Ankündigung

Einklappen
Keine Ankündigung bisher.

Umstellung der Login-Optionen des Kundenmenüs

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • turo8kojoo2U
    antwortet
    Zitat von Nils Dornblut Beitrag anzeigen
    Wo genau tun wir das?
    In der heutigen Information, die via mail ausgesendet wurde:

    um die Nutzung des DomainFactory-Kundenmenüs für Sie noch sicherer zu machen, haben wir in einem ersten Schritt den Anmeldeprozess verändert. Ab heute, den 3. Februar 2020 ist die Anmeldung nur noch mit Ihrer Kundennummer möglich.

    Einen Kommentar schreiben:


  • Klaus2001
    antwortet
    A und K haben historische Gründe und sind zukünftig nicht mehr nötig.
    Login ohne "K" war nicht möglich, in der Infozeile steht die Info, dass "K" vorangestellt werden soll. ???

    Einen Kommentar schreiben:


  • turo8kojoo2U
    antwortet
    hallo,

    Zitat von Nils Dornblut Beitrag anzeigen
    Die E-Mail selbst zu verschlüsseln ist bei solchen Versendungen eher theoretisch, da dann Schlüssel usw. ausgetauscht bzw. bekannt sein müssten. Der Übertragungsweg wird verschlüsselt und nur durch Zugriff auf einen beteiligten Server selbst würde die Chance bestehen etwas mitzulesen. Das natürlich nur, wenn die Server der jeweiligen Provider das auch unterstützen.
    Server werden immer wieder gehackt, wie man weiß. Zugriff auf einen Server zu erhalten ist daher möglich. Und ja, den Public Key der Empfänger*innen bräuchte man. Aber das kann man im Kundenmenü genau so einfach durchführen wie dort eine e-mail-Adresse zu hinterlegen. Zumindest für all jene, die das möchten. Nicht für alle Kund*innen -- da wird es kompliziert, weil Verschlüsselung doch nicht Standard ist. Was daran theoretisch sein soll verstehe ich nicht. Ich benutze e-mail-Verschlüsselung mit X.509/pgp jeden Tag.

    Zitat von Nils Dornblut Beitrag anzeigen
    Wo genau tun wir das?
    Es wird zumindest suggeriert als eine Maßnahme, um die Sicherheit mit all den anderen Maßnahmen, die noch kommen, zu erhöhen. Beispielsweise durch die Aussage, dass die Kundennummer weniger bekannt als die Domains sind. Direkt gesagt wurde es aber nicht, das ist richtig.

    Und damit bin ich hier jetzt raus.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von turo8kojoo2U Beitrag anzeigen
    Die Kundennummer ist im unverschlüsselten e-mail enthalten. Nur eine korrekte Ende-2-Ende-Verschlüsselung hilft hier; kein TLS, was Sie ansprechen wie ich vermute. Und natürlich könnten die e-mails selbst verschlüsselt werden, wenn man möchte.
    Die E-Mail selbst zu verschlüsseln ist bei solchen Versendungen eher theoretisch, da dann Schlüssel usw. ausgetauscht bzw. bekannt sein müssten. Der Übertragungsweg wird verschlüsselt und nur durch Zugriff auf einen beteiligten Server selbst würde die Chance bestehen etwas mitzulesen. Das natürlich nur, wenn die Server der jeweiligen Provider das auch unterstützen.


    domainfactory verkauft die Verwendung der Kundennummer sehr wohl als Sicherheitsgewinn. Und wenn man hier konsequent wäre, sollte man die Kundennummer daher nicht mehr unverschlüsselt in der Gegend herum schicken.
    Wo genau tun wir das?

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • turo8kojoo2U
    antwortet
    hallo,

    Zitat von Nils Dornblut Beitrag anzeigen
    Die E-Mails sollten bei Nutzung eines Account bei uns nur verschlüsselt übertragen werden. Auch bei entsprechend konfigurierten anderen E-Mail-Servern. Klar, die E-Mails selbst können nicht verschlüsselt werden. Das hat jetzt aber auch nichts mit der Kundennummer oder wie auch immer zu tun.
    Die Kundennummer ist im unverschlüsselten e-mail enthalten. Nur eine korrekte Ende-2-Ende-Verschlüsselung hilft hier; kein TLS, was Sie ansprechen wie ich vermute. Und natürlich könnten die e-mails selbst verschlüsselt werden, wenn man möchte.

