‎E-Mail Login/Konto (sicherheit) | Telekom hilft Community

Telekom hilft Community

Telekom Business Community

Private customers

Telekom Shops

Contact

Solved

E-Mail Login/Konto (sicherheit)

5 years ago

Hallo,

mir sind ein paar Sachen aufgefallen, womit man sein E-Mail Konto sicherer machen könnte.

1. warum macht man den Login nicht mit einer Zeitsperre, bedeutet wenn man das Passwort/E-Mail Adresse falsch eingibt, muss man bis zur nächsten eingabe 5 Sekunden warten usw.. Ich weiß es klingt erst mal bekloppt aber gehen wir doch mal den Prozess durch.

Personen die ein Passwort knacken, versuchen mehrere Eingaben oder verwenden einen PC der dies tut.

Ein Mensch gibt bei einem guten Passwort irgendwann auf.

Ein PC kann aber einige tausende Kombinationen pro min. durch testen, würde man jetzt den Login eine Zeitsperre geben, dauert die eingabe des PCs länger als ein Mensch lebt.

1. Fehlversuch 5 sec. warten

2. Fehlversuch 10 sec. warten

3. Fehlversuch 20 sec. warten

4. Fehlversuch 40 sec. warten

5. Fehlversuch 1,20 min warten

6. Fehlversuch 2,40 min warten (halt immer das doppelte)

-Warum schützt man die hinterlegte Telefonnummer nicht seperat mit einem Passwort?

-Warum schützt man die hinterlegte Sicherheitsfrage nicht seperat mit einem Passwort?

-Warum gibt es zusätzlich keine Zwei-Faktor-Authentisierung

Mal ein reales Beispiel: das Postfach von meiner Schwester beim E-Mail Dienst ..... wurde gehackt bzw. wurde die Adresse + Passwort auf einer Seite mit Sicherheitslücken abgefangen.

Passwort zurücksetzen wäre kein Problem, nur konnte diese Person die hinterlegte Telefonnummer einfach löschen oder ersetzen, da das Passwort dazu dasselbe ist, wie das von der E-Mail Adresse. Hier ist es sogar noch einfacher, da man einfach die neue Nummer einträgt und dann den Bestätigungscode auf die neue Nummer bekommt.

Ich weiß das es schwer ist etwas sicher zu halten in der heutigen Zeit, aber bei allen Diensten wird das ja auf einem Teller serviert.

Es muss immer eine möglichkeit geben auf seine Konto zu kommen, egal ob jemand etwas abgefangen hat, von mir aus auch eine Nummer vom Perso zur Identifizierung der richtigen Person.

Liebe Telekom, Ihr steht für Telekomunikation und dazu zählen nicht nur Produkte sondern auch Sicherheitsfaktoren die man lösen muss.

Bitte beseitigt diese Mängel.

Rein als Info:

Ich weiß das so etwas Zeit und Geld in Anspruch nimmt, aber niemand hat irgendeinen Anbieter gesagt das alles kostenlos sein soll.

Wir als Kunden wollen nur das es funktionierende, einfache Produkte mit sinnvollen Preisen sind, bedeutet (meine Pesönliche Meinung) ein Postfach muss nicht kostenlos sein, für normale Menschen wie mich wäre z.B ein Preis von 0,50 Euro pro Monat vollkommen ok und ihr hättet auf die Masse gesehen genug Geld um Server und Mitarbeiter zu bezahlen. Auch das eigene Telekom Mail Programm hätte man damit finanzieren können. Schade das Ihr das nicht mehr weiter entwickelt, ja ich weiß es gibt genug Alternatieven. Als Kunde möchte man aber nicht 5 Sachen von 5 Anbietern, gerade wenn es um Datensicherheit geht!

Mit freundlichen Grüßen

1256

5 years ago
Bravo. Gut nachgedacht.
Könnte man machen. Aber wer macht das mit, der doch sowieso PC / Smartphone noch nicht einmal mit Passwort schützt und die gängigen Passworte gleich im Browser speichert. Diese nutzer schreien schon, wenn das Telekom-Login nicht dauerhaft speicherbar ist und nutzen sowieso ein Passwort für alles....
Und denen ist nicht zu helfen.
4
Answer
from
5 years ago
Die Telekom App schein ganz in ordnung zu sein, sie müsste nur etwas schneller werden beim öffnen der E-Mail (wurde mit Wlan getestet).

Auch hier wäre es aber sinnvoll, wenn man beim öffnen eine kleine lese Pin einfügt, z.b wie das zum entsperren des Smartphone. Ja ich weiß, das würde manche nerven. Würde es als wählbare Option in die App einfügen, da nicht jeder sein Smartphone sperrt oder dran denk.

E-Mail App sollte sich nach einer gewissen seit selber sperren. z.B 10 Sekunden nichts gemacht und man muss seine Pin neu eingeben (höhe der Zeit sollte wählbar sein)

An statt Pin wäre die Option für ein Fingerprint oder ähnliches denkbar.

Wenn mein Smartphone so etwas wie Fingerprint hätte, würde es mich nicht stören, jedesmal die App zu entsperren.
Answer
from
5 years ago

David-1992

Was mich auch stört, ist das man beim klicken auf das E-Mail Center (nach dem einloggen) auf dem PC, sich immer eine 2. Seite öffnet und das liegt nicht an meiner Browser einstellung.

Was mich auch stört, ist das man beim klicken auf das E-Mail Center (nach dem einloggen) auf dem PC, sich immer eine 2. Seite öffnet und das liegt nicht an meiner Browser einstellung.

David-1992

Was mich auch stört, ist das man beim klicken auf das E-Mail Center (nach dem einloggen) auf dem PC, sich immer eine 2. Seite öffnet und das liegt nicht an meiner Browser einstellung.

@David-1992

dann nimm halt einen der Direktlinks ins E-Mail-Center:

https://accounts.login.idm.telekom.com/oic?response_type=code&client_id=10LIVESAM3000004901EMAILMOBIL00000000000&scope=openid&redirect_uri=https%3A%2F%2Fm-email.t-online.de

in kurz:

http://t1p.de/T-Mail

oder

https://login.t-online.de/?returnToUrl=https://email.t-online.de/pr

in kurz:

http://t1p.de/E-Mail

Answer
from
5 years ago
Vielen Dank für die Info
Unlogged in user
Answer
from
5 years ago
Die besten Sicherheitsmaßnahmen sind diese, wo man als Nutzer systematisch ausgesperrt wird.

Die Telekom ist in Sachen 'Sicherheit' völlig überfordert.

Ein Beispiel im Mobilfunkbereich:

PUK -Abfrage im Kundencenter.

5
Answer
from
5 years ago

Mächschen

Mächschen ... Möglichkeit C: Hotline anrufen ... Möglichkeit C: Hotline anrufen Mächschen ... Möglichkeit C: Hotline anrufen Möglichkeit -D- SIM-Karte wegschmeißen und eine neue besorgen, da bei Prepaid nicht lohnenswert. Also ich hätte bei Prepaid die Hotline nicht bemüht, da eine PUK -Abfrage teurer ist als eine neue SIM-Karte. Dafür würde ich sogar auf meine Rufnummer verzichten.

Mächschen

... Möglichkeit C: Hotline anrufen

...

Möglichkeit C:

Hotline anrufen

Mächschen

...

Möglichkeit C:

Hotline anrufen

Möglichkeit -D-

SIM-Karte wegschmeißen und eine neue besorgen, da bei Prepaid nicht lohnenswert.

Also ich hätte bei Prepaid die Hotline nicht bemüht, da eine PUK -Abfrage teurer ist als eine neue SIM-Karte.

Dafür würde ich sogar auf meine Rufnummer verzichten.

Mächschen

Mächschen

... Möglichkeit C: Hotline anrufen

...

Möglichkeit C:

Hotline anrufen

Mächschen

...

Möglichkeit C:

Hotline anrufen

Möglichkeit -D-

SIM-Karte wegschmeißen und eine neue besorgen, da bei Prepaid nicht lohnenswert.

Also ich hätte bei Prepaid die Hotline nicht bemüht, da eine PUK -Abfrage teurer ist als eine neue SIM-Karte.

Dafür würde ich sogar auf meine Rufnummer verzichten.

Die PUK kann man auf Nachfrage kostenfrei bekommen, aber das hängt von Tarif, Stati, etc. ab, aber möglicherweise müsste man auch zahlen.

Möglichkeit -E-

SIM-Karte, ~~wegschmeißen und~~ eine neue besorgen, ~~da bei Prepaid nicht lohnenswert.~~

Also ich hätte bei Prepaid die Hotline nicht bemüht, da eine PUK -Abfrage teurer ist als eine neue SIM-Karte.

Dafür würde ich sogar auf meine Rufnummer verzichten.

Besser wäre

1) 2. Prepaid Karte besorgen, über die kann man die SMS für den PUK bekommen

2) Ersatzkarte bestellen, Generationentausch, defekt, etc...
Answer
from
5 years ago

Mächschen

Möglichkeit -E- ... Besser wäre 1) 2. Prepaid Karte besorgen, über die kann man die SMS für den PUK bekommen 2) Ersatzkarte bestellen, Generationentausch, defekt, etc...

Möglichkeit -E-

...

Besser wäre

1) 2. Prepaid Karte besorgen, über die kann man die SMS für den PUK bekommen

2) Ersatzkarte bestellen, Generationentausch, defekt, etc...

Mächschen

Möglichkeit -E-

...

Besser wäre

1) 2. Prepaid Karte besorgen, über die kann man die SMS für den PUK bekommen

2) Ersatzkarte bestellen, Generationentausch, defekt, etc...

