Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Freitag, 22. Mai 2009, 12:36

Unauthentifizierte Verärgerung (2)

Aufgrund des (erstmaligen) Vorfalls haben die die E-Mail mit den Zugangsdaten ab sofort zum Kundenmenü um einen Hinweis ergänzt, dass der Kunde diese Daten mit sich führen sollte, um evtl. von unterwegs seinen Server rebooten zu können.

Da der Kunde ja die Möglichkeit hat, das Passwort selbständig zu ändern, kommt das für mich dem in den Kommentaren empfohlenen Kunden-Kenntwort gleich. Nennt uns der Kunde am Telefon das Passwort seines Zuganges, können wir ihn ja authentifizieren und für ihn einen Reboot etc. ausführen.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Matthias

Hmm, finde ich "psychologisch" nicht ganz perfekt, da z.B. in Zusammenhang mit Phishing immer darauf hingewiesen wird, dass Bankbedienstete nie am Telefon nach der PIN fragen wuerden. Aber ok, Serveradministratoren sollten clever genug sein, den Utnerschied zu verstehen und nicht ploetzlich analog die Bank-PIN dem nächsten Anrufer gegenueber auszuplaudern.

stackevil

meines erachtens, vertagsnummer (7stellig oders), bankkonto von dem regelmäßig der server bezahlt wird sind genau so hinfällig ;)

vllt sollte man dem kunden den DSA/RSA Fingerprint runterbeten lassen :)

krustyDC

Verstehe ich nicht. Der Kunde ruft doch beim Support an und nicht umgekehrt, wo soll da eine psychologische Verbindung zu Phising bestehen?

Ich werde bei jedem Telefonsupport eines Mobilfunk-, DSL-Anbieters oder sonst wo gebeten mich durch ein Kundenkennwort oder sonstige Daten zu authentifizieren.


@Manuel: Ich habe bei dir das selbe Problem, wie beispielsweise auch bei Björn, dass die Captchas nicht beim ersten versuch dargestellt werden. Ich las bei Björn in den Kommentaren schonmal, dass das auch anderen aufgefallen ist. Nichts dramatisches, nur ein kleines Hinweis, falls es einfach zu ändern wäre.

killerbees19

Finde ich irgendwie dumm, denn ehrlich gesagt würde ich mein Passwort nicht so gerne am Telefon nennen, egal ob ich es dann ja ändern kann. Außerdem wird die Sache durch lange Passwörter (und der hoffentlich existierenden) Komplexität aus Groß-/Kleinschreibung, Zahlen (und Sonderzeichen vllt.) nicht gerade einfach. Ein eigenes Kundenkennwort rein fürs Telefon oder Mail wäre da schon besser.

DeserTStorM

Also ich kenne das so, das für solche aufgaben extra eine Telefonpin generiert wird, die der Kunde nennen muss. Aber letztendlich bleibt es sich gleich, ob er sein Kennwort nennt oder die Telefonpin.

Die Pin, hätte nur den Vorteil, dass man nicht auf irgendwelche Kennwörter oder so schließen kann.

janhh

bei kleinen providern mag das ja allgemein in ordnung gehen, bei größeren finde ich es schon problematisch, hotline-mitarbeitern eine kunden-pin zu nennen - man weiß ja nie, was die sich notieren und wie lange sie da noch arbeiten und wie viel ärger sie dann im bauch haben. warum macht man sowas nicht einfach mit einem script in der telefonanlage "geben sie bitte jetzt ihre kundennummer ein" und "geben sie bitte jetzt ihre pin ein", über die telefontastatur, versteht sich. dann hat der agent gleich die info, welcher kunde dran ist und dass er authentifiziert ist. falls der kunde sagt "kenn ich nicht", dann kommt er eben auf die spezialhotline, wird benachteiligt behandelt und bekommt die info, dass man eine authentifizierung benötigt.

Anonym

Also ich möchte, wenn ich eine Hotline anrufe, sofort mit einem Mitarbeiter verbudnen werden und nicht erst mit einem Script der Telefonanlage sprechen. Es regt mich jedes mal tierisch auf, wenn fünf Minuten mit dem Computer reden muss, für Informationen die ich in 5 Sekunden vorbeten kann.

Das beste ist dann immer noch, wenn der Gesprächspartner dann absolut nichts von den Informationen vorliegen hat, die ich doch schon im Menü angegeben habe.

janhh

das stimmt natürlich auch.
ein kompromiss wäre, wenn du mit dem agent sprichst und er dich dann zur pin-eingabe nur in ein script schickt, sodass er eben die daten nicht kennt, aber weiß, dass du der bist, für den du dich ausgibst.

krustyDC

Ich hasse Leute wie dich, die mir und vielen anderen das Leben wegen immer perfiderer Paranoia langsam aber sicher unerträglich umständlich und schwer machen.

Nimms nicht persönlich bitte ;-)

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen