Jump to content

Magenta Community

Extended search for „
🎶🎉🎈1 JAHR MAGENTA MOMENTS-JUBILÄUM - FEIER DEN MOMENT🎈🎉🎶
  • 0

ConnectBox Security Issue - Passworteingabe

josef123

Asked by josef123,

 Share

Question

josef123 Starter

josef123

Posted
Posted

Hallo,

 

mich stört schon seit einiger Zeit, dass das Passwort der ConnectBox beim Login im Klartext angezeigt wird. Es gehört eigentlich seit über 30 Jahren zu den Best Practices in der IT, ein Passwort bei der Eingabe zu obfuscaten - also zum Beispiel "****" anstatt des echten Passworts anzuzeigen.

 

Es ist mir einfach unbegreiflich, wie ein Netzwerkinfrastruktur-Unternehmen mit der Größe und Bedeutung Magentas, welches im Internet operiert und somit bei Security Vorbildwirkung haben sollte, soetwas in Produktion releasen kann.

 

Vielleicht kann ja mal jemand in den Firmware-Source gehen, und auf der Login-Page des Modems aus...

<input type="text" id="loginPassword" name='loginPassword' value=""

 

das hier machen:

<input type="password" id="loginPassword" name='loginPassword' value=""

 

Hab da schonmal vor einem Jahr beim Helpdesk angefragt, aber da kam nur "jaja leiten das weiter blabla" (Amazing Security (TM)).

 

Vielleicht könnte man diese Info jemandem zuführen, der mit ITSEC etwas anfangen kann.

 

Danke!

Link to comment
Share on other sites

16 answers to this question

Recommended Posts

  • 2
MarioM Top Community Expert

MarioM

Posted
Posted
22 hours ago, josef123 said:

Hallo,

 

mich stört schon seit einiger Zeit, dass das Passwort der ConnectBox beim Login im Klartext angezeigt wird. Es gehört eigentlich seit über 30 Jahren zu den Best Practices in der IT, ein Passwort bei der Eingabe zu obfuscaten - also zum Beispiel "****" anstatt des echten Passworts anzuzeigen.

 

Es ist mir einfach unbegreiflich, wie ein Netzwerkinfrastruktur-Unternehmen mit der Größe und Bedeutung Magentas, welches im Internet operiert und somit bei Security Vorbildwirkung haben sollte, soetwas in Produktion releasen kann.

 

Vielleicht kann ja mal jemand in den Firmware-Source gehen, und auf der Login-Page des Modems aus...

<input type="text" id="loginPassword" name='loginPassword' value=""

 

das hier machen:

<input type="password" id="loginPassword" name='loginPassword' value=""

 

Hab da schonmal vor einem Jahr beim Helpdesk angefragt, aber da kam nur "jaja leiten das weiter blabla" (Amazing Security (TM)).

 

Vielleicht könnte man diese Info jemandem zuführen, der mit ITSEC etwas anfangen kann.

 

Danke!

Ich verstehe deine Bedenken, möchte aber auch gleich mal vorweg sagen, dass ein <input type="password" /> bei weiten mich sicher ist ... das sagt nur, dass derjenige der hinter dir steht das Passwort nicht direkt sieht ...

Link to comment
Share on other sites
  • 1
josef123 Starter

josef123

Posted
  • Author
Posted
Am 21.9.2020 um 08:45 schrieb MarioM:

Ich verstehe deine Bedenken, möchte aber auch gleich mal vorweg sagen, dass ein <input type="password" /> bei weiten mich sicher ist ... das sagt nur, dass derjenige der hinter dir steht das Passwort nicht direkt sieht ...

 

...und genau darum gehts auch in meiner Kritik, insofern ist es eine einfache, ausreichende und valide Lösung des geschilderten Problems. Man könnte natürlich auch endlos darüber philosophieren, wie sicher Passwörter sind, aber das ist hier nicht das Ziel.

Link to comment
Share on other sites
  • 1
IT-Freak Top Community Expert

IT-Freak

Posted
Posted

Es gibt Situationen wo es sogar sicherer ist, das Passwort anzuzeigen. Denn dadurch kann man dann hergehen und die Fehlversuchtolleranz zu reduzieren.

Bei einer Firma im Bereich kritischer Infrastruktur war es so, dass erst einmal ab 10 000 Fehlversuche eine Notification aufgetaucht ist. (Kein Alarm) 

Wenn ich das vergleiche mit anderen Firmen, wo nach 3 Versuchen ein Alarm auftritt und der User gesperrt wird, hat es mich nicht gewundern, als in den Nachrichten von der Firma berichtet wurde, weil sie gehackt wurden.

Link to comment
Share on other sites
  • 1
MarioM Top Community Expert

MarioM

Posted
Posted
15 hours ago, josef123 said:

 

...und genau darum gehts auch in meiner Kritik, insofern ist es eine einfache, ausreichende und valide Lösung des geschilderten Problems. Man könnte natürlich auch endlos darüber philosophieren, wie sicher Passwörter sind, aber das ist hier nicht das Ziel.

Was ich damit sagen will, wenn dein Passwort das Gebutsdatum von Margarete, Gräfin von Henneberg-Coburg ist, dann hilft auch das Passworteingabe Feld nicht ;) ...
Also es beruhigt vielleicht den einen oder anderen, wenn er das Passwort als Punkte dargestellt bekommt - dafür, natürlich

Link to comment
Share on other sites
  • 1
josef123 Starter

josef123

Posted
  • Author
Posted
Am 28.9.2020 um 11:46 schrieb IT-Freak:

Wenn du unbedingt ein Security Ticket aufmachen möchtest, kann du das gerne machen. 

E-Mail Adresse siehe PN. Wobei ich stark zweifle, dass sich da etwas ändern wird.

 

Danke, werde ich machen. Na ich hoffe mal das Gegenteil, sollte für jeden, der etwas von Security versteht ein no-brainer sein.

Link to comment
Share on other sites
  • 1
josef123 Starter

josef123

Posted
  • Author
Posted
Am 30.9.2020 um 21:29 schrieb IT-Freak:

Freut mich, wenn dir das geholfen hat. Wobei ich würde da nicht die zu viel erwarten. Ich denke, dass dies nicht die höchste Priorität haben wird. 

 

Ja da hast du sicher recht. Alleine die Tatsache, dass es so beim Testen abgesegnet und auch released wurde, lässt nicht viel erwarten.

 

Mir ist noch eine andere Folgeerscheinung dieser etwas unglücklichen Passworteingabe aufgefallen: die Android-Tastatur merkt sich das Passwort nach der Eingabe (da sie aufgrund des falschen Feldtyps nicht weiß, dass es sich um ein Passwort handelt, und glaubt, ein neues Wort gelernt zu haben), und schlägt mir das Passwort im Klartext jetzt immer in allen anderen Anwendungen vor, wenn ich den Anfangsbuchstaben tippe.

 

Super-nervig das Ganze.

Link to comment
Share on other sites
  • 1
MarioM Top Community Expert

MarioM

Posted
Posted
17 hours ago, IT-Freak said:

Das Phänomen kenne ich auch, aber bei mir wüsste eigentlich die Tastatur das es ein Passwort ist

Woher sollte sie es wissen, wenn das Feld den falschen Typ hat?

 

On 17/10/2020 at 9:29 PM, josef123 said:

 

Ja da hast du sicher recht. Alleine die Tatsache, dass es so beim Testen abgesegnet und auch released wurde, lässt nicht viel erwarten.

 

Mir ist noch eine andere Folgeerscheinung dieser etwas unglücklichen Passworteingabe aufgefallen: die Android-Tastatur merkt sich das Passwort nach der Eingabe (da sie aufgrund des falschen Feldtyps nicht weiß, dass es sich um ein Passwort handelt, und glaubt, ein neues Wort gelernt zu haben), und schlägt mir das Passwort im Klartext jetzt immer in allen anderen Anwendungen vor, wenn ich den Anfangsbuchstaben tippe.

 

Super-nervig das Ganze.

Sowas darf natürlich nicht passieren - das ist ja wirklich ein großer Käse ...

Link to comment
Share on other sites
  • 1
josef123 Starter

josef123

Posted
  • Author
Posted
Am 19.10.2020 um 09:01 schrieb IT-Freak:

Jup, unter Android wird das der Tastatur gesagt, was es ist.

 

Grundsätzlich ja, aber das geht natürlich nur, wenn das Feld im HTML auch korrekt als Passwort deklariert ist, womit wir wieder bei meinem ursprünglichen Anliegen gelandet wären....

 

So wie es derzeit ist, wissen weder Browser noch Tastatur, dass es sich um ein Passwortfeld handelt, daher wird alles eingegebene angezeigt und evt. auch gespeichert (verwende auch gboard).

 

lg Josef

Link to comment
Share on other sites
  • 0
josef123 Starter

josef123

Posted
  • Author
Posted
Am 25.9.2020 um 12:15 schrieb MarioM:

Was ich damit sagen will, wenn dein Passwort das Gebutsdatum von Margarete, Gräfin von Henneberg-Coburg ist, dann hilft auch das Passworteingabe Feld nicht ;) ...
Also es beruhigt vielleicht den einen oder anderen, wenn er das Passwort als Punkte dargestellt bekommt - dafür, natürlich

 

Ich verstehe leider nicht ganz, was genau du mir damit sagen möchtest. Es ist auch völlig Powidl was das eigentliche Passwort ist, es während der Eingabe anzuzeigen ist ein nogo. Kann schon sein, dass man sich damit ein paar Hotline-Anrufe erspart, weil sich die Oma bei der Eingabe ständig vertippt, aber auch dafür gibt es sicherheitskonforme Lösungen ;-)

Link to comment
Share on other sites
  • 0
MarioM Top Community Expert

MarioM

Posted
Posted
On 26/09/2020 at 8:55 PM, josef123 said:

 

Ich verstehe leider nicht ganz, was genau du mir damit sagen möchtest. Es ist auch völlig Powidl was das eigentliche Passwort ist, es während der Eingabe anzuzeigen ist ein nogo. Kann schon sein, dass man sich damit ein paar Hotline-Anrufe erspart, weil sich die Oma bei der Eingabe ständig vertippt, aber auch dafür gibt es sicherheitskonforme Lösungen ;-)

Was ich sagen möchte, jegliche sicherkeintskonforme Lösung ist für den Hugo, wenn dein Passwort 1234 ist zum Beispiel ...

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing