Ankündigung

Einklappen
Keine Ankündigung bisher.

Umstellung der Login-Optionen des Kundenmenüs

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • turo8kojoo2U
    antwortet
    Zitat von Nils Dornblut Beitrag anzeigen

    Passwörter werden darüber nicht übertragen, wir tun serverseitig alles dafür, dass die E-Mails verschlüsselt übertragen werden und wir behaupten auch nicht, dass die Kundennummer quasi das größte Geheimnis dieser Welt sind. Sie ist aber sicher weniger bekannt als Domains von Ihnen, die weitestgehend recht frei zugänglich recherchiert werden können.
    unverschlüsselte e-mails sind aber grundsätzlich auch für andere einsehbar und nicht nur für den empfänger -- das war der punkt. die verwendung einer bisher nicht vertraulich zu behandelnden information (die kundennummer) nun als sicherheitsgewinn zu verkaufen und sie gleichzeitig unverschlüsselt, also offen, in der welt herum zu schicken ist halt zumindest hinterfragenswürdig. eine korrekt umgesetzte (optional aktivierbare) 2-faktor-authentifizierung würde hier viel besser helfen und ein realer sicherheitsgewinn für alle, die sie aktivieren, sein.

    dass die domains wahrscheinlich bekannter sind als kundennummern ist sicher richtig. aber eine wirkliche lösung ist das halt noch nicht und sollte auch nicht so dargestellt werden, wenn man die kundennummer gleichzeitig unverschlüsselt in der gegend herum schickt.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von turo8kojoo2U Beitrag anzeigen

    Wären die e-mails verschlüsselt, könnte ich diese Auskunft nachvollziehen. So ist das natürlich, und das wissen Sie bestimmt, falsch.
    Passwörter werden darüber nicht übertragen, wir tun serverseitig alles dafür, dass die E-Mails verschlüsselt übertragen werden und wir behaupten auch nicht, dass die Kundennummer quasi das größte Geheimnis dieser Welt sind. Sie ist aber sicher weniger bekannt als Domains von Ihnen, die weitestgehend recht frei zugänglich recherchiert werden können.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • turo8kojoo2U
    antwortet
    Zitat von Nils Dornblut Beitrag anzeigen
    Eine gewisse Identifizierung muss ja möglich sein und per E-Mail ist jetzt grundsätzlich ja nur für Sie einsehbar.
    Wären die e-mails verschlüsselt, könnte ich diese Auskunft nachvollziehen. So ist das natürlich, und das wissen Sie bestimmt, falsch.
    Zuletzt geändert von turo8kojoo2U; 28.01.2020, 05:49.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von fpielage Beitrag anzeigen
    Zur Erhöhung der Sicherheit haben Sie ja jetzt alle Kundennummern noch einmal per E-Mail an die jeweils hinterlegte Adresse verschickt.
    Eine gewisse Identifizierung muss ja möglich sein und per E-Mail ist jetzt grundsätzlich ja nur für Sie einsehbar.

    Zitat von fpielage Beitrag anzeigen
    Im Kundenmenü und auf Rechnungen beginnt die Kundennummer mit einem Buchstaben.
    Angegeben ist in der Mail aber ein rein numerischer Wert.
    Ist die Angabe des Buchstabens optional oder wurde der Buchstabe in der Mail zwecks Erhöhung der Sicherheit weggelassen?
    A und K haben historische Gründe und sind zukünftig nicht mehr nötig.

    Werden Sie zukünftig auch weiterhin (zur Erhöhung der Sicherheit) den ersten Teil der Zugangsdaten in all Ihren Mails (Kündigungsbestätigungen, Rechnungen) angeben?
    Wir werden diese auch weiterhin in der persönlichen Kommunikation nutzen, damit eine Identifizierung möglich ist. Wie bereits gesagt, es liest die E-Mails ja kein Unberechtigter. Gegen ein Hack Ihrer Zugangsdaten zum E-Mail-Account wird es so erst einmal nicht reichen, das ist richtig, aber wie gesagt auch nicht wirklich anders möglich ohne zusätzliche Absicherung.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Hallo zusammen,

    es ist klar, dass die Umstellung es erst einmal nicht bequemer macht und wir möchten Sie auch nicht feiern. Es ging um die Information, dass wir die Änderung machen, sich zukünftig die Nutzung verbessern wird und wir die Sicherheit erhöhen, wenn die Maßnahmen alle abgeschlossen sind. Was wie weiter kommt werden wir dann jeweils erklären.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • Lukas M.
    antwortet
    Finde das jezt auch nicht so schlecht. Wer sich ein komplexes Passwort merken kann, der doch dann auch eine Kundennummer.
    Und wer nicht, der nutzt eben einen Passwortmanager. WebDAV und KeePass tut übrigens auch wunderbar.
    Bin mal gespannt wann 2FA kommt. Info-Mail bei Login finde ich übrigens auch eine gute Idee.


    Zitat von Engholm Beitrag anzeigen
    Wenn ich mich recht erinnere, war es ursprünglich, vor vielen Jahren, auch einmal so, d.h. die Möglichkeit E-Mail = Postfachlogin wurde erst auf vielfachen Kundenwunsch umgesetzt.
    Jau, genau so war das. Lange Zeit war nur ein Login mit der Mailboxnummer möglich.
    Afair war ein Punkt, dass viele Endkunden (Mailboxnutzer) sich gerne mobil einloggen wollten, sich aber die Nummer nicht merken konnten. (Eigenes Passwort vergeben ist ja schon ewig möglich.)
    Ja, da gab es oft nur die kaputten Browser der Hersteller die oft auch kein Passwort-/Benutzername speichern hatten.

    Ich weiß das noch ziemlich genau, weil ich damals für Roundcube ein Plugin geschrieben habe was über die Passwort-ändern-Funktion die Mailbox-ID nachschaute und die für den Login nutze. 🙈

    Zitat von darebo Beitrag anzeigen
    sollte man zumindest dem Kunden die Wahl lassen, welches Maß an Sicherheit er möchte, statt ihm ständig irgendwas aufzuzwingen.
    Seit Jahren ist 2FA ein Wunsch, passiert ist da noch nichts. Da glaubst du doch nicht, dass jetzt auf einmal die Zeit für eine Pro-Kunden-Option Login-Optionen wäre?

    Allein schon, wie oft ich hier irgendwelche Passwörter wieder zurücksetzen musste, seit sie nicht mehr wie früher im Kundenmenü einsehbar sind, nervt ohne Ende.
    Mag sein, dass das nervt. Nebeneffekt von "Passwörter anzeigen" war aber eben dass die Passwörter im Klartext gespeichert wurden. Das ist rein technisch schon lange ein No-Go, ebenso datenschutztechnisch schwierig.
    Klar, kann man da irgendwas zusammen schustern. Das hat aber auch wieder unnötig komplexe Fehlerquellen.




    Einen Kommentar schreiben:


  • Klaus2001
    antwortet
    Wenn man bei einer Kundennummer auch nur einen Auftrag hat, dann ist das im Prinzip egal ob Login mit Kunden oder Auftragsnummer. Für mich wird es nun wieder eine Zwischenschritt mehr um in den Auftrag mit ManagedMail zu gelangen. Außer man könnte festlegen im Kundenmenü in welchen Auftrag man nach dem Login direkt hineinkommt. Falls das noch nicht angedacht ist, bitte ich die Implemntierung dieser Option zu prüfen. Danke!

    Einen Kommentar schreiben:


  • darebo
    antwortet
    Mir schleierhaft, warum das hier gefeiert wird. Nachdem ich nun zwangsweise ein Passwort habe, welches ich mir nicht mehr merken kann, habe ich dann demnächst auch noch einen Login, den ich mir nicht mehr merken kann. Inwiefern jetzt meine Kundennummer - die ja nur aus Zahlen besteht - sicherer sein soll, als der Domainname, weiß wohl nur DF. Wenn wir dann irgendwann auch noch zwangsweise 2FA auf's Auge gedrückt bekommen, läute ich hier nach 20 Jahren meinen Abgang ein. Nach Passwort-Bevormundung, PHP-Versionsbevormundung und allen möglichen weiteren "Sicherheits"bevormundungen, mit denen man hier in den letzten Monaten konfrontiert wurde, reicht es irgendwann auch mal. Als nächstes muss ich erst eine Blutprobe einschicken, bevor ich mich in meinen Account einloggen darf. Sicherheit schön und gut, aber wenn es dadurch zunehmend umständlicher und unpraktikabler wird, sollte man zumindest dem Kunden die Wahl lassen, welches Maß an Sicherheit er möchte, statt ihm ständig irgendwas aufzuzwingen. Allein schon, wie oft ich hier irgendwelche Passwörter wieder zurücksetzen musste, seit sie nicht mehr wie früher im Kundenmenü einsehbar sind, nervt ohne Ende.

    Einen Kommentar schreiben:


  • Engholm
    antwortet
    Zitat von Bachsau Beitrag anzeigen
    Mir fallen da noch einige weitere Dinge ein, die mal aufgeräumt werden könnten, wie z.B. den Mailbox-Login auf die Postfachkennung zu beschränken, anstatt dort auch Mailadressen zu akzeptieren [...]
    Wenn ich mich recht erinnere, war es ursprünglich, vor vielen Jahren, auch einmal so, d.h. die Möglichkeit E-Mail = Postfachlogin wurde erst auf vielfachen Kundenwunsch umgesetzt.

    Einen Kommentar schreiben:


  • fpielage
    antwortet
    Zur Erhöhung der Sicherheit haben Sie ja jetzt alle Kundennummern noch einmal per E-Mail an die jeweils hinterlegte Adresse verschickt.
    In der Mail beschreiben Sie auch ausführlich, wo im Kundenmenü man seine Kundennummer findet.

    Im Kundenmenü und auf Rechnungen beginnt die Kundennummer mit einem Buchstaben.
    Angegeben ist in der Mail aber ein rein numerischer Wert.
    Ist die Angabe des Buchstabens optional oder wurde der Buchstabe in der Mail zwecks Erhöhung der Sicherheit weggelassen?

    Werden Sie zukünftig auch weiterhin (zur Erhöhung der Sicherheit) den ersten Teil der Zugangsdaten in all Ihren Mails (Kündigungsbestätigungen, Rechnungen) angeben?

    Grüße
    fp

    Einen Kommentar schreiben:


  • Bachsau
    antwortet
    Mir fallen da noch einige weitere Dinge ein, die mal aufgeräumt werden könnten, wie z.B. den Mailbox-Login auf die Postfachkennung zu beschränken, anstatt dort auch Mailadressen zu akzeptieren, oder den SMTP- und IMAP-Zugriff auf die offiziellen TLS-Domains zu beschränken, anstatt Aliase unter Kundendomains anzulegen. Einen kanonischen Namen für genau einen Zweck zu heben, ist fast immer die beste Lösung.
    Zuletzt geändert von Bachsau; 21.01.2020, 15:41.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Hallo Schmitti,

    mal schauen, was sich da für die Zukunft ergibt. Wie schon angemerkt wurde sind wir durchaus an Dingen dran

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • Schmitti
    antwortet
    Bei anderen Providern kann man eine Email für jeden Login bekommen, so dass man sofort wüsste, wenn sich jemand einloggt. Mit Standort und IP in der Email.

    Ist beruhigend, wenn dann keine solche EMail kommt und man es nicht selber ist.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von Enigma Beitrag anzeigen
    Das sowieso, und wenn ich DFs Twitter-Account richtig verstanden habe, arbeitet man daran oder hat es zumindest auf die To-do-Liste gesetzt (siehe https://twitter.com/DomainFactory/st...84081090007041).
    Oh, interessant. Kannte ich gar nicht den Tweet

    Wenn es in der Richtung was genaueres zu berichten gibt melden wir uns.

    Viele Grüße

    Nils

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Hallo zusammen,

    wie beschrieben, ist es ein erster Schritt. Sobald weitere Informationen zu nachfolgenden Schritten vorliegen, werden wir die natürlich mitteilen.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:

Lädt...
X