Eine gewisse Identifizierung muss ja möglich sein und per E-Mail ist jetzt grundsätzlich ja nur für Sie einsehbar.

A und K haben historische Gründe und sind zukünftig nicht mehr nötig.

Wir werden diese auch weiterhin in der persönlichen Kommunikation nutzen, damit eine Identifizierung möglich ist. Wie bereits gesagt, es liest die E-Mails ja kein Unberechtigter. Gegen ein Hack Ihrer Zugangsdaten zum E-Mail-Account wird es so erst einmal nicht reichen, das ist richtig, aber wie gesagt auch nicht wirklich anders möglich ohne zusätzliche Absicherung.

Mit freundlichen Grüßen

Nils Dornblut

Wären die e-mails verschlüsselt, könnte ich diese Auskunft nachvollziehen. So ist das natürlich, und das wissen Sie bestimmt, falsch.

Passwörter werden darüber nicht übertragen, wir tun serverseitig alles dafür, dass die E-Mails verschlüsselt übertragen werden und wir behaupten auch nicht, dass die Kundennummer quasi das größte Geheimnis dieser Welt sind. Sie ist aber sicher weniger bekannt als Domains von Ihnen, die weitestgehend recht frei zugänglich recherchiert werden können.

Mit freundlichen Grüßen

Nils Dornblut

unverschlüsselte e-mails sind aber grundsätzlich auch für andere einsehbar und nicht nur für den empfänger -- das war der punkt. die verwendung einer bisher nicht vertraulich zu behandelnden information (die kundennummer) nun als sicherheitsgewinn zu verkaufen und sie gleichzeitig unverschlüsselt, also offen, in der welt herum zu schicken ist halt zumindest hinterfragenswürdig. eine korrekt umgesetzte (optional aktivierbare) 2-faktor-authentifizierung würde hier viel besser helfen und ein realer sicherheitsgewinn für alle, die sie aktivieren, sein.

dass die domains wahrscheinlich bekannter sind als kundennummern ist sicher richtig. aber eine wirkliche lösung ist das halt noch nicht und sollte auch nicht so dargestellt werden, wenn man die kundennummer gleichzeitig unverschlüsselt in der gegend herum schickt.

Für das Gejammer wegen der Zugangsdaten habe ich echt null Verständnis. Wer immer wieder die "Passwort vergessen"-Funktion benutzen muss, zeigt damit nur, dass er sein Leben nicht organisiert bekommt. Dazu gibt es schließlich Passwort-Manager, oder man baut sich sein Passwort aus einer Eselsbrücke zusammen. Auch die Behauptung, man könne sich einen Login nicht merken ist Blödsinn. Jeder geistig normal entwickelte Mensch kann sich etwas, das er mehrmals in der Woche nutzt einprägen, selbst dann, wenn es eine völlig unsinnige Ziffern/Zahlen-Kombination ist.

Prinzipiell beruht die Sicherheit auf dem Passwort, aber die Angriffsfläche zu minimieren, indem man die Domain nicht zur Nutzerkennung macht, ist dennoch sinnvoll. Die Domain kennt jeder. Unverschlüsselte E-Mails kann das nächstbeste Skriptkiddie aber nicht mitlesen. Zwei-Faktor-Authentifizierung kommt sicherlich noch, und sie sollte verplichtend sein. Wer das als Kündigungsgrund sieht, dem fehlt es an geistiger Reife, um im Internet geschäftsfähig zu sein.

Ich reg mich ja hier über vieles auf, aber ich muss mich meinem Vorredner anschließen. Gewöhnt euch um und nach einem Tag ist der Login kein Ding mehr

DF versucht gerade sehr viel aufzuarbeiten, seid doch froh dass es endlich mal wieder vorwärts geht.....klar kann man einiges besser machen, aber das geht nicht von heute auf morgen.

Ah ja, wer sich kryptische Zeichenfolgen oder irgendwelche Ziffernfolgen nicht merken kann, der kriegt sein Leben nicht organisiert, ist geistig unterentwickelt und unreif - interessante Theorien. Erfüllt eigentlich fast schon den Tatbestand der Beleidigung.

Zum Thema:

1) Ein Passwort-Manager hilft mir herzlich wenig, wenn ich gerade unterwegs bin und an dem verwendeten Device keinen Zugriff darauf habe. Darüber hinaus ist es zusätzlicher Aufwand für mich, meine Passwörter etc. erst immer irgendwo nachschlagen zu müssen. Von der Gefahr, dass jemand nur noch ein Passwort knacken muss, um Zugriff auf alle meine Zugangsdaten zu haben, mal ganz abgesehen. Da sind Logins und Passwörter, die ich mir einfacher merken kann und dadurch nirgends abspeichern muss, die deutlich sicherere Variante.
2) Ich nutze meinen Zugriff auf's Kundenmenü nicht mehrmals in der Woche, sondern alle Jubeljahre mal. Jetzt jedesmal nachschauen zu müssen "Ach, wie war die Kundennummer noch gleich" ist einfach ein erhöhter Aufwand, den ich nicht haben möchte.
3) Ich lasse mich grundsätzlich nicht bevormunden. Wenn Ihnen persönlich 2FA wichtig ist und es irgendwann optional angeboten werden wird, dürfen Sie das nach eigenem Gutdünken ja gerne aktivieren. Ich hingegen möchte - angefangen von der Komplexität meiner Passwörter bis hin zu weiteren Schutzmechanismen - gerne selber bestimmen, welches Maß an "Sicherheit" ich haben möchte.
4) Wer sich wirklich Zugang verschaffen will, der schafft das auch.

