Einführung der SMS Authentifizierung

Zitat von MCP62

Matthias F. nur noch ein kleiner Nachtrag:

Seit Jahren gab es hier im Forum Kundenwünsche eine Zwei-Faktoren-Authentifizierung einzuführen und das Login sicherer zu machen. Congstar hat in der letzten Zeit so manche Wünsche umgesetzt. So kann man jetzt nachträglich ein Partnerkartenmerkmal setzen oder Kundennummern zusammenführen (viele alte Forumsbeiträge mit damaligen Lösungen sind somit passe) jetzt wurde auch der 2FA Wunsch umgesetzt,

Sorry, aber SMS ist keine "2FA", SMS ist unsicher wie die Hölle. Da hätte man TOTP nehmen können, zumindest optional. Wer mich per SMS "authentifiziert", dem traue ich nicht weit.

Kleine Info:

Ich habe mal die letzten Beiträge, die nichts mit der Abschaltung des Dosktop KC zu tun haben, genommen und in dieses Thema verschoben. Lob / Kritik zur SMS Authentifizierung bitte in dieses Thema.

Zitat von groove21

Rechnung per Mail (wegen dem brauche ich das Kundencenter am meisten), ist bis heute, auch optional, nicht möglich.

Diese Aussage ist falsch. Du kannst die Rechnungen sehr wohl per Mail empfangen.

Zitat von groove21

Schaut mal wie alt dieser Thread ist und wie lange jetzt schon nichts passiert.

Schau mal auf die Website - dort findest du nämlich die Info, dass es möglich ist. Also bitte nicht auf veralteten Informationen rumreiten, die nicht mehr aktuell sind:

Nach dem Hinweis von harob muss ich meine Kritik zu Punkt 3 zumindest teilweise zurückziehen: https://www.congstar.de/hilfe-…hnung/infos-zur-rechnung/

Zitat

Ich habe kein Smartphone, wie erhalte ich zukünftig meine Rechnung?

Natürlich stellen wir sicher, dass du auch nach Sommer 2025 deine Rechnung weiterhin vertragskonform über die vereinbarten Wege erhalten wirst. Ergänzend können wir dir deine Rechnungen auch an die von dir bestätigte Mailadresse senden. Melde dich einfach bei uns.

Das werde ich dann direkt mal anstoßen.

Allerdings muss ich sagen, dass der Hinweis sehr gut versteckt und es toll wäre, wenn die Kommunikation hier etwas transparenter gestaltet werden würde, als nur in einem ausklappbaren Untermenu. Ohne Hinweis im Kundencenter direkt unter dem Menupunkt Rechnungen (wo sowas eigentlich hingehört) finde ich das sehr ungeschickt. Auch wäre es wünschenswert, wenn das ganze durch den Nutzer selbst einstellbar wäre ohne Umweg über den Support.

Die anderen zwei von mir genannten Kritikpunkte kann ich aber leider nur bekräftigen. Hier wäre ein Umdenken sehr wünschenswert.

groove21 es geht ja wie von Christian im zweiten Beitrag hier aufgeführt darum dass Dritte sich nicht auf einem anderen Gerät einloggen können. Ich finde das eine effektive Methode den Login zu schützen wenn Kunden, z.B. für den Fall, gleiche Passwörter in mehreren Diensten nutzen. Sollte es dann bei einem Dienst zum hacking Vorfall kommen und die Passwörter abhanden kommen (siehe z.B. deine email Adresse bei haveibeenpawnd - ja meine email Adresse inklusive Passwort wird dort in Datenbank erwähnt wo es zu einem Hack bei einem bekannten Dienst kam und Passwörter von Kunden gestohlen wurden.) dann ist der Login bei Congstar durch 2FA per SMS geschützt. Noch dazu bekommt man mit wenn sich ein fremder in den Congstar Account erfolgreich einloggt und man unerwartet eine SMS mit dem zweiten Faktor bekommt.

Hier wurde seitens Kunden inklusive mir 2FA gewünscht. Allerdings auch per TOTP als Auswahlmöglichkeit oder alternativ Optional per Passkey Anmeldung.

Jetzt wurde 2FA als SMS implementiert. Ist wohl erstmal mit vergleichsweise wenig Aufwand zu implementieren im Gegensatz zu TOTP und Passkey. Auch hat Congstar ja die Rufnummern zu dem Kundenkonto mit Sicherheit für alle Konten. Insofern ist die Absicherung für alle Kunden gegeben. Was ich gut finde.

Was natürlich verkompliziert ist für eure Fälle mit mehreren Kundenkonten und Rufnummern die von anderen genutzt werden. Was aber wohl nicht der Standard ist.

Es gab seitens Congstar auch eine anonyme Umfrage per Email wo auch genau solche Szenarios befragt wurden. Ob man für andere Verträge verwaltet. Ob man mehreren Konten hat etc. Congstar wird da mit Sicherheit noch überlegen wie man die Services verbessern kann. Und ich nehme auch an, dass Congstar die Implementierung von 2FA per SMS gut durchdacht/abgewägt hat und sich dann dafür entschieden auch wenn manche genau das Szenario haben wie du mit mehreren Konten wo die Rufnummer von anderen Personen benutzt wird.

Abschließend denke ich auch dass die Sicherheit so auch wirklich effektiv erhöht wird. Wünschenswert ist natürlich noch die Implementierung von TOTP und Passkey. Dann könnten Kunden mit Multiaccounts alternativ von 2FA per SMS auf TOTP umstellen oder eben Passkey.

Und Congstar ist ja nicht der einzige Mobilfunk Anbieter der 2FA fürs Kundenkonto implementiert hat.

Zitat von Flosse08

Jetzt wurde 2FA als SMS implementiert.

Hallo

wie ich schon schrieb, ist das kein (echter) zweiter Faktor, sondern völlig sinnfrei, wenn die SMS auf demselben Gerät ankommt. Wo genau soll da jetzt der Schutz sein?

Gruß Ingo

schlingo das habe ich am Anfang in einem Beispiel in meinem Beitrag beschrieben.

Es ist besser wie gar nichts auch wenn man prinzipiell Passwörter nicht doppelt verwendet. Aber auch ein eindeutiges Passwort kann geleaked werden. Ich habe bisher noch keine solche Umfrage bekommen, wie du berichtest. Und prinzipiell wird der Usecase sein, dass die meisten es auf dem gleichen Endgerät nutzen wie auch die App. Wenn dann das Handy gestohlen wird kommt die Schwäche der SMS-TAN zum Vorschein. Daher hätte man von Anfang an auf TOTP und/oder Passkey setzen sollen. Von mir aus SMS-TAN für den Grundschutz bevor gar nichts drin ist, aber eben halt nicht allein sondern direkt mit einer anständigen und sichereren Alternative.

Der wahre 2. Faktor ist für Congstar offenbar der Legitimationspin, mit dem man sich in solchen Fällen (Handy verloren/gestohlen oder PIN vergessen) retten muss.

Leider wissen das wahrscheinlich die wenigsten Nutzer.