Kundtjänst frågade om lösenord

2015-02-14 12:15

Medlem ★

Registrerad: Jun 2011

●

Kundtjänst frågade om lösenord

Hej Swec, jag skulle uppskatta era råd och tankar gällande kundtjänsten och användarsäkerheten hos ett visst företag. I detta inlägg vill jag ej uppge vilket företag det rör sig om.

Som titeln säger; kundtjänsten för ett visst företag bad om farsans lösenord för "identifikationsorsaker" när han ringde dem för att ta bort en uppkopplad enhet från hans konto. Detta var tydligen enda sättet att bekräfta att farsan verkligen var den han utgav sig för att vara över telefonen. Som ni säkerligen förstår finns det enormt stora problem med att kundtjänst har som rutin att be om sina kunders lösenord.

I 'bästa' fallet gjorde kundtjänst bara en "testinloggning" där de körde farsans uppgifter genom sitt inloggningssystem utan att faktiskt få tillgång till hans konto (inte för att det skulle vara svårt för personen han pratade med att senare göra en riktig inloggning).

I det värsta fallet har detta företag alla sina kunders inloggningsuppgifter tillgängliga som plaintext tillsammans med övriga inloggningsuppgifter.

Har ni några tankar om huruvida det här är okej eller inte, eller hur jag ska ta det här vidare för att få företaget att förbättra säkerheten för sina kunder? Eller har jag kanske fått det hela om bakfoten?

Visa signatur

Intel Core i5 8600k @ 4.7 GHz - Gigabyte Aorus GTX 1080 TI - Asus PRIME Z370-A
- Corsair Vengeance LP 16 GB - EVGA Supernova G2 850W - NZXT H500i

Rapportera Redigera

Citera flera Citera

2015-02-14 12:20

Permalänk

giplet

Hedersmedlem ★

Registrerad: Aug 2007

●

Så länge jag har ringt upp kundtjänsten i fråga så ser jag inte problemet. Det är kanske inte det snyggaste att göra, men å andra sidan så om du inte litar på din leverantör av vilken tjänst det nu än är så har du större problem. Chansen är väldigt stor att de kan se all din data och göra en massa fuffens med dina grejer även utan lösenordet. Så innebär lösenordet att man kan komma åt och/eller se grejer som du inte vill ska synas så ska du nog avsluta denna tjänsten, för de kan se det du inte vill att de ska se ändå.

Visa signatur

Använd gilla för att markera nyttiga inlägg!

Rapportera Redigera

Citera flera Citera

2015-02-14 12:31

Permalänk

Sh4d0wfi3nd

Medlem ★

Plats: Växjö
Registrerad: Jan 2012

●

Skrivet av giplet:

Så länge jag har ringt upp kundtjänsten i fråga så ser jag inte problemet. Det är kanske inte det snyggaste att göra, men å andra sidan så om du inte litar på din leverantör av vilken tjänst det nu än är så har du större problem. Chansen är väldigt stor att de kan se all din data och göra en massa fuffens med dina grejer även utan lösenordet. Så innebär lösenordet att man kan komma åt och/eller se grejer som du inte vill ska synas så ska du nog avsluta denna tjänsten, för de kan se det du inte vill att de ska se ändå.

Gå till inlägget

Håller med. Vem som helst kan få tag på personnummer och annat men lösenordet är lite svårare.

Till ts.
Om nu din far ringer upp kundtjänsten i fråga så bör han ju veta vilka han ringer och om han kan lita på dem.
På den kundtjänst jag jobbar på ser vi lösenord i klartext efter vi loggat in, annars krypterade och kan endast logga in ifrån godkända ip-adresser. Vad gör vi med lösenorden? Inte mycket. Vad kan vi göra? Väldigt mycket. PUL, arbetsmoral och annat står ivägen. Dock frågar vi endast aktivt efter lösenord om kunden behöver hjälp med det så att de har rätt.

Men sen är det ju skillnad om det är tex en bank eller annat med mycket känsliga uppgifter.

Visa signatur

I7 12700K, Asus RTX 3080 TI, Alienware AW3423DW och annat smått o gott.

Rapportera Redigera

Citera flera Citera

2015-02-14 12:36

Permalänk

Fille625

Medlem ★

Registrerad: Jun 2011

●

Skrivet av giplet:

Så länge jag har ringt upp kundtjänsten i fråga så ser jag inte problemet. Det är kanske inte det snyggaste att göra, men å andra sidan så om du inte litar på din leverantör av vilken tjänst det nu än är så har du större problem. Chansen är väldigt stor att de kan se all din data och göra en massa fuffens med dina grejer även utan lösenordet. Så innebär lösenordet att man kan komma åt och/eller se grejer som du inte vill ska synas så ska du nog avsluta denna tjänsten, för de kan se det du inte vill att de ska se ändå.

