Kundtjänst frågade om lösenord

Trädvy Permalänk
Medlem
Registrerad
Jun 2011

Kundtjänst frågade om lösenord

Hej Swec, jag skulle uppskatta era råd och tankar gällande kundtjänsten och användarsäkerheten hos ett visst företag. I detta inlägg vill jag ej uppge vilket företag det rör sig om.

Som titeln säger; kundtjänsten för ett visst företag bad om farsans lösenord för "identifikationsorsaker" när han ringde dem för att ta bort en uppkopplad enhet från hans konto. Detta var tydligen enda sättet att bekräfta att farsan verkligen var den han utgav sig för att vara över telefonen. Som ni säkerligen förstår finns det enormt stora problem med att kundtjänst har som rutin att be om sina kunders lösenord.

I 'bästa' fallet gjorde kundtjänst bara en "testinloggning" där de körde farsans uppgifter genom sitt inloggningssystem utan att faktiskt få tillgång till hans konto (inte för att det skulle vara svårt för personen han pratade med att senare göra en riktig inloggning).

I det värsta fallet har detta företag alla sina kunders inloggningsuppgifter tillgängliga som plaintext tillsammans med övriga inloggningsuppgifter.

Har ni några tankar om huruvida det här är okej eller inte, eller hur jag ska ta det här vidare för att få företaget att förbättra säkerheten för sina kunder? Eller har jag kanske fått det hela om bakfoten?

Intel Core i5 4670k @ 4.5 GHz - 2 x EVGA GTX 780 SC ACX - MSI Z87-G45 - Corsair Vengeance LP 16 GB - 3 x 1 TB HDD -
2 x 250 GB SSD - ASUS Xonar DGX - EVGA Supernova G2 850W - NZXT H440

Trädvy Permalänk
Moderator
Registrerad
Aug 2007

Så länge jag har ringt upp kundtjänsten i fråga så ser jag inte problemet. Det är kanske inte det snyggaste att göra, men å andra sidan så om du inte litar på din leverantör av vilken tjänst det nu än är så har du större problem. Chansen är väldigt stor att de kan se all din data och göra en massa fuffens med dina grejer även utan lösenordet. Så innebär lösenordet att man kan komma åt och/eller se grejer som du inte vill ska synas så ska du nog avsluta denna tjänsten, för de kan se det du inte vill att de ska se ändå.

Använd gilla för att markera nyttiga inlägg!

Trädvy Permalänk
Medlem
Registrerad
Jan 2012
Skrivet av giplet:

Så länge jag har ringt upp kundtjänsten i fråga så ser jag inte problemet. Det är kanske inte det snyggaste att göra, men å andra sidan så om du inte litar på din leverantör av vilken tjänst det nu än är så har du större problem. Chansen är väldigt stor att de kan se all din data och göra en massa fuffens med dina grejer även utan lösenordet. Så innebär lösenordet att man kan komma åt och/eller se grejer som du inte vill ska synas så ska du nog avsluta denna tjänsten, för de kan se det du inte vill att de ska se ändå.

Håller med. Vem som helst kan få tag på personnummer och annat men lösenordet är lite svårare.

Till ts.
Om nu din far ringer upp kundtjänsten i fråga så bör han ju veta vilka han ringer och om han kan lita på dem.
På den kundtjänst jag jobbar på ser vi lösenord i klartext efter vi loggat in, annars krypterade och kan endast logga in ifrån godkända ip-adresser. Vad gör vi med lösenorden? Inte mycket. Vad kan vi göra? Väldigt mycket. PUL, arbetsmoral och annat står ivägen. Dock frågar vi endast aktivt efter lösenord om kunden behöver hjälp med det så att de har rätt.

Men sen är det ju skillnad om det är tex en bank eller annat med mycket känsliga uppgifter.

I7 8700K @4.5, Asus GTX 1080TI och annat smått o gott.

Acer Predator XB270HU 1440p 144hz G-sync + Qnix 2710

Trädvy Permalänk
Medlem
Registrerad
Jun 2011
Skrivet av giplet:

Så länge jag har ringt upp kundtjänsten i fråga så ser jag inte problemet. Det är kanske inte det snyggaste att göra, men å andra sidan så om du inte litar på din leverantör av vilken tjänst det nu än är så har du större problem. Chansen är väldigt stor att de kan se all din data och göra en massa fuffens med dina grejer även utan lösenordet. Så innebär lösenordet att man kan komma åt och/eller se grejer som du inte vill ska synas så ska du nog avsluta denna tjänsten, för de kan se det du inte vill att de ska se ändå.