Möglichkeit -F-

Sorgsam mit Vertragsunterlagen umgehen und sich diesen Zirkus sparen.
Answer
from
5 years ago
@Gelöschter Nutzer

Möglichkeit G

Musst du immer das letzte Wort haben

@David-1992

Nach der X-ten falscheingabe wird der Login für 24 Stunden gesperrt, wobei mir X nicht bekannt ist.
Unlogged in user
Answer
from
5 years ago
Hallo @David-1992,

ich habe Deinen Beitrag mal zum Anlass genommen um in der Fachabteilung eine Anfrage einzustellen. Gucken wir mal, was die dazu sagen.

Viele Grüße
Stephie G.
1
Answer
from
5 years ago
Vielen dank Stephie G,

würde mich freuen, wenn dort etwas nachgebessert wird

Mit freundlichen Grüßen

David
Unlogged in user
Answer
from
5 years ago
Zu 1: Soweit ich mich erinnere, wird zumindest beim Web-Login nach einem Fehlversuch jeweils die Zeit hochgesetzt, bis man es erneut versuchen kann. Zwar sind die "Stufen" wohl etwas kleiner als in Deinem Bsp., aber nach ein paar hundert Versuchen dauerts dann trotzdem ziemlich lang.

Ich hab jetzt aber keine Lust auszuprobieren, ob das immer noch so ist.
0
Accepted Solution
accepted by
5 years ago
Hallo @David-1992,

auf die Anfrage in der Fachabteilung kam bereits eine Rückmeldung:

zu 1) Diese "Zeitsperre" gibt es bereits. Nur dass der Wert nicht anzeigt wird und dieser ggf. auch dynamisch geändert wird, um BOT-Attacken entgegenzuwirken.

zu 2) Als Anbieter steht die Telekom vor dem Problem, Nutzbarkeit und Sicherheit in Einklang zu bringen. Die Sicherheitsfrage ist da tatsächlich als einziger Sicherheitsfaktor nicht so optimal. Darum werden die Methoden Code an Mobilfunknummer und Code an externe E-Mail-Adresse auch bevorzugt verwendet, sofern vom Nutzer gepflegt.

Die 2-Faktor-Authentifzierung ist eine gute Sache und auch geplant.

Viele Grüße Inga Kristina J.
3
Answer
from
5 years ago
Hallo Frau Inga Kristina J.,

zu 2) Das Problem was ich meinte, ist ja das die fremde Person die an die Login Daten gelangt ist, auch die hinterlegte E-Mail/Telefonnr. austauschen kann und somit dem Eigentümer nichts bringt.

Wenn man aber beim Einrichten der 2. E-Mail/Telefonnr. ein separates Passwort vergeben müsste, könnte die fremde Person, diese nicht ändern. So kann man ein neues Passwort anfordern und die fremde Person kommt nicht mehr rein sobald diese sich ausgeloggt hat.
Damit wäre gewährleistet, dass man immer in sein Postfach kommt, auch wenn schon ein Schaden entstanden ist, ist er damit aber sehr gering.

-Hinterlegte E-Mail mit separaten Passwort sichern (sollte als Info beim Einrichten da stehen)
-Hinterlegte Telefonnummer mit separaten Passwort sichern (sollte als Info beim Einrichten da stehen)

Find ich super das die 2-Faktor-Authentifzierung geplant ist.
Answer
from
5 years ago
Hallo @David-1992,

das sind super Ideen und vielleicht magst du diese auch über unser Kontaktformular noch einmal zusätzlich als Verbesserungsvorschlag weitergeben.

Beachte aber bitte, dass diese Möglichkeit erst ab morgen wieder funktioniert, wenn unsere Systeme wieder laufen.

Viele Grüße
Daniela B.
Answer
from
4 years ago
Hallo david,

ich spiele ungern den Spielverderber. Du kannst es Dir sparen. Die Telekom ist beratungsresistent und nicht in der lage selbst Elementarsicherheitsfunktionen wie die 2 Faktor Autorisierung zeitnah einzuführen. Das Forum hier ist voll- ich habe sogar Eintrag aus 2018 gefunden wo die Telekom ein "Versprechen" der Einführung dieses wichtigen Schutzes für in Kürze angegeben hat. Leider habe wir jetzt 2021 - und passiert ist- nichts.
Sicherheit und Telekom gehen einfach nicht zusammen. T-online ist mittlerweile der letzte eMail provider von etwas größerer Bedeutung der die 2FA nicht anbietet. Ironischerweise gibt es aber Newsletter in denen die Telekom grundsätzlich jeden empfiehlt die 2FA zu nutzen ....- das nenn ich mal gespaltene "persönlichkeit".. Sleep well T-Online/Telekom. Bald werdet Ihr für die Menschen in der elektronische Kommunikation keinerlei Bedeutung mehr haben....
Unlogged in user
Answer
from