    Zitat von Nils Dornblut Beitrag anzeigen
    Wir versenden wie gesagt immer verschlüsselt, der Text selbst ist nicht Ende zu Ende verschlüsselt, das ist klar. Auch verkaufen wir das nicht als Sicherheitsgewinn. Es ist ein Schritt von weiteren die folgen werden.
    domainfactory verkauft die Verwendung der Kundennummer sehr wohl als Sicherheitsgewinn. Und wenn man hier konsequent wäre, sollte man die Kundennummer daher nicht mehr unverschlüsselt in der Gegend herum schicken.

    Ich warte auf die Themen, die kommen und hoffe, dass wir bald 2-Faktor-Authentifizierung erhalten. *Das* wuerde sinnvoll die Sicherheit erhöhen für all jene, die das möchten.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von turo8kojoo2U Beitrag anzeigen
    unverschlüsselte e-mails sind aber grundsätzlich auch für andere einsehbar und nicht nur für den empfänger -- das war der punkt.
    Die E-Mails sollten bei Nutzung eines Account bei uns nur verschlüsselt übertragen werden. Auch bei entsprechend konfigurierten anderen E-Mail-Servern. Klar, die E-Mails selbst können nicht verschlüsselt werden. Das hat jetzt aber auch nichts mit der Kundennummer oder wie auch immer zu tun.

    Zitat von turo8kojoo2U Beitrag anzeigen
    die verwendung einer bisher nicht vertraulich zu behandelnden information (die kundennummer) nun als sicherheitsgewinn zu verkaufen und sie gleichzeitig unverschlüsselt, also offen, in der welt herum zu schicken ist halt zumindest hinterfragenswürdig.
    Wir versenden wie gesagt immer verschlüsselt, der Text selbst ist nicht Ende zu Ende verschlüsselt, das ist klar. Auch verkaufen wir das nicht als Sicherheitsgewinn. Es ist ein Schritt von weiteren die folgen werden.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • Benutzername
    antwortet
    Ich persönlich nutze dafür seit Jahren 1Password und denke auch, dass ich damit sicherer bin. Klar, es gibt einen Single Point of Failure, das ist mein Masterpassword. Aber das habe ich tatsächlich nirgends aufgeschrieben. Und noch komfortabler als mit einem Passwort Manager geht es tatsächlich nicht!

    Einen Kommentar schreiben:


  • wecotec
    antwortet
    Zitat von darebo Beitrag anzeigen
    Darüber hinaus ist es zusätzlicher Aufwand für mich, meine Passwörter etc. erst immer irgendwo nachschlagen zu müssen.
    Wenn Du KeePass verwendest musst Du noch nichtmal nachschlagen. Wir haben es so konfiguriert dass wir beispielsweise einen FTP-Zugang per Mausklick aus KeePass heraus öffnen können. KeePass unterstützt es die entsprechenden Programme so aufzurufen dass die Zugangsdaten übergeben werden. Das ist nicht nur supersicher sondern auch komfortabler als selber alles einzutippen

    Einen Kommentar schreiben:


  • Engholm
    antwortet
    Zitat von darebo Beitrag anzeigen

    1) Ein Passwort-Manager hilft mir herzlich wenig, wenn ich gerade unterwegs bin und an dem verwendeten Device keinen Zugriff darauf habe. Darüber hinaus ist es zusätzlicher Aufwand für mich, meine Passwörter etc. erst immer irgendwo nachschlagen zu müssen. Von der Gefahr, dass jemand nur noch ein Passwort knacken muss, um Zugriff auf alle meine Zugangsdaten zu haben, mal ganz abgesehen. Da sind Logins und Passwörter, die ich mir einfacher merken kann und dadurch nirgends abspeichern muss, die deutlich sicherere Variante.
    Ich nutze KeePass plattformübergreifend auf Windows, MacOSX und iOS. Die .kbx Datenbankdatei wird in eine verschlüsselte OwnCloud gelegt und ist mit einem sehr starken Masterpasswort versehen, dass nur ich im Kopf habe. Habe also alle Zugangsdaten immer und auch unterwegs parat und von zusätzlichem Aufwand kann man nun wirklich nicht sprechen. Eher im Gegenteil. Zumal ich überall (!) unterschiedliche komplexe Passwörter verwende (die generiert mir KP gleich mit).



    Einen Kommentar schreiben:


  • Enigma
    antwortet
    Zitat von darebo Beitrag anzeigen
    Auch treibe ich mich nicht in komischen Gefilden herum, wo ich mir irgendwelche Ausspähsoftware einfangen könnte
    Ein infizierter USB-Stick eines Freundes reicht, und Schadsoftware kann man sich von jeder beliebigen Website einfangen. Werbeeinblendungen werden z. B. gern genutzt, oder eine Site wird gehackt, oder man nutzt eine Sicherheitslücke aus und verwendet user generated content, oder...

    Zitat von darebo Beitrag anzeigen
    und privat kommt mir sowieso kein Windows-Betriebssystem ins Haus, damit ist die Gefahr per se schon mal minimiert.
    https://www.kaspersky.de/blog/weltwe...-nutzer/20148/

    https://www.security-insider.de/kill...aete-a-571760/

    ... und so weiter und so fort.

    Zitat von darebo Beitrag anzeigen
    Ein "sicheres" Passwort ist per Brute-Force im ungünstigen Fall außerdem genau so schnell geknackt, wie ein "unsicheres", je nachdem beim wievielten Versuch es an der Reihe ist.
    Die Wahrscheinlichkeit, dass es früh dran ist, sinkt bei einem "sicheren" Passwort aber extrem, und die mittlere Zeit, bis es geknackt ist, steigt extrem an (auch schon mal um ein paar zehntausend Jahre oder mehr). Mit solchen Argumenten lügst Du Dir selbst in die Tasche.

    Gruß
    Jan

    Einen Kommentar schreiben:


  • darebo
    antwortet
    Zitat von Bachsau Beitrag anzeigen
    Diese Meinung gilt immer so lange, wie nichts passiert. Wenn dann etwas passiert, und du der Geschädigte bist, ist doch der Anbieter schuld.
    Nö. Und was soll denn bitte passieren? Meine Zugangsdaten kenne ich und sonst niemand. Auch treibe ich mich nicht in komischen Gefilden herum, wo ich mir irgendwelche Ausspähsoftware einfangen könnte - und privat kommt mir sowieso kein Windows-Betriebssystem ins Haus, damit ist die Gefahr per se schon mal minimiert. Ein "sicheres" Passwort ist per Brute-Force im ungünstigen Fall außerdem genau so schnell geknackt, wie ein "unsicheres", je nachdem beim wievielten Versuch es an der Reihe ist.

    Einen Kommentar schreiben:


  • Bachsau
    antwortet
    Zitat von darebo Beitrag anzeigen
    Ich hingegen möchte - angefangen von der Komplexität meiner Passwörter bis hin zu weiteren Schutzmechanismen - gerne selber bestimmen, welches Maß an "Sicherheit" ich haben möchte.
    Diese Meinung gilt immer so lange, wie nichts passiert. Wenn dann etwas passiert, und du der Geschädigte bist, ist doch der Anbieter schuld.

    Einen Kommentar schreiben:


  • darebo
    antwortet
    Zitat von Bachsau Beitrag anzeigen
    Für das Gejammer wegen der Zugangsdaten habe ich echt null Verständnis. Wer immer wieder die "Passwort vergessen"-Funktion benutzen muss, zeigt damit nur, dass er sein Leben nicht organisiert bekommt. Dazu gibt es schließlich Passwort-Manager, oder man baut sich sein Passwort aus einer Eselsbrücke zusammen. Auch die Behauptung, man könne sich einen Login nicht merken ist Blödsinn. Jeder geistig normal entwickelte Mensch kann sich etwas, das er mehrmals in der Woche nutzt einprägen, selbst dann, wenn es eine völlig unsinnige Ziffern/Zahlen-Kombination ist.

    Prinzipiell beruht die Sicherheit auf dem Passwort, aber die Angriffsfläche zu minimieren, indem man die Domain nicht zur Nutzerkennung macht, ist dennoch sinnvoll. Die Domain kennt jeder. Unverschlüsselte E-Mails kann das nächstbeste Skriptkiddie aber nicht mitlesen. Zwei-Faktor-Authentifizierung kommt sicherlich noch, und sie sollte verplichtend sein. Wer das als Kündigungsgrund sieht, dem fehlt es an geistiger Reife, um im Internet geschäftsfähig zu sein.
    Ah ja, wer sich kryptische Zeichenfolgen oder irgendwelche Ziffernfolgen nicht merken kann, der kriegt sein Leben nicht organisiert, ist geistig unterentwickelt und unreif - interessante Theorien. Erfüllt eigentlich fast schon den Tatbestand der Beleidigung.

    Zum Thema:

    1) Ein Passwort-Manager hilft mir herzlich wenig, wenn ich gerade unterwegs bin und an dem verwendeten Device keinen Zugriff darauf habe. Darüber hinaus ist es zusätzlicher Aufwand für mich, meine Passwörter etc. erst immer irgendwo nachschlagen zu müssen. Von der Gefahr, dass jemand nur noch ein Passwort knacken muss, um Zugriff auf alle meine Zugangsdaten zu haben, mal ganz abgesehen. Da sind Logins und Passwörter, die ich mir einfacher merken kann und dadurch nirgends abspeichern muss, die deutlich sicherere Variante.
    2) Ich nutze meinen Zugriff auf's Kundenmenü nicht mehrmals in der Woche, sondern alle Jubeljahre mal. Jetzt jedesmal nachschauen zu müssen "Ach, wie war die Kundennummer noch gleich" ist einfach ein erhöhter Aufwand, den ich nicht haben möchte.
    3) Ich lasse mich grundsätzlich nicht bevormunden. Wenn Ihnen persönlich 2FA wichtig ist und es irgendwann optional angeboten werden wird, dürfen Sie das nach eigenem Gutdünken ja gerne aktivieren. Ich hingegen möchte - angefangen von der Komplexität meiner Passwörter bis hin zu weiteren Schutzmechanismen - gerne selber bestimmen, welches Maß an "Sicherheit" ich haben möchte.
    4) Wer sich wirklich Zugang verschaffen will, der schafft das auch.

    Einen Kommentar schreiben:


  • wecotec
    antwortet
    Ich reg mich ja hier über vieles auf, aber ich muss mich meinem Vorredner anschließen. Gewöhnt euch um und nach einem Tag ist der Login kein Ding mehr

    DF versucht gerade sehr viel aufzuarbeiten, seid doch froh dass es endlich mal wieder vorwärts geht.....klar kann man einiges besser machen, aber das geht nicht von heute auf morgen.

    Einen Kommentar schreiben:


  • Bachsau
    antwortet
    Für das Gejammer wegen der Zugangsdaten habe ich echt null Verständnis. Wer immer wieder die "Passwort vergessen"-Funktion benutzen muss, zeigt damit nur, dass er sein Leben nicht organisiert bekommt. Dazu gibt es schließlich Passwort-Manager, oder man baut sich sein Passwort aus einer Eselsbrücke zusammen. Auch die Behauptung, man könne sich einen Login nicht merken ist Blödsinn. Jeder geistig normal entwickelte Mensch kann sich etwas, das er mehrmals in der Woche nutzt einprägen, selbst dann, wenn es eine völlig unsinnige Ziffern/Zahlen-Kombination ist.

    Prinzipiell beruht die Sicherheit auf dem Passwort, aber die Angriffsfläche zu minimieren, indem man die Domain nicht zur Nutzerkennung macht, ist dennoch sinnvoll. Die Domain kennt jeder. Unverschlüsselte E-Mails kann das nächstbeste Skriptkiddie aber nicht mitlesen. Zwei-Faktor-Authentifizierung kommt sicherlich noch, und sie sollte verplichtend sein. Wer das als Kündigungsgrund sieht, dem fehlt es an geistiger Reife, um im Internet geschäftsfähig zu sein.

    Einen Kommentar schreiben:

Lädt...
X