Kopieren des Benutzerpassworts sperren

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <
    Betriebssystem
    iOS / Apple
    Handy-Modell
    Website
    Öffentlicher Beitrag
    Mir ist bewusst, dass dieser Beitrag öffentlich ist.

    Unter der URL https://work.threema.ch/en/license/...…ement/identity/... besteht für den Verwalter die Möglichkeit das aktuelle Kennwort eines anderen Benutzers zu kopieren und/oder einzusehen, wenn es im Klartext gespeichert ist.

    Dies könnte es dem Administrator ermöglichen, sich als ein Benutzer auszugeben, z. B. indem er eine Zahlungsanweisung an die Finanzabteilung für die berüchtigten „geheimen Geschäfte“ in Millionenhöhe sendet.

    Gibt es eine Möglichkeit, die Kopier- und/oder Anzeigefunktion für ein Benutzerkonto vollständig zu deaktivieren, unabhängig davon, ob das Kennwort im Klartext oder als Hash gespeichert ist?

    Meiner Meinung nach sollte diese Funktion niemals verfügbar sein, aber vielleicht gibt es Gründe, die ich nicht kenne.

    Zitat von monty25

    Meiner Meinung nach sollte diese Funktion niemals verfügbar sein, aber vielleicht gibt es Gründe, die ich nicht kenne.

    Hallo :)

    da werden wir Dir nicht helfen können. Hier ist nicht der Threema Support, sondern ein privat betriebenes Forum, in dem zwar auch sporadisch einige wenige Threema Mitarbeiter mitlesen, aber normale Nutzer wie Du und ich versuchen, in ihrer Freizeit zu helfen. Bitte wende Dich am besten an den offiziellen Support.

    Kontakt – Threema
    Nehmen Sie mit Threema Kontakt auf. Hier finden Sie alle Kontaktinformationen unabhängig davon, welches Anliegen Sie haben.
    threema.ch

    Gruß Ingo

    Zitat von monty25

    Dies könnte es dem Administrator ermöglichen, sich als ein Benutzer auszugeben, z. B. indem er eine Zahlungsanweisung an die Finanzabteilung für die berüchtigten „geheimen Geschäfte“ in Millionenhöhe sendet.

    Ich glaube das ginge so nicht, da du den Client Key des jeweiligen Users nicht hast. Die Semantik von Username/Password ist zwecks Authentifizierung ggü des Servers, nicht ggü anderer Threema User.

    Software Engineer bei Threema, hier als Individuum.

    Zitat von monty25

    Gibt es eine Möglichkeit, die Kopier- und/oder Anzeigefunktion für ein Benutzerkonto vollständig zu deaktivieren, unabhängig davon, ob das Kennwort im Klartext oder als Hash gespeichert ist?

    Wenn kein Zugriff zu einem späteren Zeitpunkt benötigt wird, sollten alle Zugangsdaten gehashed gespeichert werden.

    Die Klartext-Funktion ist dazu da, dass ein Administrator einem Benutzer die Zugangsdaten erneut zusenden kann, wenn diese vergessen gehen. Eine Klartext-Speicherung ohne Möglichkeit zur Anzeige wäre nicht sinnvoll.

    Wie von Lenny bereits bemerkt, dienen die Work-Zugangsdaten der Lizenzierung sowie dem Zugang zur Firmen-Kontaktliste. Man kann sich damit nicht "in eine Dritt-ID einloggen", da bei Threema die Keys stets nur auf den Endgeräten gespeichert sind.