Zum Inhalt springen

Magenta Community

  • 0

ConnectBox Security Issue - Passworteingabe


josef123

Frage

Hallo,

 

mich stört schon seit einiger Zeit, dass das Passwort der ConnectBox beim Login im Klartext angezeigt wird. Es gehört eigentlich seit über 30 Jahren zu den Best Practices in der IT, ein Passwort bei der Eingabe zu obfuscaten - also zum Beispiel "****" anstatt des echten Passworts anzuzeigen.

 

Es ist mir einfach unbegreiflich, wie ein Netzwerkinfrastruktur-Unternehmen mit der Größe und Bedeutung Magentas, welches im Internet operiert und somit bei Security Vorbildwirkung haben sollte, soetwas in Produktion releasen kann.

 

Vielleicht kann ja mal jemand in den Firmware-Source gehen, und auf der Login-Page des Modems aus...

<input type="text" id="loginPassword" name='loginPassword' value=""

 

das hier machen:

<input type="password" id="loginPassword" name='loginPassword' value=""

 

Hab da schonmal vor einem Jahr beim Helpdesk angefragt, aber da kam nur "jaja leiten das weiter blabla" (Amazing Security (TM)).

 

Vielleicht könnte man diese Info jemandem zuführen, der mit ITSEC etwas anfangen kann.

 

Danke!

Link zu diesem Kommentar
Auf anderen Seiten teilen

16 Antworten auf diese Frage

Recommended Posts

  • 2
22 hours ago, josef123 said:

Hallo,

 

mich stört schon seit einiger Zeit, dass das Passwort der ConnectBox beim Login im Klartext angezeigt wird. Es gehört eigentlich seit über 30 Jahren zu den Best Practices in der IT, ein Passwort bei der Eingabe zu obfuscaten - also zum Beispiel "****" anstatt des echten Passworts anzuzeigen.

 

Es ist mir einfach unbegreiflich, wie ein Netzwerkinfrastruktur-Unternehmen mit der Größe und Bedeutung Magentas, welches im Internet operiert und somit bei Security Vorbildwirkung haben sollte, soetwas in Produktion releasen kann.

 

Vielleicht kann ja mal jemand in den Firmware-Source gehen, und auf der Login-Page des Modems aus...

<input type="text" id="loginPassword" name='loginPassword' value=""

 

das hier machen:

<input type="password" id="loginPassword" name='loginPassword' value=""

 

Hab da schonmal vor einem Jahr beim Helpdesk angefragt, aber da kam nur "jaja leiten das weiter blabla" (Amazing Security (TM)).

 

Vielleicht könnte man diese Info jemandem zuführen, der mit ITSEC etwas anfangen kann.

 

Danke!

Ich verstehe deine Bedenken, möchte aber auch gleich mal vorweg sagen, dass ein <input type="password" /> bei weiten mich sicher ist ... das sagt nur, dass derjenige der hinter dir steht das Passwort nicht direkt sieht ...

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1
Am 21.9.2020 um 08:45 schrieb MarioM:

Ich verstehe deine Bedenken, möchte aber auch gleich mal vorweg sagen, dass ein <input type="password" /> bei weiten mich sicher ist ... das sagt nur, dass derjenige der hinter dir steht das Passwort nicht direkt sieht ...

 

...und genau darum gehts auch in meiner Kritik, insofern ist es eine einfache, ausreichende und valide Lösung des geschilderten Problems. Man könnte natürlich auch endlos darüber philosophieren, wie sicher Passwörter sind, aber das ist hier nicht das Ziel.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1

Es gibt Situationen wo es sogar sicherer ist, das Passwort anzuzeigen. Denn dadurch kann man dann hergehen und die Fehlversuchtolleranz zu reduzieren.

Bei einer Firma im Bereich kritischer Infrastruktur war es so, dass erst einmal ab 10 000 Fehlversuche eine Notification aufgetaucht ist. (Kein Alarm) 

Wenn ich das vergleiche mit anderen Firmen, wo nach 3 Versuchen ein Alarm auftritt und der User gesperrt wird, hat es mich nicht gewundern, als in den Nachrichten von der Firma berichtet wurde, weil sie gehackt wurden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1
15 hours ago, josef123 said:

 

...und genau darum gehts auch in meiner Kritik, insofern ist es eine einfache, ausreichende und valide Lösung des geschilderten Problems. Man könnte natürlich auch endlos darüber philosophieren, wie sicher Passwörter sind, aber das ist hier nicht das Ziel.

