• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

Bluewin E-Mail Passwort im Kundencenter anzeigen?

fe.wenger
Level 2
81 von 137

das ist eine MASSIVE Verschlechterung und zwingt uns alle, die Passwörter auf anderen Geräten, Postits etc aufzuschreiben... bitte zurückbauen oder etwas Brauchbares ersetzen...!!!

Nok
Level 3
Level 3
82 von 137
Schon bedenklich was heutzutage alles unter dem Vorwand der Sicherheit/Datenschutz gemacht wird.

Glücklicherweise habe ich die Passwörter mal per PrintScreen ausgedruckt..

Finde es aber trotzdem nicht sehr Kundenfreundlich.
beat1308
Level 3
83 von 137

Bin der gleichen Meinung, man sollte das Passwort wieder ansehen können wenn man das will.

Editiert
cslu
Level 6
84 von 137

Man muss das vielleicht etwas konkretisieren:

 

Das Problem ist nicht DASS die Swisscom das Passwort nun nicht mehr anzeigt, sondern die Probleme sind

a) dass die Passworter überhaupt jemals in Klartext gespeichert wurden und anzeigbar waren - und daraus folgend

b) dass die Swisscom diesen Umstand ohne Vorwarnung geändert (bzw. korrigiert) hat

 

Es ist unbestritten, dass das Speichern der Passwörter im Klartext auf dem Server (so dass sie anzeigbar sind) keine gute Idee ist. Das war schon als ich in den späten 90ern ein bisschen mit Webprogrammierung angefangen habe jedem klar, dass es "good practice" ist, die Passwörter NICHT im Klartext zu speichern.

D.h. was die Swisscom nun getan hat ist nicht per se schlecht, sondern im Grunde die seit 20 Jahren überfällige Beseitigung eines Sicherheitsrisikos.

Ein "Zurückbauen" der Änderung, wie es hier gefordert wird, macht also sicher keinen Sinn (Davon abgesehen, dass es auch gar nicht möglich sein dürfte, wenn die Änderung sinnvoll umgesetzt wurde. Denn dann kennt die Swisscom die Passwörter ja gar nicht mehr.)

 

Das problematische ist aber WIE die Umstellung abgelaufen ist. Nämlich ohne die Betroffenen vorzuwarnen.

Man hätte die Bluewin-Nutzer mindestens rechtzeitig darüber informieren sollen, dass ab Tag X keine Mailpasswörter mehr im Kundencenter ausgelesen werden können und sie doch, falls nicht bereits bekannt, die Passwörter vorher noch anschauen gehen sollten.

Das Problem welches wir jetzt sehen entstand ja primär deswegen, weil die User (und deren IT-Supporter) eben viele Jahre lang an die unsinnige Idee gewöhnt wurden, dass man das Mailpasswort einfach jederzeit auslesen kann. Daher kennen schätzungsweise 90%+ der Bluewin-User ihre Mailpasswörter gar nicht. Die ganze Schweiz war halt darauf getrimmt, dass das Swisscom-Login das wichtige Ding ist, dass man sich merken muss, während die Mailpasswörter zweitrangig da selten genutzt & ohnehin via Login abrufbar sind.

Master
Level 6
85 von 137

zumindest für Thunderbird Nutzer gibt es die Möglichkeit das PW auszulesen. (Wahrscheinlich für andere E.Mail Software auch).

 

Auslesen des E-Mail Passwortes:

Extras

Einstellungen

Ritter - Sicherheit anwählen

gespeicherte Passwörter

Passwörter anzeigen

 

und voila da ist es wieder das Mail Passwort 😉

 

Master of Desaster
Master of Desaster
cslu
Level 6
86 von 137

@Master schrieb:

zumindest für Thunderbird Nutzer gibt es die Möglichkeit das PW auszulesen. (Wahrscheinlich für andere E.Mail Software auch).

 


 

Bei Outlook (sowie Windows Live Mail und noch ein paar andere Clients) lässt sich das Passwort mit dem kostenlosen Programm "Mailpassview" von Nirsoft auslesen.

