Passwort in der Datenbank?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 391
Dabei seit: 11 / 2009
Betreff:

Passwort in der Datenbank?

 · 
Gepostet: 14.02.2014 - 08:32 Uhr  ·  #1
Beim Schmökern in den Foren anderer Hersteller bin ich bei Alf-Banko auf die folgende Mitteilung gestoßen:

"Hallo,

da es sehr oft vorkommt (fast täglich), dass Kunden das Passwort vergessen, haben wir die Möglichkeit vorgesehen, das

Passwort auszulesen. Das Passwort ist dazu in der Datenbank gespeichert - natürlich nochmal separat verschlüsselt.

Uns ist die Gefahr bewusst, aber der Nutzen für unsere Kunden ist nach unserer Meinung höher als die Gefahr.

Eine andere Lösung, dass betroffene Kunden wieder an die Daten kommen, haben wir leider nicht gefunden.

Gruß,
ALF"

Da ich dieses Programm eigentlich in die engere Wahl gezogen hatte, möchte ich gern mal vorher Eure Meinung dazu hören.

(Der vollständige Beitrag steht hier: http://forum.alf-banco.de/passwort-vergessen-t4766.html )
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Passwort in der Datenbank?

 · 
Gepostet: 14.02.2014 - 08:43 Uhr  ·  #2
Es ist natürlich immer kritisch, wenn es Nachschlüssel zu einer Software gibt. Ideal wäre ein Schalter, der den Usern die Möglichkeit gibt, dies selbst zu entscheiden.
Die Frage ist auch: Was könnte passieren, wenn jemand sich unberechtigt Zugriff verschafft.
Wenn jemand schon auf dem Rechner ist, kann er normalerweise auch an alle Daten heran, hier würde auch ein "Nachschlüssel" nicht viel schlimmeres bewirken.
Es sei denn, jemand kann dadurch einem anderen "Buchungen unterschieben". Das wäre dann ein größerer Schaden.

Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Passwort in der Datenbank?

 · 
Gepostet: 14.02.2014 - 10:46 Uhr  ·  #3
Die aktuelle Bedrohungslage für Onlinebanking Software sehe ich nach wie vor entspannt. Es hat bisher noch keinen einzigen Software Trojaner gegeben.
Von daher kann ich die Aussage "der Nutzen für unsere Kunden ist nach unserer Meinung höher als die Gefahr" unterschreiben.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Passwort in der Datenbank?

 · 
Gepostet: 14.02.2014 - 11:16 Uhr  ·  #4
Naja, das ist jetzt aber wieder die Frage "Muß/darf ich den Kunden vor sich selbst beschützen?".

Eine Verschlüsselung mit einem Passwort, das - wer auch immer - auslesen kann, ist für mich ein absolutes UNDING. Wenn das passiert, ohne dass mir das VOR dem Kauf bekannt gegeben wird und bei der Installation ein haushoher Hinweis darauf kommt, empfinde ich das nachgerade als kriminiell. Schon allein weil man nie wissen kann, ob der Hersteller mal einen MA einstellt, der es nicht so genau nimmt oder der Quelltext/das Produkt durch Verkauf oder Pleite in andere Hände gelangt!

Andere Hersteller weisen anständig darauf hin, dass der Kunde für sein Passwort - so er denn eines verwendet - selbst verantwortlich ist. Wer sich als Kunde//Nutzer nicht danach richtet - selbst schuld. Wann wird von Banken gefordert, dass sie den Kunden an weiteren Ausgaben hindern, nur weil er es sich vermeitlich nicht leisten kann und dann irgendwann Schulden machen würde?

Mit diesem Wissen ist das genannte Produkt für mich ein abolutes No-Go, weil das für mich das Vertrauen zum Hersteller absolut ruiniert. Und ein Finanzprogramm, dem man alle seine Zugänge anvertraut, lebt vom Vertrauen.
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Passwort in der Datenbank?

 · 
Gepostet: 14.02.2014 - 11:43 Uhr  ·  #5
msa, du übertreibst m.E. ein wenig. Immerhin bieten ja die Sicherungsmedien (z.B. Chiptan) auch noch eine gewisse Sicherheit, weil sie ermöglichen, Manipulationen am Auftrag zu erkennen. Eine kontaminierte Software allein würde also noch keinen Schaden verursachen. Eine Software mit einem für den Hersteller entschlüsselbaren Passwort ist somit immer noch sicherer als Browserbanking. Und wenn der Hersteller aufgrund eines nicht auslesbaren Passwortes immer mehr Kunden verliert ist ja auch keinem gedient. Auch wenn daran nicht der Hersteller Schuld ist.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Passwort in der Datenbank?

