Passwörter speichern

[IT-Freak]

Hallo @Käthe,

Ich nehme mal an, dass der Post https://mobile.twitter.com/tmobileat/status/982187919061303296?s=09 von dir stammt.

Abgesehen davon, das viele 15 € WLAN Router Passwörter besser Speichern als ein großer Mobilfunker, möchte ich das Thema nicht unkommentiert stehen lassen.

Zum einstieg, ein kleines Video was das Thema gut zusammen fast. 

 

Ich muss leider aus Erfahrung sagen, dass die Security bei den ISPs nicht so gut ist wie sie denken. 

(Ich hoffe, ihr habt das Passwort im Forum gehashed und individuell gesalzen gespeichert. Aber was kann schon schief gehen, mit meinem Passwort kommt ihr nur in nicht öffentliche Bereiche von anderen Foren (welche zum Teil von anderen ISPs betrieben wird), Blogs, E-Mails Accounts, PCs, Server, was wollt ihr mehr?

Wünscht mit für Montag viel Spaß, wenn ich für die Lassalstraße 9 ein neues Passwort mir ausdenken darf.
(Wobei, das wäre ein Argument, endlich für den Blog ein anderes Passwort zu nehmen als für das Forum)

 

[IT-Freak]

Es wird nur noch besser:
https://www.golem.de/news/t-mobile-oesterreich-klartextpasswoerter-und-amazing-security-bei-t-mobile-at-1804-133713.html

Ich glaube, ich muss jetzt eine Zeit mein Smartphone liegen lassen, das Thema noch länger verfolgen ist vermutlich ungesund.

 

[Gast]

Ich kann versichern, dass die Passwörter in der Community nicht im Klartext, sondern gehashed gespeichert werden und dementsprechend sicher sind. In der Community werden auch keine Kundendaten oder anderen Kennwörter gespeichert. 

In Punkto Kennwort-Sicherheit, hier der offizielle T-Mobile Tweet. 

 LG Phil 
 

[IT-Freak]

Wie werdet ihr die Kennwörter für Mein T-Mobile in Zukunft Speicher?

Eine sauber Lösung, wäre das einführen eines "Telefon Kennwort" wie es bei anderen Anbietern schon gibt.

Das wäre eine gute Möglichkeit 2 step Verifikation anzubieten.

[Gast]

Da wir die Diskussionen über Security-Standards sehr ernst nehmen, werden wir weitere Maßnahmen setzen. Dazu wird künftig das Online-Passwort „gesalted“ und „gehashed“ abgespeichert, dies gilt derzeit als State-of-the-Art.

Für weitere Kanäle wie Shops und Callcenter werden wir ein zweites Sicherheitskriterium einführen. Diese Maßnahmen werden so rasch wie möglich umgesetzt.

 

 

[MarioM]

Um Risiken zu minimieren, solle man sowieso für jedes Login ein anderes Passwort verwenden - dann kann auch am wenigsten Schaden angerichtet werden, wenn einmal ein Passwort preisgegeben wird ...

[Wolfi-WA]

Passwort Desaster. Mein Internet Zugriff wurde gelöscht, Einer hat mit meinem Passwort wegen Tarferhöhung angerufen, und der Vertrag gekündigt.

Kann es nicht sein oder. Steht jetzt depat da. Ich habe gesagt, ihr müßt doch verifizeiren dass ich nicht anrufe!

[MarioM]

On 3/22/2019 at 11:54 PM, Wolfi-WA said:

Passwort Desaster. Mein Internet Zugriff wurde gelöscht, Einer hat mit meinem Passwort wegen Tarferhöhung angerufen, und der Vertrag gekündigt.

Kann es nicht sein oder. Steht jetzt depat da. Ich habe gesagt, ihr müßt doch verifizeiren dass ich nicht anrufe!

Wie sollen sie das denn verifizieren? Genau dafür gibts es doch ein Password / Kundenkennwort etc....

[5igi3lue]

Am 22.3.2019 um 23:54 schrieb Wolfi-WA:

und der Vertrag gekündigt.

Geht Vertrag Kündigung per Kundenkennwort? Dachte das geht nur schriftlich?

[Wolfi-WA]

Eben. Aber wenn ich nach den Vorfall diese ändere, und sie (ServiceLINE!!!!) fragen nach dem alten, dann fühle ich mich etwas veräppelt.

Wenn der Hansfranz wieder anruft, kann er wieder alles umdrehen, wenn das alte nachwie vor zu verwenden ist!

[MarioM]

Aber wurde jetzt nur der Tarif erhöht? Oder der Vertrag komplett gekündigt - das würde sich ja widersprechen ...

[Andrea_]

vor 15 Stunden schrieb Wolfi-WA:

Eben. Aber wenn ich nach den Vorfall diese ändere, und sie (ServiceLINE!!!!) fragen nach dem alten, dann fühle ich mich etwas veräppelt.

Wenn der Hansfranz wieder anruft, kann er wieder alles umdrehen, wenn das alte nachwie vor zu verwenden ist!

Hallo @Wolfi-WA,

das bedauern wir wirklich sehr zu hören. Es gibt ein paar Punkte, die ich gerne aufkläre:

Dir stand, das kann ich deinen Angaben entnehmen, durch die HomeNet Änderung ein außerordentliches Kündigungsrecht zu. Außerordentliche Kündigungen müssen über jeden Servicekanal angenommen werden. An der Servicehotline ist eine Authentifizierung immer mit dem Kundenkennwort erforderlich. 

Hierzu ein paar Informationen: Seit Inkrafttreten der Datenschutzverordnung 2018 gibt es bei uns eine klare Trennung zwischen dem Kundenkennwort (das bei der Kommunikation mit unserem Kundenservice benötigt wird) und dem Onlinepasswort (das für den Einstieg ins Onlineportal und in die App benötigt wird). 

Wenn sich also jemand an der Hotline mit deinem Kundenkennwort gemeldet und die außerordentliche Kündigung in Anspruch genommen hat, dann ist das wirklich sehr ärgerlich. Die Frage ist hierbei, wie diese Person an dein Kundenkennwort gekommen ist. Wer ist/war denn in Kenntnis über dein Kundenkennwort? 

Ich rate dir an, dein Kundenkennwort abzuändern. Dazu ist es notwendig, dass du unter https://mein.t-mobile.at ein Onlinepasswort festlegst und dann unter "Meine Daten" -> "Kennwörter" ein neues Kundenkennwort festlegst, damit es zukünftig nicht mehr zu solchen, für dich nicht nachvollziehbaren, Änderungen kommen kann.

Wurde die Reaktivierung für deinen Vertrag am Ende zufriedenstellend umgesetzt?

LG Andrea 

[Wolfi-WA]

Zugang geht seit gestern abends wieder!

Niemand hat zu meine Daten Zugang, interessant wäre die Rufnummer die da angerufen hat.

Ich vermute da einen ausgefuxten Anrufer, der mit einem gewieften System das Passwort auf Zufall herausfand.

 

 

[IT-Freak]

@Wolfi-WA

Vielleicht habe wir hier alle die falschen Fragen gestellt.

So ein Kennwort sollte man nicht erraten können, schon gar nicht als wild fremder. Im nahen Umfeld kann es jedoch schon sein, dass jemand einem so gut kennt, dass man eine Idee bekommen könnte wie das Passwort gestrickt sein könnte.

Die Frage: Wer würde dich gerne offline sehen?

Was hätte man davon, dich offline zu setzen?

(Ich gehe einmal davon aus, dass keine Lösegeld Forderung für den Internet Anschluss kam.)

[Wolfi-WA]

Jep gab keine Forderung. Ne scheinbar hatte die Person auch die Rufnummer, das Kundenkennwort. Siehe auch in einem anderen Beitrag.

Wer es war gute Frage: kritische Parteikontrahenten, dennoch so was muss extrem mühsam sein!

https://community.t-mobile.at/topic/4862-würde-gekündigt-obwohl-ich-das-nicht-beantragt-hatte/