 

Nützt natürlich nur etwas, wenn man ein Gerät "zur Hand" hat, auf welche die Adresse funktionierend in einem Client eingerichtet ist.

RAL9004
Level 5
87 von 137

Guten Morgen

 

Denkt hier jemand ernsthaft, dass Redundanz gegen Lesefaulheit (aka rt(f)m) hilft?  😉

https://supportcommunity.swisscom.ch/t5/Diskussionen-zum-Thema-E-Mail/E-Mail-Passwort-im-Kundencente...

 

Soll man hier noch ein paar Registry Hacks nachreichen? Oder sich mit MAC OS bzw. Linux auseinander zu setzen?  🙂

 

Grüsse 

RAL9004

 

 

 

 

* Dunning-Kruger Effekt * wurde mit der digitalen Kommunikation zur Pest der Neuzeit...*
############################################################################
* Dunning-Kruger Effekt * wurde mit der digitalen Kommunikation zur Pest der Neuzeit...*
############################################################################
Master
Level 6
88 von 137

@RAL9004 schrieb:

Guten Morgen

 

Denkt hier jemand ernsthaft, dass Redundanz gegen Lesefaulheit (aka rt(f)m) hilft?  😉

https://supportcommunity.swisscom.ch/t5/Diskussionen-zum-Thema-E-Mail/E-Mail-Passwort-im-Kundencente...

 

Soll man hier noch ein paar Registry Hacks nachreichen? Oder sich mit MAC OS bzw. Linux auseinander zu setzen?  🙂

 

Grüsse 

RAL9004

 

 

 

 


mach mal, villeicht kenn ich einen noch nicht :smileyvery-happy:

Master of Desaster
Master of Desaster
Sunnyboy67
Level 4
89 von 137

Ich bin heute genau auf das Problem gestossen und bin nicht happy, dass ich jetzt ein neues eMail PW setzen muss, weil ich es nicht auswendig weiss, irgendwann mal ausgedruckt habe o.ä. Gibt es also aktuell keine (einfache) Möglichkeit mehr, mir selber z.Bsp. auf mein Handy mit Swisscom Abo das eMail PW zustellen zu lassen??

WalterB
Super User
90 von 137

@Sunnyboy67 schrieb:

Ich bin heute genau auf das Problem gestossen und bin nicht happy, dass ich jetzt ein neues eMail PW setzen muss, weil ich es nicht auswendig weiss, irgendwann mal ausgedruckt habe o.ä. Gibt es also aktuell keine (einfache) Möglichkeit mehr, mir selber z.Bsp. auf mein Handy mit Swisscom Abo das eMail PW zustellen zu lassen??


Nein !

 

Wenn z.b. noch das Outlook 2007-2010 vorhanden ist findet man im Internet noch Passwort Erkennungsprogramme.

Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
cslu
Level 6
91 von 137

@Sunnyboy67

 

Nein, wie in diesem und anderen Threads schon mehrfach erklärt wurde ist das technisch nicht mehr möglich und es ist auch gut so, dass es technisch nicht mehr möglich ist.

Jeder Anbieter der dir dein Passwort im Klartext zustellen kann, arbeitet mit schlechten Sicherheitsstandards die schon vor 20 Jahren veraltet waren. Unschön genug, dass das bei der Swisscom bis Frühling 2017 der Ist-Zustand war.

 

 

@WalterB

 

Das diesbezügliche "Standard Tool" Nirsoft Mailpassview funktioniert soweit ich weiss auch noch mit den neueren Outlook-Versionen, oder irre ich?

(Bei Thunderbird kann man das Passwort sowieso auslesen, weil das dort eine integrierte Funktion ist.)

 

 

RAL9004
Level 5
92 von 137

@cslu

Betreffend Mailpassview irrst Du Dich nicht. Auf der Website der NirSoft (rt(f)m) steht:

 

Description

Mail PassView is a small password-recovery tool that reveals the passwords and other account details for the following email clients: 

  • Outlook Express
  • Microsoft Outlook 2000 (POP3 and SMTP Accounts only)
  • Microsoft Outlook 2002/2003/2007/2010/2013/2016 (POP3, IMAP, HTTP and SMTP Accounts)

...

 

System Requrements

This utility works with any version of Windows, starting from Windows 98 and up to Windows 10.

 

Getting email passwords from another instance of Windows ?

Many people ask me whether it's possible to extract the email passwords from an external instance of Windows that cannot boot. 
For now, Mail PassView can only retrieve the passwords from external drive for Mozilla Thunderbird, Netscape, and Eudora. It's possible that external drive support for more email applications will be added in the future. In order to do that, you must go to 'Select Folders/Files' window (F6) and manually select the right folders in the external drive.

Notice: If the filename contains one or more space characters, you must enclose it with quotes ("").

 

Versuch macht klug - getestet mit Outlook 2016 und funktioniert. Eine weitere nützliche Funktion des Tools ist es, dass die gefundenen Passwörter in KeePass importiert (CSV Datei) werden können.

 

Schönen Sonntag

RAL9004

 

 

* Dunning-Kruger Effekt * wurde mit der digitalen Kommunikation zur Pest der Neuzeit...*
############################################################################
* Dunning-Kruger Effekt * wurde mit der digitalen Kommunikation zur Pest der Neuzeit...*
############################################################################
cslu
Level 6
93 von 137

@RAL9004

 

Ich weiss - war eher eine rhetorische Frage weil WalterBs Beitrag für mich so klang, als wolle er sagen man könne POP/IMAP/SMTP-Passwörter nur aus alten Outlook-Versionen auslesen.

(Woran Mailpassview jedoch scheitert sind Exchange Passwörter. Aber die sind für Bluewin-User ja nicht relevant.)

Aedu-bw2
Level 1
94 von 137

Absolut unverständlich, dass man im Kundenzentrum (abgesichert durch Passwort) ein Passwort für eMail nicht mehr anzeigen kann. Bisher musste man für die Anzeige das Passwort nochmals eingeben (also doppelte Sicherheit). Dies kann nur bedeuten: Das Kundenzentrum ist nicht sicher genug! Die Konsequenzen dieser Lösung sind fatal: Beim Ändern des eMail-Passwortes müssen alle entsprechenden Clients angepasst werden. Kein Wunder also, dass bei jedem Benutzer zu Hause dann eine Liste rumliegt mit Passwörtern. Diese Änderung muss überdacht werden, weil es ein Schritt rückwärt bedeutet! Das viel zitierte und immer wieder gehörte Argument "Sicherheit" bzw. "Datenschutz" wird pervertiert und richtet sich gegen den Benutzer.   

FlySmurf
Super User
95 von 137

Swisscom ist nach wie vor nicht für die aufbewahrung der Passwörter verpflichtet. Dies ist sache jedes einzelnen Users

WalterB
Super User
96 von 137

@Aedu-bw2 schrieb:

Absolut unverständlich, dass man im Kundenzentrum (abgesichert durch Passwort) ein Passwort für eMail nicht mehr anzeigen kann. Bisher musste man für die Anzeige das Passwort nochmals eingeben (also doppelte Sicherheit). Dies kann nur bedeuten: Das Kundenzentrum ist nicht sicher genug! Die Konsequenzen dieser Lösung sind fatal: Beim Ändern des eMail-Passwortes müssen alle entsprechenden Clients angepasst werden. Kein Wunder also, dass bei jedem Benutzer zu Hause dann eine Liste rumliegt mit Passwörtern. Diese Änderung muss überdacht werden, weil es ein Schritt rückwärt bedeutet! Das viel zitierte und immer wieder gehörte Argument "Sicherheit" bzw. "Datenschutz" wird pervertiert und richtet sich gegen den Benutzer.   


Bei den meisten E-Mail Server kann man das Passwort nicht auslesen, der Fehler war einfach die Vororientierung !

Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
cslu
Level 6
97 von 137

@Aedu-bw2

Es wurde hier zwar schon x-mal erklärt, aber dann halt noch einmal:

Wenn man ein Passwort anzeigen kann, dann bedeutet dies, dass es im Klartext (oder in entschlüsselbarer Form, was in etwa aufs Selbe rauskommt) auf dem Server gespeichert ist. Dies ist prinzipiell ein Sicherheitsrisiko, weil das bedeutet, dass im Falle eines Hacks die Angreifer über sämtliche Kundenpasswörter verfügen. Dies möchte man wenn immer möglich vermeiden, zumal erfahrungsgemäss die meisten User ja bei verschiedenen Gelegenheiten das selbe Passwort verwenden. D.h. ein Hack bei einem Anbieter kann dazu führen, dass die Konti bei vielen anderen Anbietern auch kompromittiert werden.

Damit eben genau diese Problematik nicht besteht, speichert man Passwörter nicht im Klartext sondern als so genannte Hashes auf dem Server (in der Praxis dann noch mit Salt etc.). Dies bedeutet, dass der Server bzw. der Anbieter gar nicht weiss, wie dein Passwort im Klartext lautet. Und genau so soll es sein.

Passwörter dementsprechend zu "hashen" ist eigentlich mehr oder weniger seit der Anfangszeit des WWWs Gang und Gäbe.

D.h. es ist nicht "absolut unverständlich" dass die Swisscom dies jetzt im Jahr 2017 umgesetzt hat, sondern es ist wennschon unverständlich, dass man es nicht schon 20 Jahre früher gemacht hat.

Die von dir genannten Konsequenzen (alle Clients müssen angepasst werden wenn eine Passwortänderung notwendig wird weil der User das Passwort nicht kennt und nicht mehr nachschauen kann) treffen zu - aber irgendwann musste man den längst überfälligen Schritt halt machen. (Natürlich war es seitens der Swisscom keine gute Kommunikation, dass man diese Änderung nicht im Vorfeld bekanntgegeben hat, damit die "nachschau-verwöhnten" User ihre Passwörter noch schnell hätten "evakuieren" können so lange es noch ging.)

Deine Schlussfolgerung "das Kundenzentrum ist nicht sicher genug" entspricht eigentlich der notwendigen Denkweise von jemandem, der solche Systeme konzipiert: Man sollte immer damit rechnen, dass es zu einer Kompromittierung des Systems kommen kann - und das System dann so bauen, dass es im Fall der Fälle eben keine unnötigen Zusatzprobleme  verursacht. Und die Kundenpasswörter auf dem Server zu speichern ist eben genau so ein unnötiges Zusatzproblem.

 

P.S. Auch einem grossen und technisch versierten schweizer Onlinehändler wurde vor kurzem die Kundendatenbank von Hackern rausgetragen. Ich sag jetzt mal keine Details, da die Firma den Datenklau bisher nicht öffentlich gemacht hat.

 

 

kaetho
Super User
98 von 137

1.) Die Vorlaufzeit hätte mehrere Monate betragen müssen. Es kommen jetzt noch User, die erst jetzt feststellen, dass sie ihr Passwort nicht mehr auslesen können. Hätte man vorinformiert, könne man dan sagen "wir haben's ja gesagt". Nur bringt das genauso wenig wie  jetzt... Spielt also nur für's Gewissen eine Rolle, ob vorinformiert wurde oder nicht. Einen technischen Nutzen gibt's dabei nicht wirklich.

2.) Man kann noch 1000x begründen, warum das geändert wurde. Jeder, der sein PW im KuCe abrufen will und merkt dass es nicht mehr geht, denkt erst mal "fuck...." und lässt seinem Frust dann hier freien Lauf. Es ist das Meiste zu diesem Thema gesagt. Einen technischen Nutzen bringen weitere Posts hierzu nicht wirklich.

3.) @cslu vom hörensagen lernt man lügen 😉

4.) finde, man könnte dieses Thema endlich abhaken.

cslu
Level 6
99 von 137

@kaetho schrieb:

3.) @cslu vom hörensagen lernt man lügen 😉


Wie meinen?

Zebra22
Level 1
100 von 137

Liebe Swisscom:

Wieder einmal zeigt Swisscom, dass sie nicht auf uns normal sterblichen Kunden angewiesen ist.

Danke. Nur weiter so.

Ruedi

Nach oben