 · 
Gepostet: 14.02.2014 - 12:12 Uhr  ·  #6
Klar, ein akutes Problem ist es nicht, das wollte ich damit nicht sagen. Aber ich fühle mich von einem Hersteller verarscht, der mir sagt "alles sicher verschlüsselt" und irgendwo tief in den FAQ ist zu finden "aber ich kann trotzdem an Deine Daten ran".

Klar, der Hersteller muß ich überlegen, ob er umsichtige Kunden bedienen möchte, oder ob er Winkelzüge braucht, weil er zuviele "doofe" Kunden hat, die dauernd ihre Passwörter verschusseln und dann den Hersteller dafür verantwortlich machen, und er diese wichtiger nimmt als Kunden, die das geliefert haben wollen, was versprochen wird: Sichere Verschlüsselung.

Würdest Du es auch gut finden, wenn Du Dir ein Schloß an deine Wohnung bauen läßt, und der Schlosser für alle Wohnungen einen Schlüssel bei sich bunkert, für den Fall, dass Du mal deinen Wohnungsschlüssel vergißt oder verlierst?

Ich bin der festen Meinung, wenn Verschlüsselung, dann SICHER. Und zwar ohne irgendwelche Hintertüren. Sonst kann man's doch gleich lassen. Gerade in Zeiten von NSA ect. Zumal das auch Folgeprobleme bringt: Wie kann der Hersteller überprüfen, ob derjenige, der sein Passwort "resettet" oder "recovered" haben möchte der BERECHTIGTE ist oder nicht? Ist eine Ehefrau berechtigt, zu einem Datenbestand ein Passwort sich geben zu lassen, nur weil ein Gemeinschafts-Girokonto drin ist? Vielleicht hat der Ehemann es ihr absichtlich nicht gegeben, weil noch andere Konten drin sind? Was ist, wenn diese Ehefrau jetzt behauptet, der Ehemann ist gestorben? Das führt zu unendichen Weiterungen... verstehst Du, worauf ich raus will? Entweder sicher oder garnicht.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 391
Dabei seit: 11 / 2009
Betreff:

Re: Passwort in der Datenbank?

 · 
Gepostet: 14.02.2014 - 13:22 Uhr  ·  #7
Ich danke Euch schon mal für Eure Zuschriften und bleibe weiter im Hintergrund, denn da kommt bestimmt noch was nach.
Inhaltlich stimme ich am ehesten mit der Meinung von msa überein, und zwar im Punkt fehlendes Vertrauen.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Pinneberg
Beiträge: 230
Dabei seit: 10 / 2003
Betreff:

Re: Passwort in der Datenbank?

 · 
Gepostet: 14.02.2014 - 15:29 Uhr  ·  #8
Tagchen,

schöne Diskussion - es ist und bleibt Geschmackssache...

Ich persönlich bevorzuge für mich die Variante mit "ganz oder gar nicht", habe in der Praxis aber auch schon genügend Fälle erlebt bei denen die Hintertür für den Kunden hilfreich gewesen ist bzw. gewesen wäre. Ich habe bisher in knapp 15 Jahren nicht einen einzigen Fall gehabt von "ich versuche mir mal Daten zu erschleichen", aber einige von "ich komm nicht mehr rein".

Insgesamt überwiegt bei mir der praktische Ansatz der Hintertür. Und mal so als Denkansatz: Wer garantiert mir dass es keine Hintertür gibt - selbst wenn der Hersteller es behauptet? O-)

Gruß
Stefan
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Passwort in der Datenbank?

 · 
Gepostet: 14.02.2014 - 17:44 Uhr  ·  #9
Zitat geschrieben von StefanM
Insgesamt überwiegt bei mir der praktische Ansatz der Hintertür. Und mal so als Denkansatz: Wer garantiert mir dass es keine Hintertür gibt - selbst wenn der Hersteller es behauptet? O-)

Damit hast Du natürlich absolut recht. Aber wenn man danach geht, dann kann man letztendlich ALLES machen, weil es KÖNNTE ja immer anders sein, als es einem dargestellt wird... So langsam gleiten wir ins philosophische und die Sicht auf die Welt generell ab... :-)
Gewählte Zitate für Mehrfachzitierung:   0