Skip to content

Fort Ebus

Unser Warenwirtschaftssystem ist der reinste Hochsicherheitstrakt: Der PC ist durch ein Passwort geschützt, die Warenwirtschaft ihrerseits auch. Damit könnte ich leben, wenn das System sich nicht nach ein paar Minuten selber sperren würde oder die Passwörter ein beliebiges Format haben könnten und nur noch pro forma vorhanden wären. Aber nein, dem ist nicht so. Alle paar Monate muss zudem ein neues Passwort her und sowas profanes wie "123" funktioniert dabei leider auch nicht.

Ja, da sind auch durchaus sensible (betriebswirtschaftliche) Daten in dem System verfügbar, die niemanden etwas angehen.Was uns betrifft: Wer ins Büro (mit Schlüssel) kommt, hat auch die Zugangsdaten zum PC, wer illegal das Büro betritt, wird vermutlich alles spannend finden, aber sicherlich nicht das Warenwirtschaftssystem.

Wenn es nach mir ginge, müsste das Ding überhaupt nicht speziell gesichert werden, aber die Entscheidung ist unverrückbar für die gesamte EDEKA-IT gefallen und da muss sich dann auch Firma Harste nach richten.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

John Doe am :

Ich gehe davon aus, dass die einfachste Lösung, nämlich das Passwort als txt-Datei auf dem Desktop ablegen bereits erfolgt ist?

Thorsten am :

Der regelmäßige Wechsel von Passwörtern wird nicht mehr empfohlen, lieber kompliziert und ändern bei Gefahr der Bekanntheit

T. J. am :

Ich denke das weiß Björn auch. Nur gibt es da leider eine Vorgabe von oben an die er sich zu halten hat.

Hendrick am :

Kannst Du Dir da nicht so etwas FIDO-ähnliches für aktivieren?
Chip an den Leser, fertig.
Nur als erste Idee, ich weiß nicht, ob das letztendlich praktikabel ist, oder nur als ein Teil von 2FA dienen kann.

Nicht der Andere am :

Die Edeka wird schon sehen, was Genossenschaftlichkeit bedeutet, wenn Edeka Harste erstmal die Mehrheit der Genossenschaftsanteile übernommen oder auf seine Seite gezogen hat!

Simon. am :

Das sind so Regeln, deren einziger Sicherheits-Effekt ist, dass mit an Sicherheit grenzender Wahrscheinlichkeit die Passwörter auf dem Post-it unter dem Bildschirm landen…

Vor allem die Kombination „Möglichst kompliziertes Passwort”, „Regelmäßig ändern” (aka „Zahl am Ende inkrementieren“) und „Ständig abfragen“ ist hervorragend geeignet dieses Nutzer*innenverhalten zu fördern.

Warum ist es so schwer zu verstehen, dass alle IT-Sicherheitsmaßnahmen witzlos werden, wenn man die UX so schlecht macht, dass die Nutzer*innen sie außer Kraft setzen…

Ceterum censeo Passwörter esse delendam. (Wir wären ¾ der aktuellen IT-Security-Probleme los.) Erlöse uns, FIDO2.

John Doe am :

Sonderzeichen gehören nicht mitten in Wörter.

Thomas am :

Zumal blöd gemacht, wenn "nur" zwei Geschlchter explizit angesprochen werden. Nach aktuellem Verdummungsstand bitte "Nutzendenverhalten" und "Nutzende"!

Anonym am :

Oder einfach den jahrzehntelang bewährten generischen Maskulin nutzen.

Tom am :

Wenn man sich nur die Eintipperei sparen möchte ...: Das Passwort als Strichcode generieren (der Standard "Code128" ist für derartiges einschließlich Groß-/Kleinscheibung und Sonderzeichen hervorragend geeignet), ausdrucken, an den Monitor pappen und mit einen Barcodescanner einlesen.

Hendrick am :

Das ist mal ne geile Idee! :-D
Muß ja nicht am Monitor pappen, kann man ja am Mann tragen.
Wenn das so funktioniert - wow! 8-)

Leere Dose am :

Brauchst halt nen Barcode Scanner, der als Tastatur konfiguriert ist.

wupme am :

Was bei 99% der Barcode Scanner wohl der Fall sein wird.

wupme am :

Aha, wohl noch nie Scanner in der Hand gehalten vermute ich mal.

TT am :

Mehr als du. Alle industriellen Scanner emulieren keine Tastatur. Das machen nur billige Handscanner. Teurere, wie auch die an Kassen oft verwendeten Datalogic, machen das nicht.

TT am :

Der Vollständigkeit halber: wobei es auch bei Datalogic Handscanner gibt, die man als Tastatur konfigurieren kann.

Garste am :

Ich verfollständige auch: Kenne keinen Handscanner der das nicht kann. Datalogic sollten das alle können

wupme am :

Seltsam genau das tun zB. auch die Geräte von Cognex, auch industrielle Scanner.

Erzähl das also Jemand anderem.

Die meisten Handscanner geben ihre Info durch Keyboard Inputs weiter.
Auch intern bei Geräten wie zB. MC33 läuft das so ab.

Ich hab garantiert mehr Scanner als du in der Hand gehabt, wenn ich da so bei uns in die Regale schaue wie viele da drin liegen von unterschiedlichsten Typen. Weil Leute denken für jede fucking Anwendung ein anderes Modell zu benötigen. Clown.

TT am :

Jaja, du bist der Spezialist, verstehe. Was machen meine 25 Jahre Erfahrung mit Datalogic/Sick/Keyence, bei denen wir keinen einzigen als Tastatur angeschlossen haben...

Philipp am :

Alternativ zum Barcodeleser wäre ein Passwortmanager wie KeePass auch eine Möglichkeit, da geht die Eingabe einfach per Tastenkombination. Als Hardwarelösung lässt sich auch ein festes Passwort auf einem Yubikey einspeichern, den man einfach am Schlüsselbund befestigen kann.

Oliver am :

Ich verstehe nicht, dass die Edeka-IT nicht mal in die Gastroecke schaut. Die haben da imhO RFID-Chips oder "Stifte", mit denen die Kassen durch Vorhalten oder Einstecken entsperrt werden, bei Entfernen wird auch wieder gesperrt.

joerandom am :

Ich würde wetten, dass das keine Entscheidung von Edeka ist, oder Edeka sich das irgendwie aussuchen könnte.

Das klingt verdächtigt nach PCI DSS - PCI DSS Zertifizierung ist verpflichtend wenn man Kreditkartentransaktionen verwaltet, und man muss diese "alle 90 Tage ändern, komplexes Passwort, kein altes" Regelungen umsetzen.

Dass das alles nicht so richtig Sinn macht kam da aber ebenfalls an, und vorraussichtlich wird die Regel mit der neuen Standardisierung, die vermutlich im Herbst rauskommt, entsorgt. Daumen drücken.

Alexander M. am :

Der Einwand "PCI-DSS" wäre logisch und nachvollziehbar, wenn es um das Kassensystem oder ein anderes System, in welchem Kreditkartendaten verarbeitet werden, ginge. Es geht hier aber um ein Warenwirtschaftssystem - und da bezweifel ich stark, dass es in den Scope von PCI-DSS fällt.

Kuddel Daddeldu am :

Wenn es hinreichend nervt, einen Microcontroller an den USB Port hängen, der auf Knopfdruck das Passwort (oder Benutzer TAB Passwort) ausgibt, z.B. ein Digispark, 3 Stück für 8,49€).
Hmmmm... wollte ich sowieso mal besorgen, um "mal eben" durch Einstecken ein paar Powershell-kommandos abzusetzen, die man immer so braucht (Ipconfig /all, winver, who am I, ..) um einen Rechner fix zu dokumentieren. Wenn du mir den Benutzernamen und die Anforderungen ans Passwort (Länge, Zeichenvorrat) ennst, kann ich das vielleicht mal bauen (die Digisparks sind wohl etwas wählerisch bei der Arduino-Version). Passwort generiere ich dann zufällig.
Als Gehäuse für so etwas hat sich bei mir eine Tictac-Schachtel mit Heisskleber bewährt, aber auch ein fetter Bullshit Button würde gehen :-)

Etsrah Nröjb am :

Es muss schließlich in erster Linie für echte Läden und keine (gefühlten) Einmannkioske geeignet sein.

Chris M am :

Häufig sind solche Zentralentscheidungen etwas schwer nachzuvollziehen. Wahrscheinlich müsste irgendwo irgendeine gesetzliche oder vertragliche erfüllt werden. Also werden alle beglückt, weil die Differenzierung angeblich zu aufwändig ist.... Seufz......

Nur registrierte Benutzer dürfen Einträge kommentieren. Erstellen Sie sich einen eigenen Account hier und loggen Sie sich danach ein. Ihr Browser muss Cookies unterstützen.

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Formular-Optionen