2-Faktor-Authentifizierung/Klarnummer
1 year ago
Es ist ja schön und gut, dass die Telekom nach jahrelangem und vielfachem Ruf die 2-Faktor-Authentifizierung eingeführt hat. Aber anscheinend haben sich die Entwickler nicht oder zu wenig bei der Konkurrenz bzw. bei anderen Diensten umgeschaut, wie die diese umsetzen.
Fallbeispiel:
Ein nicht autorisierter Nutzer erlangt die Zugangsdaten f. die Telekom-/T-Online-Dienste.
Schön, dass es jetzt die 2FA gibt, der nicht autorisierte Nutzer muss jetzt einen Bestätigungscode eingeben, das per SMS an die angezeigte Klarnummer +49 123 4567890 gesendet wurde...
Warum zum Teufel muss jeder unbefugten Person meine Telefonnummer angzeigt werden?
PayPal, meine Krankenkasse, etc. gehen viel datenschutzfreundlichere Wege und zeigen nur
"+49 12* *****90" an.
Ich hoffe, dass Ihr das in meinem und im berechtigten Interesse der anderen Kundinnen und Kunden ändert.
295
15
This could help you too
4 years ago
in
518
2
3
4 years ago
in
172
0
1
5 years ago
in
3060
2
3
1 year ago
@DavidH. sorry ich bin doof, häää?
0
1 year ago
Warum zum Teufel muss jeder unbefugten Person meine Telefonnummer angzeigt werden? PayPal, meine Krankenkasse, etc. gehen viel datenschutzfreundlichere Wege und zeigen nur "+49 12* *****90" an. Ich hoffe, dass Ihr das in meinem und im berechtigten Interesse der anderen Kundinnen und Kunden ändert.
Warum zum Teufel muss jeder unbefugten Person meine Telefonnummer angzeigt werden?
PayPal, meine Krankenkasse, etc. gehen viel datenschutzfreundlichere Wege und zeigen nur
"+49 12* *****90" an.
Ich hoffe, dass Ihr das in meinem und im berechtigten Interesse der anderen Kundinnen und Kunden ändert.
Spielt überhaupt keine Rolle.
Und ändert auch überhaupt nix - man hat keinerlei Mehrwert davon ... eher Nachteile.
0
1 year ago
Bei mir nicht, weil ich einen Authenticator nutze. Wenn Du heute noch SMS-Code nutzt, anstatt Authenticator-Code (TOTP), bist Du doch selber schuld. Und wenn jemand an Deine Zugangsdaten kommt, machst Du etwas falsch.
4
Answer
from
1 year ago
Warum sollte ein Kunde denn selber schuld sein wenn er was nutzt was die Sicherheit erhöht (MFA)
Wenn jemand auch an die Kundendaten kommt und der Kunde kein Kundenkennwort (Telefonkennwort) vergeben hat, bestellt der Angreifer einfach eine neue eSIM (SIM-swapping), und leitet den Sicherheitscode einfach darauf um. Zumindest bei VF-Kunden ist das schon mehrfach erfolgreich gewesen. Von SMS-Token raten Sicherheitsexperten nicht umsonst ab.
Answer
from
1 year ago
bestellt der Angreifer einfach eine neue eSIM (SIM-swapping)
Funktioniert nicht, da du Zugang zur Bestätigung an die bestehende Handynummer brauchst.
Von SMS-Token raten Sicherheitsexperten nicht umsonst ab.
Anschauen und durchlesen in welchem Zusammenhang das gemacht wird.
Answer
from
1 year ago
Funktioniert nicht, da du Zugang zur Bestätigung an die bestehende Handynummer brauchst.
Funktioniert nicht, da du Zugang zur Bestätigung an die bestehende Handynummer brauchst.
Dann macht die Telekom doch ein paar Dinge richtig.
Unlogged in user
Answer
from
1 year ago
BTW:
Die Anmeldung per FIDO oder eID wäre auch schön. Letzteres ist derzeit unknackbar.
0
1 year ago
Eigentlich gehen die Antworten völlig am Anliegen vorbei. Der Einwand von @DavidH. ist berechtigt, weil die Anzeige der vollen Nummer schlichtweg unnötig ist und mit minimalem Aufwand vermieden werden kann.
0
1 year ago
Warum zum Teufel muss jeder unbefugten Person meine Telefonnummer angzeigt werden?
Warum zum Teufel muss jeder unbefugten Person meine Telefonnummer angzeigt werden?
Genau, das ist völlig unnötig und ein Verstoß gegen die DSGVO oben drein.
Da hat die Telekom nicht zu Ende gedacht. Das T4am sollte das weitergeben
@wizer
Wenn hier im Forum jemand seine Telefonnummer in einen Beitrag schreibst, wird zurecht geschrieben, wenn die Telekom die gleiche Nummer auf einer Webseite anzeigt, dann ist der Kunde selber schuld — sorry, aber so eine Argumentation verstehe ich nicht.
2
Answer
from
1 year ago
Wenn hier im Forum jemand seine Telefonnummer in einen Beitrag schreibst, wird zurecht geschrieben, wenn die Telekom die gleiche Nummer auf einer Webseite anzeigt, dann ist der Kunde selber schuld — sorry, aber so eine Argumentation verstehe ich nicht.
Ich meinte das auch eher Sicherheitstechnisch. SMS-TAN ist nicht sicher.
Aber ich würde eher noch weiter gehen. Dem Kunden die Wahl lassen wie seine Zielnummer angezeigt werden soll (vollständig, gekürzt, oder garnicht.). Bei mehreren hinterlegten Nummern dem Kunden die Wahl der Zielrufnummer lassen (automatisch an die priorisierte Rufnummern, jedes Mal manuell wählen, oder per Zufallsgenerator an eine der hinterlegten Rufnummern), letzteres ist vor allem bei Dual- oder Triple-SIM-Geräten interessant.
Answer
from
1 year ago
SMS-TAN ist nicht sicher.
Der Angriffsvector auf eine SMS-TAN ist im hier beschriebenen Szenario so unbedeutend, dass man ihn guten Gewissens ignorieren kann.
Da ist es fast einfacher mit vorgehaltener Waffe den Kunde zur Herausgabe der Daten zu zwingen
Unlogged in user
Answer
from
1 year ago
der nicht autorisierte Nutzer muss jetzt einen Bestätigungscode eingeben, das per SMS an die angezeigte Klarnummer +49 123 4567890 gesendet wurde
Nein, muss er nicht. Man kann statt SMS ja auch eine Authenticator-App nutzen, die Einmalpasswörter (OTPs) generiert.
Was SMS angeht, bin ich aber bei dir – die muss man wirklich nicht komplett im Klartext übermitteln.
Viele Grüße
Thomas
0
1 year ago
...bei der Telekom läuft so einiges schief, was das angeht.
So wird z.B. eine alternative E-Mail Adresse einfach so und ungefragt zur Hauptadresse.
Oder meine Handynummer, die ich in den persönlichen Daten nicht sehe, aber bei Bestellung im Shop vorausgefüllt wird, und dann bspw. trotz Änderung der Nummer bekommt man die SMS Benachrichtigung an die voreingestellte,
eigentlichgeänderte Nummer.Bei einem 0815 Anbieter würden bei mir bei so Spielchen sämtliche Alarmglocken bzgl. Datenschutz schrillen 🤷
0
1 year ago
@Stefan, einen Verstoß gegen den Datenschutz sehe ich insoweit nicht als dass die Nummer erst nach einfacher Authentifizierung angezeigt wird. Das Forum hier hingegen ist auch ohne Login zugänglich.
0
Unlogged in user
Ask
from