der Sicherheit weggelassen?
    A und K haben historische Gründe und sind zukünftig nicht mehr nötig.

    Werden Sie zukünftig auch weiterhin (zur Erhöhung der Sicherheit) den ersten Teil der Zugangsdaten in all Ihren Mails (Kündigungsbestätigungen, Rechnungen) angeben?
    Wir werden diese auch weiterhin in der persönlichen Kommunikation nutzen, damit eine Identifizierung möglich ist. Wie bereits gesagt, es liest die E-Mails ja kein Unberechtigter. Gegen ein Hack Ihrer Zugangsdaten zum E-Mail-Account wird es so erst einmal nicht reichen, das ist richtig, aber wie gesagt auch nicht wirklich anders möglich ohne zusätzliche Absicherung.

    Mit freundlichen Grüßen

    Nils Dornblut
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

    Kommentar


      #17
      Zitat von Nils Dornblut Beitrag anzeigen
      Eine gewisse Identifizierung muss ja möglich sein und per E-Mail ist jetzt grundsätzlich ja nur für Sie einsehbar.
      Wären die e-mails verschlüsselt, könnte ich diese Auskunft nachvollziehen. So ist das natürlich, und das wissen Sie bestimmt, falsch.
      Zuletzt geändert von turo8kojoo2U; 28.01.2020, 05:49.

      Kommentar


        #18
        Zitat von turo8kojoo2U Beitrag anzeigen

        Wären die e-mails verschlüsselt, könnte ich diese Auskunft nachvollziehen. So ist das natürlich, und das wissen Sie bestimmt, falsch.
        Passwörter werden darüber nicht übertragen, wir tun serverseitig alles dafür, dass die E-Mails verschlüsselt übertragen werden und wir behaupten auch nicht, dass die Kundennummer quasi das größte Geheimnis dieser Welt sind. Sie ist aber sicher weniger bekannt als Domains von Ihnen, die weitestgehend recht frei zugänglich recherchiert werden können.

        Mit freundlichen Grüßen

        Nils Dornblut
        Blog - Facebook - Twitter
        Communitybetreiber: domainfactory GmbH
        Impressum / Pflichtangaben

        Kommentar


          #19
          Zitat von Nils Dornblut Beitrag anzeigen

          Passwörter werden darüber nicht übertragen, wir tun serverseitig alles dafür, dass die E-Mails verschlüsselt übertragen werden und wir behaupten auch nicht, dass die Kundennummer quasi das größte Geheimnis dieser Welt sind. Sie ist aber sicher weniger bekannt als Domains von Ihnen, die weitestgehend recht frei zugänglich recherchiert werden können.
          unverschlüsselte e-mails sind aber grundsätzlich auch für andere einsehbar und nicht nur für den empfänger -- das war der punkt. die verwendung einer bisher nicht vertraulich zu behandelnden information (die kundennummer) nun als sicherheitsgewinn zu verkaufen und sie gleichzeitig unverschlüsselt, also offen, in der welt herum zu schicken ist halt zumindest hinterfragenswürdig. eine korrekt umgesetzte (optional aktivierbare) 2-faktor-authentifizierung würde hier viel besser helfen und ein realer sicherheitsgewinn für alle, die sie aktivieren, sein.

          dass die domains wahrscheinlich bekannter sind als kundennummern ist sicher richtig. aber eine wirkliche lösung ist das halt noch nicht und sollte auch nicht so dargestellt werden, wenn man die kundennummer gleichzeitig unverschlüsselt in der gegend herum schickt.

          Kommentar


            #20
            Für das Gejammer wegen der Zugangsdaten habe ich echt null Verständnis. Wer immer wieder die "Passwort vergessen"-Funktion benutzen muss, zeigt damit nur, dass er sein Leben nicht organisiert bekommt. Dazu gibt es schließlich Passwort-Manager, oder man baut sich sein Passwort aus einer Eselsbrücke zusammen. Auch die Behauptung, man könne sich einen Login nicht merken ist Blödsinn. Jeder geistig normal entwickelte Mensch kann sich etwas, das er mehrmals in der Woche nutzt einprägen, selbst dann, wenn es eine völlig unsinnige Ziffern/Zahlen-Kombination ist.