Tack för svaret! Jag kan absolut förstå vad du menar, men ditt resonerade antar att det är det 'bästa' fallet som gäller, dvs. att kundtjänst gjorde en testinloggning men att den faktiska inloggningsdatabasen är ordentligt säkrad med saltade hashkoder. Men vad säger att det inte är det värsta fallet som gäller; att dina lösenord är tillgängliga i plaintext (eller tvåvägskrypterat). Då skulle ett dataintrång kunna läcka ut tiotusentals kunders uppgifter.

Skrivet av Sh4d0wfi3nd:

Håller med. Vem som helst kan få tag på personnummer och annat men lösenordet är lite svårare.

Till ts.
Om nu din far ringer upp kundtjänsten i fråga så bör han ju veta vilka han ringer och om han kan lita på dem.
På den kundtjänst jag jobbar på ser vi lösenord i klartext efter vi loggat in, annars krypterade och kan endast logga in ifrån godkända ip-adresser. Vad gör vi med lösenorden? Inte mycket. Vad kan vi göra? Väldigt mycket. PUL, arbetsmoral och annat står ivägen. Dock frågar vi endast aktivt efter lösenord om kunden behöver hjälp med det så att de har rätt.

Men sen är det ju skillnad om det är tex en bank eller annat med mycket känsliga uppgifter.

Hann inte se ditt inlägg innan jag svarade giplet. Det verkar kanske som att jag gör en höna av en fjäder. Personligen skulle jag aldrig känna mig bekväm med att ge ut mina inloggningsuppgifter till någon, men om det är så vanligt som du säger är det kanske jag överreagerade.

Intel Core i5 4670k @ 4.5 GHz - 2 x EVGA GTX 780 SC ACX - MSI Z87-G45 - Corsair Vengeance LP 16 GB - 3 x 1 TB HDD -
2 x 250 GB SSD - ASUS Xonar DGX - EVGA Supernova G2 850W - NZXT H440

Trädvy Permalänk
Medlem
Registrerad
Jan 2012

Om det är vanligt kan jag inte svara på. Men om ni aktivt ringer kundtjänst och ni inte litar på dem försök hitta ett annat sätt att bekräfta vem ni är.

I7 8700K @4.5, Asus GTX 1080TI och annat smått o gott.

Acer Predator XB270HU 1440p 144hz G-sync + Qnix 2710

Trädvy Permalänk
Medlem
Plats
sweden
Registrerad
Dec 2008
Skrivet av Fille625:

Hej Swec, jag skulle uppskatta era råd och tankar gällande kundtjänsten och användarsäkerheten hos ett visst företag. I detta inlägg vill jag ej uppge vilket företag det rör sig om.

Som titeln säger; kundtjänsten för ett visst företag bad om farsans lösenord för "identifikationsorsaker" när han ringde dem för att ta bort en uppkopplad enhet från hans konto. Detta var tydligen enda sättet att bekräfta att farsan verkligen var den han utgav sig för att vara över telefonen. Som ni säkerligen förstår finns det enormt stora problem med att kundtjänst har som rutin att be om sina kunders lösenord.

I 'bästa' fallet gjorde kundtjänst bara en "testinloggning" där de körde farsans uppgifter genom sitt inloggningssystem utan att faktiskt få tillgång till hans konto (inte för att det skulle vara svårt för personen han pratade med att senare göra en riktig inloggning).

I det värsta fallet har detta företag alla sina kunders inloggningsuppgifter tillgängliga som plaintext tillsammans med övriga inloggningsuppgifter.

Har ni några tankar om huruvida det här är okej eller inte, eller hur jag ska ta det här vidare för att få företaget att förbättra säkerheten för sina kunder? Eller har jag kanske fått det hela om bakfoten?

Beror vad för tjänst. Bankuppgifter? nej det ska inte ges ut. Är det kontouppgifter till mailkonto eller en hemsida med mindre känsliga uppgifter än banken? tveksamt, jag skulle inte göra det.

Min spel rigg:FD Define R4|VX 550W|i5 2500K|Corsair LP 4GBX2|Mammabräda P67 Extreme4|GTX 670 windforce|23tum u2312hm
Min gamla/HTPC:AMD 6000+|Ram 2GbX2|Radeon HD5770| XFX 450/nu XFX 550
Mitt bygge: ByggloggFri frakt INET:Fraktfritt sweclockers vid köp över 500kr

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar