Skip to content

Fort Ebus

Posted by Björn Harste on
Unser Warenwirtschaftssystem ist der reinste Hochsicherheitstrakt: Der PC ist durch ein Passwort geschützt, die Warenwirtschaft ihrerseits auch. Damit könnte ich leben, wenn das System sich nicht nach ein paar Minuten selber sperren würde oder die Passwörter ein beliebiges Format haben könnten und nur noch pro forma vorhanden wären. Aber nein, dem ist nicht so. Alle paar Monate muss zudem ein neues Passwort her und sowas profanes wie "123" funktioniert dabei leider auch nicht.

Ja, da sind auch durchaus sensible (betriebswirtschaftliche) Daten in dem System verfügbar, die niemanden etwas angehen.Was uns betrifft: Wer ins Büro (mit Schlüssel) kommt, hat auch die Zugangsdaten zum PC, wer illegal das Büro betritt, wird vermutlich alles spannend finden, aber sicherlich nicht das Warenwirtschaftssystem.

Wenn es nach mir ginge, müsste das Ding überhaupt nicht speziell gesichert werden, aber die Entscheidung ist unverrückbar für die gesamte EDEKA-IT gefallen und da muss sich dann auch Firma Harste nach richten.

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

John Doe on :

Ich gehe davon aus, dass die einfachste Lösung, nämlich das Passwort als txt-Datei auf dem Desktop ablegen bereits erfolgt ist?

Thorsten on :

Der regelmäßige Wechsel von Passwörtern wird nicht mehr empfohlen, lieber kompliziert und ändern bei Gefahr der Bekanntheit

T. J. on :

Ich denke das weiß Björn auch. Nur gibt es da leider eine Vorgabe von oben an die er sich zu halten hat.

Hendrick on :

Kannst Du Dir da nicht so etwas FIDO-ähnliches für aktivieren?
Chip an den Leser, fertig.
Nur als erste Idee, ich weiß nicht, ob das letztendlich praktikabel ist, oder nur als ein Teil von 2FA dienen kann.

Nicht der Andere on :

Die Edeka wird schon sehen, was Genossenschaftlichkeit bedeutet, wenn Edeka Harste erstmal die Mehrheit der Genossenschaftsanteile übernommen oder auf seine Seite gezogen hat!

Simon. on :

Das sind so Regeln, deren einziger Sicherheits-Effekt ist, dass mit an Sicherheit grenzender Wahrscheinlichkeit die Passwörter auf dem Post-it unter dem Bildschirm landen…

Vor allem die Kombination „Möglichst kompliziertes Passwort”, „Regelmäßig ändern” (aka „Zahl am Ende inkrementieren“) und „Ständig abfragen“ ist hervorragend geeignet dieses Nutzer*innenverhalten zu fördern.

Warum ist es so schwer zu verstehen, dass alle IT-Sicherheitsmaßnahmen witzlos werden, wenn man die UX so schlecht macht, dass die Nutzer*innen sie außer Kraft setzen…

Ceterum censeo Passwörter esse delendam. (Wir wären ¾ der aktuellen IT-Security-Probleme los.) Erlöse uns, FIDO2.

John Doe on :

Sonderzeichen gehören nicht mitten in Wörter.

Nicht der Andere on :

J%&§!#*E

Thomas on :

Zumal blöd gemacht, wenn "nur" zwei Geschlchter explizit angesprochen werden. Nach aktuellem Verdummungsstand bitte "Nutzendenverhalten" und "Nutzende"!

Anonymous on :

Oder einfach den jahrzehntelang bewährten generischen Maskulin nutzen.

Tom on :

Wenn man sich nur die Eintipperei sparen möchte ...: Das Passwort als Strichcode generieren (der Standard "Code128" ist für derartiges einschließlich Groß-/Kleinscheibung und Sonderzeichen hervorragend geeignet), ausdrucken, an den Monitor pappen und mit einen Barcodescanner einlesen.

Hendrick on :

Das ist mal ne geile Idee! :-D
Muß ja nicht am Monitor pappen, kann man ja am Mann tragen.
Wenn das so funktioniert - wow! 8-)

Leere Dose on :

Brauchst halt nen Barcode Scanner, der als Tastatur konfiguriert ist.

wupme on :

Was bei 99% der Barcode Scanner wohl der Fall sein wird.

wupme on :

Aha, wohl noch nie Scanner in der Hand gehalten vermute ich mal.

