Liebes Gambio-Team, sehe ich das richtig, dass im Supportbereich meine hinterlegten Zugangsdaten für Shop usw im Klartext gesichert werden?
Ja, das ist richtig. Das ist auch praktisch gar nicht anders möglich. Wir können die Daten nur so verschlüsselt speichern, dass dass reversibel ist und wieder Klartext werden kann, denn ohne Zugangsdaten können wir keine Supportfälle bearbeiten. Die Datenspeicherung im Gambio Kundenportal ist dabei aber ein streng geschützter, auditierter Prozess, ausgelegt nach deutschen Datenschutznormen und Gesetzen. Für die Vertraulichkeiten der Daten bürgen wir natürlich demenstprechend und legen höchsten Wert und Fokus auf die Sicherheit der hinterlegten Daten.
Das kann ich ja gut nachvollziehen, eine Schwachstelle könnte trotzdem entfernt werden: Mir selbst sollte das Passwort nicht angezeigt werden. Im Grunde kommt jeder an das Passwort, wenn er Zugriff auf diesen Account haben sollte. Ich als ITler kenne mein eigenes Passwort zwar nicht (Keypass sei dank), jedoch gibt es hier sicher auch unerfahrenere User mit etwas anderen Vorstellungen von "sicheren" Benutzerdaten.
Das ist nicht richtig praktikabel, weil dann Leute nicht sehen ob diese ein aktuelles Passwort bei uns gespeichert haben. Das erhöht oft die Zahl der "Anlaufmails" bis eine Untersuchung zustande kommt drastisch und damit die Wartezeiten auf Lösungen. Dazu muss aber jemand eine gültige Kombination von Benutzernamen und Passwort für den Gambio Kundenportal Login finden, und käme dann maximal an 1 Paar Zugangsdaten, nämlich denen des einen Shopbetreibers in dessen Konto somit eingebrochen wird. Das ist grundsätzlich immernoch recht sicher. Zugangsdaten müssen auch nur bei Erstellung und Durchführung eines Auftrags oder Tickets da sein, danach kann man die löschen wenn man denn mag. Über gute und schlechte Passwörter gibt es Epen. Innerhalb einer sehr grossen Mitte von Dingen die tendenziell ok ist sind auch viele Dinge die mit überschaubaren Längen auskommen (sagen wir 8-12 Zeichen) und merkbar sind. Usern die da keinen völligen Mist machen ("Schatz","asdfasdf","geheim",<Geburtstag>,...) kann man oft auch ohne Passwortmanager und Monsterpassphrase angemessenes verhalten unterstellen. Dazu vielleicht auch am Rande interessant: Selbst unsere Teammitglieder hier inhouse können nur ein bestimmtes, je nach Aufgabengebiet festgelegtes, Kontingent an Zugangsdaten pro Tag einsehen. Jede Einsicht wird protokolliert, bei einem Überschreiten wird eine Sperre ausgelöst.
@egeshisha: Wir haben das so gelöst, dass wir die Passwörter immer nur hinterlegen, wenn wir ein Support-Ticket öffnen. Wenn dieses erledigt ist, nehmen wir die Passwörter wieder raus. Selbstverständlich vertrauen wir den Mitarbeitern von Gambio. Aber es sind halt schon die bekanntesten Unternehmen Opfer von Hacking-Attacken geworden.
Ich weiß das Gambio diverse Sicherheitsmaßnahmen hat und ständig Dinge überwacht. Ich würde eher davon ausgehen dass der eigene PC / Server gehackt wird als das jemand über das Kundenportal an eure Daten kommt. Allein schon weil viele die FTP Daten im Filzilla speichern, der wirklich leicht abzugreifen ist.
Das was Dennis sagt stimmt, das was du sagst stimmt aber auch. Ich mag darum einmal betonen das deine Überlegung völlig valide und in Ordnung ist.