Diese Meinung gilt immer so lange, wie nichts passiert. Wenn dann etwas passiert, und du der Geschädigte bist, ist doch der Anbieter schuld.

Nö. Und was soll denn bitte passieren? Meine Zugangsdaten kenne ich und sonst niemand. Auch treibe ich mich nicht in komischen Gefilden herum, wo ich mir irgendwelche Ausspähsoftware einfangen könnte - und privat kommt mir sowieso kein Windows-Betriebssystem ins Haus, damit ist die Gefahr per se schon mal minimiert. Ein "sicheres" Passwort ist per Brute-Force im ungünstigen Fall außerdem genau so schnell geknackt, wie ein "unsicheres", je nachdem beim wievielten Versuch es an der Reihe ist.

Ein infizierter USB-Stick eines Freundes reicht, und Schadsoftware kann man sich von jeder beliebigen Website einfangen. Werbeeinblendungen werden z. B. gern genutzt, oder eine Site wird gehackt, oder man nutzt eine Sicherheitslücke aus und verwendet user generated content, oder...





... und so weiter und so fort.

Die Wahrscheinlichkeit, dass es früh dran ist, sinkt bei einem "sicheren" Passwort aber extrem, und die mittlere Zeit, bis es geknackt ist, steigt extrem an (auch schon mal um ein paar zehntausend Jahre oder mehr). Mit solchen Argumenten lügst Du Dir selbst in die Tasche.

Gruß
Jan

Ich nutze KeePass plattformübergreifend auf Windows, MacOSX und iOS. Die .kbx Datenbankdatei wird in eine verschlüsselte OwnCloud gelegt und ist mit einem sehr starken Masterpasswort versehen, dass nur ich im Kopf habe. Habe also alle Zugangsdaten immer und auch unterwegs parat und von zusätzlichem Aufwand kann man nun wirklich nicht sprechen. Eher im Gegenteil. Zumal ich überall (!) unterschiedliche komplexe Passwörter verwende (die generiert mir KP gleich mit).

Wenn Du KeePass verwendest musst Du noch nichtmal nachschlagen. Wir haben es so konfiguriert dass wir beispielsweise einen FTP-Zugang per Mausklick aus KeePass heraus öffnen können. KeePass unterstützt es die entsprechenden Programme so aufzurufen dass die Zugangsdaten übergeben werden. Das ist nicht nur supersicher sondern auch komfortabler als selber alles einzutippen

Ich persönlich nutze dafür seit Jahren 1Password und denke auch, dass ich damit sicherer bin. Klar, es gibt einen Single Point of Failure, das ist mein Masterpassword. Aber das habe ich tatsächlich nirgends aufgeschrieben. Und noch komfortabler als mit einem Passwort Manager geht es tatsächlich nicht!

Die E-Mails sollten bei Nutzung eines Account bei uns nur verschlüsselt übertragen werden. Auch bei entsprechend konfigurierten anderen E-Mail-Servern. Klar, die E-Mails selbst können nicht verschlüsselt werden. Das hat jetzt aber auch nichts mit der Kundennummer oder wie auch immer zu tun.

Wir versenden wie gesagt immer verschlüsselt, der Text selbst ist nicht Ende zu Ende verschlüsselt, das ist klar. Auch verkaufen wir das nicht als Sicherheitsgewinn. Es ist ein Schritt von weiteren die folgen werden.

Mit freundlichen Grüßen

Nils Dornblut

hallo,

Die Kundennummer ist im unverschlüsselten e-mail enthalten. Nur eine korrekte Ende-2-Ende-Verschlüsselung hilft hier; kein TLS, was Sie ansprechen wie ich vermute. Und natürlich könnten die e-mails selbst verschlüsselt werden, wenn man möchte.

domainfactory verkauft die Verwendung der Kundennummer sehr wohl als Sicherheitsgewinn. Und wenn man hier konsequent wäre, sollte man die Kundennummer daher nicht mehr unverschlüsselt in der Gegend herum schicken.

Ich warte auf die Themen, die kommen und hoffe, dass wir bald 2-Faktor-Authentifizierung erhalten. *Das* wuerde sinnvoll die Sicherheit erhöhen für all jene, die das möchten.