TT on :

Mehr als du. Alle industriellen Scanner emulieren keine Tastatur. Das machen nur billige Handscanner. Teurere, wie auch die an Kassen oft verwendeten Datalogic, machen das nicht.

TT on :

Der Vollständigkeit halber: wobei es auch bei Datalogic Handscanner gibt, die man als Tastatur konfigurieren kann.

Garste on :

Ich verfollständige auch: Kenne keinen Handscanner der das nicht kann. Datalogic sollten das alle können

wupme on :

Seltsam genau das tun zB. auch die Geräte von Cognex, auch industrielle Scanner.

Erzähl das also Jemand anderem.

Die meisten Handscanner geben ihre Info durch Keyboard Inputs weiter.
Auch intern bei Geräten wie zB. MC33 läuft das so ab.

Ich hab garantiert mehr Scanner als du in der Hand gehabt, wenn ich da so bei uns in die Regale schaue wie viele da drin liegen von unterschiedlichsten Typen. Weil Leute denken für jede fucking Anwendung ein anderes Modell zu benötigen. Clown.

TT on :

Jaja, du bist der Spezialist, verstehe. Was machen meine 25 Jahre Erfahrung mit Datalogic/Sick/Keyence, bei denen wir keinen einzigen als Tastatur angeschlossen haben...

Philipp on :

Alternativ zum Barcodeleser wäre ein Passwortmanager wie KeePass auch eine Möglichkeit, da geht die Eingabe einfach per Tastenkombination. Als Hardwarelösung lässt sich auch ein festes Passwort auf einem Yubikey einspeichern, den man einfach am Schlüsselbund befestigen kann.

Oliver on :

Ich verstehe nicht, dass die Edeka-IT nicht mal in die Gastroecke schaut. Die haben da imhO RFID-Chips oder "Stifte", mit denen die Kassen durch Vorhalten oder Einstecken entsperrt werden, bei Entfernen wird auch wieder gesperrt.

joerandom on :

Ich würde wetten, dass das keine Entscheidung von Edeka ist, oder Edeka sich das irgendwie aussuchen könnte.

Das klingt verdächtigt nach PCI DSS - PCI DSS Zertifizierung ist verpflichtend wenn man Kreditkartentransaktionen verwaltet, und man muss diese "alle 90 Tage ändern, komplexes Passwort, kein altes" Regelungen umsetzen.

Dass das alles nicht so richtig Sinn macht kam da aber ebenfalls an, und vorraussichtlich wird die Regel mit der neuen Standardisierung, die vermutlich im Herbst rauskommt, entsorgt. Daumen drücken.

Alexander M. on :

Der Einwand "PCI-DSS" wäre logisch und nachvollziehbar, wenn es um das Kassensystem oder ein anderes System, in welchem Kreditkartendaten verarbeitet werden, ginge. Es geht hier aber um ein Warenwirtschaftssystem - und da bezweifel ich stark, dass es in den Scope von PCI-DSS fällt.

Kuddel Daddeldu on :

Wenn es hinreichend nervt, einen Microcontroller an den USB Port hängen, der auf Knopfdruck das Passwort (oder Benutzer TAB Passwort) ausgibt, z.B. ein Digispark, 3 Stück für 8,49€).
Hmmmm... wollte ich sowieso mal besorgen, um "mal eben" durch Einstecken ein paar Powershell-kommandos abzusetzen, die man immer so braucht (Ipconfig /all, winver, who am I, ..) um einen Rechner fix zu dokumentieren. Wenn du mir den Benutzernamen und die Anforderungen ans Passwort (Länge, Zeichenvorrat) ennst, kann ich das vielleicht mal bauen (die Digisparks sind wohl etwas wählerisch bei der Arduino-Version). Passwort generiere ich dann zufällig.
Als Gehäuse für so etwas hat sich bei mir eine Tictac-Schachtel mit Heisskleber bewährt, aber auch ein fetter Bullshit Button würde gehen :-)

Etsrah Nröjb on :

Es muss schließlich in erster Linie für echte Läden und keine (gefühlten) Einmannkioske geeignet sein.

Chris M on :

Häufig sind solche Zentralentscheidungen etwas schwer nachzuvollziehen. Wahrscheinlich müsste irgendwo irgendeine gesetzliche oder vertragliche erfüllt werden. Also werden alle beglückt, weil die Differenzierung angeblich zu aufwändig ist.... Seufz......

Only registered users may post comments here. Get your own account here and then log into this blog. Your browser must support cookies.

The author does not allow comments to this entry

Add Comment

Standard emoticons like :-) and ;-) are converted to images.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options