Einführung der SMS Authentifizierung

  • Fragensteller

    Beiträge : 4

    Zitat von MCP62

    Matthias F. nur noch ein kleiner Nachtrag:

    Seit Jahren gab es hier im Forum Kundenwünsche eine Zwei-Faktoren-Authentifizierung einzuführen und das Login sicherer zu machen. Congstar hat in der letzten Zeit so manche Wünsche umgesetzt. So kann man jetzt nachträglich ein Partnerkartenmerkmal setzen oder Kundennummern zusammenführen (viele alte Forumsbeiträge mit damaligen Lösungen sind somit passe) jetzt wurde auch der 2FA Wunsch umgesetzt,

    Sorry, aber SMS ist keine "2FA", SMS ist unsicher wie die Hölle. Da hätte man TOTP nehmen können, zumindest optional. Wer mich per SMS "authentifiziert", dem traue ich nicht weit.

    Gefällt mir 3

  • Forenbewohner

    Beiträge : 22
  • Hilfreichste Antwort

    • Ich kann hier auch gerade nur noch den Kopf schütteln. Als IT´ler muss ich euch sagen, dass ihr damit auch Security nur sehr halbherzig umsetzt. In der Regel nutzen die Leute die App auf dem Handy (weil sie ja von euch da reingezwungen werden). Und wo kommt die SMS an: Auch aufs Handy (ungeschützt).

    Wenn das schon aufs gleiche Endgerät kommt, wie es meistens der Fall sein wird, dann hättet ihr, wenn ihr Security ernst nehmen würdet, eine zweite unabhängige Authentifizerungs-App einführen müssten (wie beispielsweise pushTAN bei der Sparkasse o.ä.). Aber so könnt ihr es auch gleich lassen.

    Auch ich verwalte Verträge für die ganze Familie und bin damit de facto kpl. handlungsunfähig, da ich nicht mal eine alternative Nummer für die SMS angeben kann. Und nein, alle Verträge in ein Konto verschmelzen ist nicht Ziel der Sache und auch nicht gewünscht (unterschiedliche Abbuchungskonten, etc.)

    Auch verstehe ich mehrere Entwicklungen in den letzten Monaten nicht, die eure Mutter Telekom wesentlich besser kann:


    • Einhaltung von Branchenstandards: Nutzung von TOTP, wo man geräteunabhängig ist. Oder alternativ sogar Passkeys, welche man in einem Passwortmanager speichern kann. Die Telekom, welche früher selbst SMS-Authentifizierung hatte, hat dies mittlerweile weitestgehend durch TOTP oder Passkeys abgelöst. Und ihr führt es jetzt ein *Kopfschüttel*
    • Abschaltung des Kundencenters: Andere Unternehmen könnten sich glücklich schätzen so ein tolles Kundencenter wo du alles machen kannst zu haben und ihr schmeißt sowas zugunsten einer App über Bord. Dabei wollen viele die App gar nicht nutzen und wüschen sich Wahlfreiheit und keine Bevormundung.
    • Rechnung per Mail (wegen dem brauche ich das Kundencenter am meisten), ist bis heute, auch optional, nicht möglich. Und kommt mir jetzt bitte nicht mit Datenschutz oder irgendwas, eure Mutter und jedes andere Unternehmen bekommt es auch hin das per Mail zu verschicken. Oder wollt ihr sagen, dass euer Mutterkonzern tagtäglich gegen Datenschutzauflagen verstößt?

    Alles in allem so langsam überhaupt nicht mehr kundenfreundlich. Und schade, dass ihr bzgl. Verbesserungsvorschlägen ziemlich beratungsresistent seid. Beispiel zu Punkt 3: Rechnung per E-Mail erhalten

    Schaut mal wie alt dieser Thread ist und wie lange jetzt schon nichts passiert.


    Ich fande congstar mal ganz toll, weil die Verwaltung für mich super einfach war. Aber man hat das Gefühl, dass der Kunde gar nichts mehr zählt und hier einfach, ohne Rücksicht auf Verluste, eine Schiene durchgezogen wird, die es dem Kunden immer schwerer macht. Vielleicht solltet ihr euch mal wieder auf einen einfachen Kern rückbesinnen: Kundenorientierung.

    Danke 3 Gefällt mir 2

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von groove21 ()

  • Zyrous

    Hat das Label [SAMMELTHREAD] hinzugefügt.

  • groove21

    Sehr schön geschrieben. Und soll ich Dir schon mal vorhersagen, was unsere VIP-Members darauf antworten werden? Wir Kunden haben genau diese witzlose Pseudo-2FA seit langem gefordert. Wie Du schon sagst, man kann nur mit dem Kopf schütteln.

    Und es kommt natürlich kein Wort von Congstar, daß wir Betroffenen den Zugang zu unseren Konten zurückerhalten werden. Das interessiert die überhaupt nicht.

  • VIP Member

    Beiträge : 2.670

    Zitat von groove21

    Rechnung per Mail (wegen dem brauche ich das Kundencenter am meisten), ist bis heute, auch optional, nicht möglich.

    Diese Aussage ist falsch. Du kannst die Rechnungen sehr wohl per Mail empfangen.

    Zitat von groove21

    Schaut mal wie alt dieser Thread ist und wie lange jetzt schon nichts passiert.