            Prinzipiell beruht die Sicherheit auf dem Passwort, aber die Angriffsfläche zu minimieren, indem man die Domain nicht zur Nutzerkennung macht, ist dennoch sinnvoll. Die Domain kennt jeder. Unverschlüsselte E-Mails kann das nächstbeste Skriptkiddie aber nicht mitlesen. Zwei-Faktor-Authentifizierung kommt sicherlich noch, und sie sollte verplichtend sein. Wer das als Kündigungsgrund sieht, dem fehlt es an geistiger Reife, um im Internet geschäftsfähig zu sein.

            Kommentar


              #21
              Ich reg mich ja hier über vieles auf, aber ich muss mich meinem Vorredner anschließen. Gewöhnt euch um und nach einem Tag ist der Login kein Ding mehr

              DF versucht gerade sehr viel aufzuarbeiten, seid doch froh dass es endlich mal wieder vorwärts geht.....klar kann man einiges besser machen, aber das geht nicht von heute auf morgen.
              Markus
              ---
              https://www.facebook.com/markus.weber.180410

              Kommentar


                #22
                Zitat von Bachsau Beitrag anzeigen
                Für das Gejammer wegen der Zugangsdaten habe ich echt null Verständnis. Wer immer wieder die "Passwort vergessen"-Funktion benutzen muss, zeigt damit nur, dass er sein Leben nicht organisiert bekommt. Dazu gibt es schließlich Passwort-Manager, oder man baut sich sein Passwort aus einer Eselsbrücke zusammen. Auch die Behauptung, man könne sich einen Login nicht merken ist Blödsinn. Jeder geistig normal entwickelte Mensch kann sich etwas, das er mehrmals in der Woche nutzt einprägen, selbst dann, wenn es eine völlig unsinnige Ziffern/Zahlen-Kombination ist.

                Prinzipiell beruht die Sicherheit auf dem Passwort, aber die Angriffsfläche zu minimieren, indem man die Domain nicht zur Nutzerkennung macht, ist dennoch sinnvoll. Die Domain kennt jeder. Unverschlüsselte E-Mails kann das nächstbeste Skriptkiddie aber nicht mitlesen. Zwei-Faktor-Authentifizierung kommt sicherlich noch, und sie sollte verplichtend sein. Wer das als Kündigungsgrund sieht, dem fehlt es an geistiger Reife, um im Internet geschäftsfähig zu sein.
                Ah ja, wer sich kryptische Zeichenfolgen oder irgendwelche Ziffernfolgen nicht merken kann, der kriegt sein Leben nicht organisiert, ist geistig unterentwickelt und unreif - interessante Theorien. Erfüllt eigentlich fast schon den Tatbestand der Beleidigung.

                Zum Thema:

                1) Ein Passwort-Manager hilft mir herzlich wenig, wenn ich gerade unterwegs bin und an dem verwendeten Device keinen Zugriff darauf habe. Darüber hinaus ist es zusätzlicher Aufwand für mich, meine Passwörter etc. erst immer irgendwo nachschlagen zu müssen. Von der Gefahr, dass jemand nur noch ein Passwort knacken muss, um Zugriff auf alle meine Zugangsdaten zu haben, mal ganz abgesehen. Da sind Logins und Passwörter, die ich mir einfacher merken kann und dadurch nirgends abspeichern muss, die deutlich sicherere Variante.
                2) Ich nutze meinen Zugriff auf's Kundenmenü nicht mehrmals in der Woche, sondern alle Jubeljahre mal. Jetzt jedesmal nachschauen zu müssen "Ach, wie war die Kundennummer noch gleich" ist einfach ein erhöhter Aufwand, den ich nicht haben möchte.
                3) Ich lasse mich grundsätzlich nicht bevormunden. Wenn Ihnen persönlich 2FA wichtig ist und es irgendwann optional angeboten werden wird, dürfen Sie das nach eigenem Gutdünken ja gerne aktivieren. Ich hingegen möchte - angefangen von der Komplexität meiner Passwörter bis hin zu weiteren Schutzmechanismen - gerne selber bestimmen, welches Maß an "Sicherheit" ich haben möchte.
                4) Wer sich wirklich Zugang verschaffen will, der schafft das auch.

                Kommentar


                  #23
                  Zitat von darebo Beitrag anzeigen
                  Ich hingegen möchte - angefangen von der Komplexität meiner Passwörter bis hin zu weiteren Schutzmechanismen - gerne selber bestimmen, welches Maß an "Sicherheit" ich haben möchte.
                  Diese Meinung gilt immer so lange, wie nichts passiert. Wenn dann etwas passiert, und du der Geschädigte bist, ist doch der Anbieter schuld.

                  Kommentar


                    #24
                    Zitat von Bachsau Beitrag anzeigen
                    Diese Meinung gilt immer so lange, wie nichts passiert. Wenn dann etwas passiert, und du der Geschädigte bist, ist doch der Anbieter schuld.
                    Nö. Und was soll denn bitte passieren? Meine Zugangsdaten kenne ich und sonst niemand. Auch treibe ich mich nicht in komischen Gefilden herum, wo ich mir irgendwelche Ausspähsoftware einfangen könnte - und privat kommt mir sowieso kein Windows-Betriebssystem ins Haus, damit ist die Gefahr per se schon mal minimiert. Ein "sicheres" Passwort ist per Brute-Force im ungünstigen Fall außerdem genau so schnell geknackt, wie ein "unsicheres", je nachdem beim wievielten Versuch es an der Reihe ist.

                    Kommentar


                      #25
                      Zitat von darebo Beitrag anzeigen
                      Auch treibe ich mich nicht in komischen Gefilden herum, wo ich mir irgendwelche Ausspähsoftware einfangen könnte
                      Ein infizierter USB-Stick eines Freundes reicht, und Schadsoftware kann man sich von jeder beliebigen Website einfangen. Werbeeinblendungen werden z. B. gern genutzt, oder eine Site wird gehackt, oder man nutzt eine Sicherheitslücke aus und verwendet user generated content, oder...

                      Zitat von darebo Beitrag anzeigen
                      und privat kommt mir sowieso kein Windows-Betriebssystem ins Haus, damit ist die Gefahr per se schon mal minimiert.
                      https://www.kaspersky.de/blog/weltwe...-nutzer/20148/

                      https://www.security-insider.de/kill...aete-a-571760/

                      ... und so weiter und so fort.

                      Zitat von darebo Beitrag anzeigen
                      Ein "sicheres" Passwort ist per Brute-Force im ungünstigen Fall außerdem genau so schnell geknackt, wie ein "unsicheres", je nachdem beim wievielten Versuch es an der Reihe ist.
                      Die Wahrscheinlichkeit, dass es früh dran ist, sinkt bei einem "sicheren" Passwort aber extrem, und die mittlere Zeit, bis es geknackt ist, steigt extrem an (auch schon mal um ein paar zehntausend Jahre oder mehr). Mit solchen Argumenten lügst Du Dir selbst in die Tasche.

                      Gruß
                      Jan
                      Two hours of trial and error can save ten minutes of manual reading.

                      Kommentar


                        #26
                        Zitat von darebo Beitrag anzeigen

                        1) Ein Passwort-Manager hilft mir herzlich wenig, wenn ich gerade unterwegs bin und an dem verwendeten Device keinen Zugriff darauf habe. Darüber hinaus ist es zusätzlicher Aufwand für mich, meine Passwörter etc. erst immer irgendwo nachschlagen zu müssen. Von der Gefahr, dass jemand nur noch ein Passwort knacken muss, um Zugriff auf alle meine Zugangsdaten zu haben, mal ganz abgesehen. Da sind Logins und Passwörter, die ich mir einfacher merken kann und dadurch nirgends abspeichern muss, die deutlich sicherere Variante.
                        Ich nutze KeePass plattformübergreifend auf Windows, MacOSX und iOS. Die .kbx Datenbankdatei wird in eine verschlüsselte OwnCloud gelegt und ist mit einem sehr starken Masterpasswort versehen, dass nur ich im Kopf habe. Habe also alle Zugangsdaten immer und auch unterwegs parat und von zusätzlichem Aufwand kann man nun wirklich nicht sprechen. Eher im Gegenteil. Zumal ich überall (!) unterschiedliche komplexe Passwörter verwende (die generiert mir KP gleich mit).