Gå till inlägget

Tack för svaret! Jag kan absolut förstå vad du menar, men ditt resonerade antar att det är det 'bästa' fallet som gäller, dvs. att kundtjänst gjorde en testinloggning men att den faktiska inloggningsdatabasen är ordentligt säkrad med saltade hashkoder. Men vad säger att det inte är det värsta fallet som gäller; att dina lösenord är tillgängliga i plaintext (eller tvåvägskrypterat). Då skulle ett dataintrång kunna läcka ut tiotusentals kunders uppgifter.

Skrivet av Sh4d0wfi3nd:

Håller med. Vem som helst kan få tag på personnummer och annat men lösenordet är lite svårare.

Till ts.
Om nu din far ringer upp kundtjänsten i fråga så bör han ju veta vilka han ringer och om han kan lita på dem.
På den kundtjänst jag jobbar på ser vi lösenord i klartext efter vi loggat in, annars krypterade och kan endast logga in ifrån godkända ip-adresser. Vad gör vi med lösenorden? Inte mycket. Vad kan vi göra? Väldigt mycket. PUL, arbetsmoral och annat står ivägen. Dock frågar vi endast aktivt efter lösenord om kunden behöver hjälp med det så att de har rätt.

Men sen är det ju skillnad om det är tex en bank eller annat med mycket känsliga uppgifter.

Gå till inlägget

Hann inte se ditt inlägg innan jag svarade giplet. Det verkar kanske som att jag gör en höna av en fjäder. Personligen skulle jag aldrig känna mig bekväm med att ge ut mina inloggningsuppgifter till någon, men om det är så vanligt som du säger är det kanske jag överreagerade.

Senast redigerat 2015-02-14 12:42

Visa signatur

Intel Core i5 8600k @ 4.7 GHz - Gigabyte Aorus GTX 1080 TI - Asus PRIME Z370-A
- Corsair Vengeance LP 16 GB - EVGA Supernova G2 850W - NZXT H500i

Rapportera Redigera

Citera flera Citera

2015-02-14 12:46

Permalänk

Sh4d0wfi3nd

Medlem ★

Plats: Växjö
Registrerad: Jan 2012

●

Om det är vanligt kan jag inte svara på. Men om ni aktivt ringer kundtjänst och ni inte litar på dem försök hitta ett annat sätt att bekräfta vem ni är.

Visa signatur

I7 12700K, Asus RTX 3080 TI, Alienware AW3423DW och annat smått o gott.

Rapportera Redigera

Citera flera Citera

2015-02-14 12:54

Permalänk

Broken-arrow

Medlem

Plats: sweden
Registrerad: Dec 2008

●

Skrivet av Fille625:

Hej Swec, jag skulle uppskatta era råd och tankar gällande kundtjänsten och användarsäkerheten hos ett visst företag. I detta inlägg vill jag ej uppge vilket företag det rör sig om.

Som titeln säger; kundtjänsten för ett visst företag bad om farsans lösenord för "identifikationsorsaker" när han ringde dem för att ta bort en uppkopplad enhet från hans konto. Detta var tydligen enda sättet att bekräfta att farsan verkligen var den han utgav sig för att vara över telefonen. Som ni säkerligen förstår finns det enormt stora problem med att kundtjänst har som rutin att be om sina kunders lösenord.

I 'bästa' fallet gjorde kundtjänst bara en "testinloggning" där de körde farsans uppgifter genom sitt inloggningssystem utan att faktiskt få tillgång till hans konto (inte för att det skulle vara svårt för personen han pratade med att senare göra en riktig inloggning).

I det värsta fallet har detta företag alla sina kunders inloggningsuppgifter tillgängliga som plaintext tillsammans med övriga inloggningsuppgifter.

Har ni några tankar om huruvida det här är okej eller inte, eller hur jag ska ta det här vidare för att få företaget att förbättra säkerheten för sina kunder? Eller har jag kanske fått det hela om bakfoten?

Gå till inlägget

Beror vad för tjänst. Bankuppgifter? nej det ska inte ges ut. Är det kontouppgifter till mailkonto eller en hemsida med mindre känsliga uppgifter än banken? tveksamt, jag skulle inte göra det.

Visa signatur

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Rapportera Redigera

Citera flera Citera

Kundtjänst frågade om lösenord

Kundtjänst frågade om lösenord

Externa nyheter

Spelnyheter från FZ