    Schau mal auf die Website - dort findest du nämlich die Info, dass es möglich ist. Also bitte nicht auf veralteten Informationen rumreiten, die nicht mehr aktuell sind:

    Gefällt mir 1

  • Forenbewohner

    Beiträge : 22

    Nach dem Hinweis von harob muss ich meine Kritik zu Punkt 3 zumindest teilweise zurückziehen: https://www.congstar.de/hilfe-…hnung/infos-zur-rechnung/


    Zitat


    Ich habe kein Smartphone, wie erhalte ich zukünftig meine Rechnung?

    Natürlich stellen wir sicher, dass du auch nach Sommer 2025 deine Rechnung weiterhin vertragskonform über die vereinbarten Wege erhalten wirst. Ergänzend können wir dir deine Rechnungen auch an die von dir bestätigte Mailadresse senden. Melde dich einfach bei uns.

    Das werde ich dann direkt mal anstoßen.


    Allerdings muss ich sagen, dass der Hinweis sehr gut versteckt und es toll wäre, wenn die Kommunikation hier etwas transparenter gestaltet werden würde, als nur in einem ausklappbaren Untermenu. Ohne Hinweis im Kundencenter direkt unter dem Menupunkt Rechnungen (wo sowas eigentlich hingehört) finde ich das sehr ungeschickt. Auch wäre es wünschenswert, wenn das ganze durch den Nutzer selbst einstellbar wäre ohne Umweg über den Support.


    Die anderen zwei von mir genannten Kritikpunkte kann ich aber leider nur bekräftigen. Hier wäre ein Umdenken sehr wünschenswert.

    Gefällt mir 2

  • VIP Member

    Beiträge : 2.190

    groove21 es geht ja wie von Christian im zweiten Beitrag hier aufgeführt darum dass Dritte sich nicht auf einem anderen Gerät einloggen können. Ich finde das eine effektive Methode den Login zu schützen wenn Kunden, z.B. für den Fall, gleiche Passwörter in mehreren Diensten nutzen. Sollte es dann bei einem Dienst zum hacking Vorfall kommen und die Passwörter abhanden kommen (siehe z.B. deine email Adresse bei haveibeenpawnd - ja meine email Adresse inklusive Passwort wird dort in Datenbank erwähnt wo es zu einem Hack bei einem bekannten Dienst kam und Passwörter von Kunden gestohlen wurden.) dann ist der Login bei Congstar durch 2FA per SMS geschützt. Noch dazu bekommt man mit wenn sich ein fremder in den Congstar Account erfolgreich einloggt und man unerwartet eine SMS mit dem zweiten Faktor bekommt.


    Hier wurde seitens Kunden inklusive mir 2FA gewünscht. Allerdings auch per TOTP als Auswahlmöglichkeit oder alternativ Optional per Passkey Anmeldung.


    Jetzt wurde 2FA als SMS implementiert. Ist wohl erstmal mit vergleichsweise wenig Aufwand zu implementieren im Gegensatz zu TOTP und Passkey. Auch hat Congstar ja die Rufnummern zu dem Kundenkonto mit Sicherheit für alle Konten. Insofern ist die Absicherung für alle Kunden gegeben. Was ich gut finde.


    Was natürlich verkompliziert ist für eure Fälle mit mehreren Kundenkonten und Rufnummern die von anderen genutzt werden. Was aber wohl nicht der Standard ist.


    Es gab seitens Congstar auch eine anonyme Umfrage per Email wo auch genau solche Szenarios befragt wurden. Ob man für andere Verträge verwaltet. Ob man mehreren Konten hat etc. Congstar wird da mit Sicherheit noch überlegen wie man die Services verbessern kann. Und ich nehme auch an, dass Congstar die Implementierung von 2FA per SMS gut durchdacht/abgewägt hat und sich dann dafür entschieden auch wenn manche genau das Szenario haben wie du mit mehreren Konten wo die Rufnummer von anderen Personen benutzt wird.


    Abschließend denke ich auch dass die Sicherheit so auch wirklich effektiv erhöht wird. Wünschenswert ist natürlich noch die Implementierung von TOTP und Passkey. Dann könnten Kunden mit Multiaccounts alternativ von 2FA per SMS auf TOTP umstellen oder eben Passkey.


    Und Congstar ist ja nicht der einzige Mobilfunk Anbieter der 2FA fürs Kundenkonto implementiert hat.

  • Forenbewohner

    Beiträge : 22

    Es ist besser wie gar nichts auch wenn man prinzipiell Passwörter nicht doppelt verwendet. Aber auch ein eindeutiges Passwort kann geleaked werden. Ich habe bisher noch keine solche Umfrage bekommen, wie du berichtest. Und prinzipiell wird der Usecase sein, dass die meisten es auf dem gleichen Endgerät nutzen wie auch die App. Wenn dann das Handy gestohlen wird kommt die Schwäche der SMS-TAN zum Vorschein. Daher hätte man von Anfang an auf TOTP und/oder Passkey setzen sollen. Von mir aus SMS-TAN für den Grundschutz bevor gar nichts drin ist, aber eben halt nicht allein sondern direkt mit einer anständigen und sichereren Alternative.

    Gefällt mir 1

  • Der wahre 2. Faktor ist für Congstar offenbar der Legitimationspin, mit dem man sich in solchen Fällen (Handy verloren/gestohlen oder PIN vergessen) retten muss.

    Leider wissen das wahrscheinlich die wenigsten Nutzer.