                        Kommentar


                          #27
                          Zitat von darebo Beitrag anzeigen
                          Darüber hinaus ist es zusätzlicher Aufwand für mich, meine Passwörter etc. erst immer irgendwo nachschlagen zu müssen.
                          Wenn Du KeePass verwendest musst Du noch nichtmal nachschlagen. Wir haben es so konfiguriert dass wir beispielsweise einen FTP-Zugang per Mausklick aus KeePass heraus öffnen können. KeePass unterstützt es die entsprechenden Programme so aufzurufen dass die Zugangsdaten übergeben werden. Das ist nicht nur supersicher sondern auch komfortabler als selber alles einzutippen

                          Markus
                          ---
                          https://www.facebook.com/markus.weber.180410

                          Kommentar


                            #28
                            Ich persönlich nutze dafür seit Jahren 1Password und denke auch, dass ich damit sicherer bin. Klar, es gibt einen Single Point of Failure, das ist mein Masterpassword. Aber das habe ich tatsächlich nirgends aufgeschrieben. Und noch komfortabler als mit einem Passwort Manager geht es tatsächlich nicht!
                            Es grüßt freundlich
                            Ihr Benutzername

                            Kommentar


                              #29
                              Zitat von turo8kojoo2U Beitrag anzeigen
                              unverschlüsselte e-mails sind aber grundsätzlich auch für andere einsehbar und nicht nur für den empfänger -- das war der punkt.
                              Die E-Mails sollten bei Nutzung eines Account bei uns nur verschlüsselt übertragen werden. Auch bei entsprechend konfigurierten anderen E-Mail-Servern. Klar, die E-Mails selbst können nicht verschlüsselt werden. Das hat jetzt aber auch nichts mit der Kundennummer oder wie auch immer zu tun.

                              Zitat von turo8kojoo2U Beitrag anzeigen
                              die verwendung einer bisher nicht vertraulich zu behandelnden information (die kundennummer) nun als sicherheitsgewinn zu verkaufen und sie gleichzeitig unverschlüsselt, also offen, in der welt herum zu schicken ist halt zumindest hinterfragenswürdig.
                              Wir versenden wie gesagt immer verschlüsselt, der Text selbst ist nicht Ende zu Ende verschlüsselt, das ist klar. Auch verkaufen wir das nicht als Sicherheitsgewinn. Es ist ein Schritt von weiteren die folgen werden.

                              Mit freundlichen Grüßen

                              Nils Dornblut

                              Blog - Facebook - Twitter
                              Communitybetreiber: domainfactory GmbH
                              Impressum / Pflichtangaben

                              Kommentar


                                #30
                                hallo,

                                Zitat von Nils Dornblut Beitrag anzeigen
                                Die E-Mails sollten bei Nutzung eines Account bei uns nur verschlüsselt übertragen werden. Auch bei entsprechend konfigurierten anderen E-Mail-Servern. Klar, die E-Mails selbst können nicht verschlüsselt werden. Das hat jetzt aber auch nichts mit der Kundennummer oder wie auch immer zu tun.
                                Die Kundennummer ist im unverschlüsselten e-mail enthalten. Nur eine korrekte Ende-2-Ende-Verschlüsselung hilft hier; kein TLS, was Sie ansprechen wie ich vermute. Und natürlich könnten die e-mails selbst verschlüsselt werden, wenn man möchte.

                                Zitat von Nils Dornblut Beitrag anzeigen
                                Wir versenden wie gesagt immer verschlüsselt, der Text selbst ist nicht Ende zu Ende verschlüsselt, das ist klar. Auch verkaufen wir das nicht als Sicherheitsgewinn. Es ist ein Schritt von weiteren die folgen werden.
                                domainfactory verkauft die Verwendung der Kundennummer sehr wohl als Sicherheitsgewinn. Und wenn man hier konsequent wäre, sollte man die Kundennummer daher nicht mehr unverschlüsselt in der Gegend herum schicken.

                                Ich warte auf die Themen, die kommen und hoffe, dass wir bald 2-Faktor-Authentifizierung erhalten. *Das* wuerde sinnvoll die Sicherheit erhöhen für all jene, die das möchten.

                                Kommentar

                                Lädt...
                                X