Was ich damit sagen will, wenn dein Passwort das Gebutsdatum von Margarete, Gräfin von Henneberg-Coburg ist, dann hilft auch das Passworteingabe Feld nicht ;) ...
Also es beruhigt vielleicht den einen oder anderen, wenn er das Passwort als Punkte dargestellt bekommt - dafür, natürlich

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1
Am 28.9.2020 um 11:46 schrieb IT-Freak:

Wenn du unbedingt ein Security Ticket aufmachen möchtest, kann du das gerne machen. 

E-Mail Adresse siehe PN. Wobei ich stark zweifle, dass sich da etwas ändern wird.

 

Danke, werde ich machen. Na ich hoffe mal das Gegenteil, sollte für jeden, der etwas von Security versteht ein no-brainer sein.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1
Am 30.9.2020 um 21:29 schrieb IT-Freak:

Freut mich, wenn dir das geholfen hat. Wobei ich würde da nicht die zu viel erwarten. Ich denke, dass dies nicht die höchste Priorität haben wird. 

 

Ja da hast du sicher recht. Alleine die Tatsache, dass es so beim Testen abgesegnet und auch released wurde, lässt nicht viel erwarten.

 

Mir ist noch eine andere Folgeerscheinung dieser etwas unglücklichen Passworteingabe aufgefallen: die Android-Tastatur merkt sich das Passwort nach der Eingabe (da sie aufgrund des falschen Feldtyps nicht weiß, dass es sich um ein Passwort handelt, und glaubt, ein neues Wort gelernt zu haben), und schlägt mir das Passwort im Klartext jetzt immer in allen anderen Anwendungen vor, wenn ich den Anfangsbuchstaben tippe.

 

Super-nervig das Ganze.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1
17 hours ago, IT-Freak said:

Das Phänomen kenne ich auch, aber bei mir wüsste eigentlich die Tastatur das es ein Passwort ist

Woher sollte sie es wissen, wenn das Feld den falschen Typ hat?

 

On 17/10/2020 at 9:29 PM, josef123 said:

 

Ja da hast du sicher recht. Alleine die Tatsache, dass es so beim Testen abgesegnet und auch released wurde, lässt nicht viel erwarten.

 

Mir ist noch eine andere Folgeerscheinung dieser etwas unglücklichen Passworteingabe aufgefallen: die Android-Tastatur merkt sich das Passwort nach der Eingabe (da sie aufgrund des falschen Feldtyps nicht weiß, dass es sich um ein Passwort handelt, und glaubt, ein neues Wort gelernt zu haben), und schlägt mir das Passwort im Klartext jetzt immer in allen anderen Anwendungen vor, wenn ich den Anfangsbuchstaben tippe.

 

Super-nervig das Ganze.

Sowas darf natürlich nicht passieren - das ist ja wirklich ein großer Käse ...

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1
Am 19.10.2020 um 09:01 schrieb IT-Freak:

Jup, unter Android wird das der Tastatur gesagt, was es ist.

 

Grundsätzlich ja, aber das geht natürlich nur, wenn das Feld im HTML auch korrekt als Passwort deklariert ist, womit wir wieder bei meinem ursprünglichen Anliegen gelandet wären....

 

So wie es derzeit ist, wissen weder Browser noch Tastatur, dass es sich um ein Passwortfeld handelt, daher wird alles eingegebene angezeigt und evt. auch gespeichert (verwende auch gboard).

 

lg Josef

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
Am 25.9.2020 um 12:15 schrieb MarioM:

Was ich damit sagen will, wenn dein Passwort das Gebutsdatum von Margarete, Gräfin von Henneberg-Coburg ist, dann hilft auch das Passworteingabe Feld nicht ;) ...
Also es beruhigt vielleicht den einen oder anderen, wenn er das Passwort als Punkte dargestellt bekommt - dafür, natürlich

 

Ich verstehe leider nicht ganz, was genau du mir damit sagen möchtest. Es ist auch völlig Powidl was das eigentliche Passwort ist, es während der Eingabe anzuzeigen ist ein nogo. Kann schon sein, dass man sich damit ein paar Hotline-Anrufe erspart, weil sich die Oma bei der Eingabe ständig vertippt, aber auch dafür gibt es sicherheitskonforme Lösungen ;-)

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
On 26/09/2020 at 8:55 PM, josef123 said:

 

Ich verstehe leider nicht ganz, was genau du mir damit sagen möchtest. Es ist auch völlig Powidl was das eigentliche Passwort ist, es während der Eingabe anzuzeigen ist ein nogo. Kann schon sein, dass man sich damit ein paar Hotline-Anrufe erspart, weil sich die Oma bei der Eingabe ständig vertippt, aber auch dafür gibt es sicherheitskonforme Lösungen ;-)

Was ich sagen möchte, jegliche sicherkeintskonforme Lösung ist für den Hugo, wenn dein Passwort 1234 ist zum Beispiel ...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden