Hallo Nils,

vielen Dank für die Info. Wie sieht es diesbezüglich mit der 2FA-Implementierung aus?

Gruß

Moin! Besten Dank für die Info!
Ich finde eine siebenstellige Kundennummer als erste Hälfte eines Login-Formulars nicht sehr geeignet, um die Sicherheit zu erhöhen. 2FA-Implementierung wäre dann sehr gut.

Beste Grüße
Carsten Witt.

Das sowieso, und wenn ich DFs Twitter-Account richtig verstanden habe, arbeitet man daran oder hat es zumindest auf die To-do-Liste gesetzt (siehe https://twitter.com/DomainFactory/st...84081090007041).

Allerdings ist vermutlich ein Domainname noch einfacher herauszubekommen; der Verzicht darauf ist also auch nicht gerade eine Verschlechterung der Sicherheit.

Gruß
Jan

Hallo zusammen,

wie beschrieben, ist es ein erster Schritt. Sobald weitere Informationen zu nachfolgenden Schritten vorliegen, werden wir die natürlich mitteilen.

Mit freundlichen Grüßen

Nils Dornblut

Oh, interessant. Kannte ich gar nicht den Tweet

Wenn es in der Richtung was genaueres zu berichten gibt melden wir uns.

Viele Grüße

Nils

Bei anderen Providern kann man eine Email für jeden Login bekommen, so dass man sofort wüsste, wenn sich jemand einloggt. Mit Standort und IP in der Email.

Ist beruhigend, wenn dann keine solche EMail kommt und man es nicht selber ist.

Hallo Schmitti,

mal schauen, was sich da für die Zukunft ergibt. Wie schon angemerkt wurde sind wir durchaus an Dingen dran

Mit freundlichen Grüßen

Nils Dornblut

Mir fallen da noch einige weitere Dinge ein, die mal aufgeräumt werden könnten, wie z.B. den Mailbox-Login auf die Postfachkennung zu beschränken, anstatt dort auch Mailadressen zu akzeptieren, oder den SMTP- und IMAP-Zugriff auf die offiziellen TLS-Domains zu beschränken, anstatt Aliase unter Kundendomains anzulegen. Einen kanonischen Namen für genau einen Zweck zu heben, ist fast immer die beste Lösung.

Zur Erhöhung der Sicherheit haben Sie ja jetzt alle Kundennummern noch einmal per E-Mail an die jeweils hinterlegte Adresse verschickt.
In der Mail beschreiben Sie auch ausführlich, wo im Kundenmenü man seine Kundennummer findet.

Im Kundenmenü und auf Rechnungen beginnt die Kundennummer mit einem Buchstaben.
Angegeben ist in der Mail aber ein rein numerischer Wert.
Ist die Angabe des Buchstabens optional oder wurde der Buchstabe in der Mail zwecks Erhöhung der Sicherheit weggelassen?

Werden Sie zukünftig auch weiterhin (zur Erhöhung der Sicherheit) den ersten Teil der Zugangsdaten in all Ihren Mails (Kündigungsbestätigungen, Rechnungen) angeben?

Grüße
fp

Wenn ich mich recht erinnere, war es ursprünglich, vor vielen Jahren, auch einmal so, d.h. die Möglichkeit E-Mail = Postfachlogin wurde erst auf vielfachen Kundenwunsch umgesetzt.

Mir schleierhaft, warum das hier gefeiert wird. Nachdem ich nun zwangsweise ein Passwort habe, welches ich mir nicht mehr merken kann, habe ich dann demnächst auch noch einen Login, den ich mir nicht mehr merken kann. Inwiefern jetzt meine Kundennummer - die ja nur aus Zahlen besteht - sicherer sein soll, als der Domainname, weiß wohl nur DF. Wenn wir dann irgendwann auch noch zwangsweise 2FA auf's Auge gedrückt bekommen, läute ich hier nach 20 Jahren meinen Abgang ein. Nach Passwort-Bevormundung, PHP-Versionsbevormundung und allen möglichen weiteren "Sicherheits"bevormundungen, mit denen man hier in den letzten Monaten konfrontiert wurde, reicht es irgendwann auch mal. Als nächstes muss ich erst eine Blutprobe einschicken, bevor ich mich in meinen Account einloggen darf. Sicherheit schön und gut, aber wenn es dadurch zunehmend umständlicher und unpraktikabler wird, sollte man zumindest dem Kunden die Wahl lassen, welches Maß an Sicherheit er möchte, statt ihm ständig irgendwas aufzuzwingen. Allein schon, wie oft ich hier irgendwelche Passwörter wieder zurücksetzen musste, seit sie nicht mehr wie früher im Kundenmenü einsehbar sind, nervt ohne Ende.

Wenn man bei einer Kundennummer auch nur einen Auftrag hat, dann ist das im Prinzip egal ob Login mit Kunden oder Auftragsnummer. Für mich wird es nun wieder eine Zwischenschritt mehr um in den Auftrag mit ManagedMail zu gelangen. Außer man könnte festlegen im Kundenmenü in welchen Auftrag man nach dem Login direkt hineinkommt. Falls das noch nicht angedacht ist, bitte ich die Implemntierung dieser Option zu prüfen. Danke!

Finde das jezt auch nicht so schlecht. Wer sich ein komplexes Passwort merken kann, der doch dann auch eine Kundennummer.
Und wer nicht, der nutzt eben einen Passwortmanager. WebDAV und KeePass tut übrigens auch wunderbar.
Bin mal gespannt wann 2FA kommt. Info-Mail bei Login finde ich übrigens auch eine gute Idee.


Jau, genau so war das. Lange Zeit war nur ein Login mit der Mailboxnummer möglich.
Afair war ein Punkt, dass viele Endkunden (Mailboxnutzer) sich gerne mobil einloggen wollten, sich aber die Nummer nicht merken konnten. (Eigenes Passwort vergeben ist ja schon ewig möglich.)
Ja, da gab es oft nur die kaputten Browser der Hersteller die oft auch kein Passwort-/Benutzername speichern hatten.

Ich weiß das noch ziemlich genau, weil ich damals für Roundcube ein Plugin geschrieben habe was über die Passwort-ändern-Funktion die Mailbox-ID nachschaute und die für den Login nutze. 🙈

Seit Jahren ist 2FA ein Wunsch, passiert ist da noch nichts. Da glaubst du doch nicht, dass jetzt auf einmal die Zeit für eine Pro-Kunden-Option Login-Optionen wäre?

Mag sein, dass das nervt. Nebeneffekt von "Passwörter anzeigen" war aber eben dass die Passwörter im Klartext gespeichert wurden. Das ist rein technisch schon lange ein No-Go, ebenso datenschutztechnisch schwierig.
Klar, kann man da irgendwas zusammen schustern. Das hat aber auch wieder unnötig komplexe Fehlerquellen.

Hallo zusammen,

es ist klar, dass die Umstellung es erst einmal nicht bequemer macht und wir möchten Sie auch nicht feiern. Es ging um die Information, dass wir die Änderung machen, sich zukünftig die Nutzung verbessern wird und wir die Sicherheit erhöhen, wenn die Maßnahmen alle abgeschlossen sind. Was wie weiter kommt werden wir dann jeweils erklären.

Mit freundlichen Grüßen

Nils Dornblut