Achja, das wunderschöne "gehacked" werden ^^

Ich durfte die Erfahrung bisher nur einmal machen und das letztes Jahr.

Während meiner einjährigen WoW Pause wurde mein Acc im Sommer letzten Jahres gehacked und ich konnte mir anfangs nicht erklären wieso das Ganze passiert ist.

Nach reiflicher Überlegung und

durchsuchen des Rechners hatte ich nichts gefunden, was aber komisch war das nicht mal nur mein WoW Account gehacked worden war, sondern auch mein Aion und Paypalkonto.

Nach einigen Tagen habe ich dann die Ursache gefunden, es war meine Emailadresse die seit knapp 7 Jahren bestand hatte. Diese wurde gehacked und dadurch sind sie auch an Daten gekommen die nicht direkt einsehbar waren. Ich habe mich damals aber weder bei diesen ganzen Spammails von den Hackaccountblizzardrotz angemeldet noch hatte ich sie geöffnet. Woran es schliesslich lag kann ich nicht genau sagen da ich auch mein Rechner davor neu gemacht hatte und nicht mehr nachvollziehen konnte ob ich einen Keylogger oder ähnliches drauf hatte.

Aber sei es drum, ich hab draus gelernt und werde mit Sicherheit nicht mehr so naiv sein.

Das war meine Geschichte....man ich könnte mich immernoch dafür auspeitschen!

Ich weiss nicht ob es schon erwähnt wurde, darum entschuldigt eine mögliche Dopplung:

Gestern beim Q&A an der Comic-Con wurde diese Frage ebenso gestellt. Stephen Reid meinte darauf, dass sie alle Optionen noch abwägen. Allerdings sei Accountsicherheit für sie ein grosses Thema und sie möchten dem Spieler auch genügend Möglichkeiten geben, seinen Account schützen zu können. Ob das via Authenticator oder sonstigem funktionieren wird, das wissen sie noch nicht.

Hi,

nur damit ich das ganze richtig Verstehe und keinen Fehler bei der Acc-Sicherheit macche:

Wie lang sollte das PW sein damit es sicher ist (alphanumerisch natürlich)?

Ist so ein "hardwre-Code-Generator" (mir fällt das richtige Wort grad nicht ein) nützlich oder eher nicht?

Hilft das regelmäßige ändern des PW´´s?

ich hoffe ihr habt nachsicht mit mir

Gruß
Noaweth

Zitat:

Zitat von Ulrik

Das ist einfach nicht richtig was Du sagst!
Mein seit 1 1/2 Jahren ruhender WoW Account wurde direkt nach der Zusammenlegung ins Battelnet gehackt. Aber nicht von der Clientseite her.
Das Passwort bestand aus einer 12 Stelligen Zeichen, Nummern und Buchstabenkette und auf dem Rechner waren nachweisbar keine Keylogger oder andere Rootkits. Ich habe keinen Account bei Facebook und Co, habe nie meine Accountdaten an andere gegeben oder habe meinen Accountdaten an Fremdrechner oder -zugängen eingegeben.
Seltsam war vor allem, dass aus unsere Gilde und bekannten Gilden über 100 Leute direkt nach der Umstellung zum gemeinsamen Battelnetaccount, gehackt wurden.

Wie kann man auch nur so dumm sein, und einen Account mit der Email-Adresse verknüpfen. Hier hat Blizzard versagt.
Vermutlich wurde das Battlenet gehackt oder wichtige Accountdaten von Mitarbeitern der Umstellung "verkauft".
Pauschal mal ide gesamte Verantwortung auf den Anwender abzuschieben, ist einfach nur dreist und falsch, besonders wenn man um die Sicherheit dieser Netze weiß (siehe die bekannt gewordenen erfolgreichen Attacken gegen angeblich sichere Netze).
Natürlich ist der anwender in erster Linie mit in der Pflicht aber so dreist von einer Eigenverantwortung zu sprechen, schlägt dem Fass den Boden aus!

Absolut richtig. Einzig und allein die e-Mail als Accountnamen zuzulassen, macht einen schon um 50% anfälliger für Hacks. Deshalb hoffe ich inständig, dass BioWare von vornherein die e-Mail von loginrelevanten Dingen fernhält.

Zitat:

Zitat von Noaweth

Hi,

nur damit ich das ganze richtig Verstehe und keinen Fehler bei der Acc-Sicherheit macche:

Wie lang sollte das PW sein damit es sicher ist (alphanumerisch natürlich)?

Ist so ein "hardwre-Code-Generator" (mir fällt das richtige Wort grad nicht ein) nützlich oder eher nicht?

Hilft das regelmäßige ändern des PW´´s?

ich hoffe ihr habt nachsicht mit mir

Gruß
Noaweth

Das Problem heute ist, dass viele den Sprung ins Mehrkernzeitalter und somit die sinkende Schwierigkeit von BruteForce angriffen verschlafen haben. Im Zeitalter von Shared Computing, botnetzen und CUDA etc. sind solche angriffe für 16 zeichen lange passwörter von ~2 jahren auf 18 tage runtergegangen. wir reden jetzt von alphanumerischen passwörtern.
Aufgabe hierbei beim Serverteam: nicht mehr MD5 hashes als sicherung der Userpasswortdatenbanken verlassen, sondern SHA-512 mit 1 mio. runden benutzen.
Der Clue dabei ist, für den User das abfragen beim Login nun anstatt 1 Mikrosekunde, 1 Millisekunde dauert. Für den User ist das nix, einen Passwortknacker würde es aber um den Faktor 1000 ausbremsen – statt 100 Millionen Passwörter pro Sekunde kann er nur noch 100.000 pro Sekunde durchprobieren.

Der User kann dies natürlich auch für sich nutzen.. je länger das passwort umso weniger lohnend ist der crack vom passwort. großbuchstaben, sonderzeichen, zahlen und kleinbuchstaben in unzusammenhängender folge machen es dict programmen zusätzlich schwer.

Quelle: http://www.heise.de/security/artikel...n-1253931.html

Unknackbar sind sie natürlich nicht, aber es lohnt sich einfach nicht mehr für einen cracker sich so lange mit diesem einem passwort abzugeben..

Zitat:

Zitat von Attitude

*gäähn

ihr glaubt doch wohl nicht wirrklich das sich ein hacker mit "einem" account zufrieden gibt oder? da ist doch der server viel interressanter auf dem die accounts gespeichert sind!!! und in dem fall wäre mehr als nur ein account futsch.

das vereinzelte accounts angegriffen wurden liegt grundsätzlich am besitzer.

-unsicheres pw
-ingame char = account name
-leveling service
-account sharing generell
-über ebay gekaufte (und bereits benutzte) accounts!!! das betrifft nur wow
-der eigene freundeskreis!!!
-internet cafe nutzer (da läuft immer ein keylogger)
-viren/trojaner verseuchte pc
-ungesicherte irc chats
-irgendwelche tools bei denen man den ingame login angeben soll
-spammails bei denen man den ingame login angeben soll

da seid ihr selbst für verantwortlich und nicht bioware oder blizzard oder funcom oder oder oder

das wichtigeste hast vergessen.... viele dieser addons haben nen automatischen keylogger an board wenn man sie von der falschen seite lädt. Bei Curse z.b gibt es gerüchte das die sowas auch mit dabei haben.... aber wie gesagt, Greüchte

Zitat:

Zitat von Noaweth

Wie lang sollte das PW sein damit es sicher ist (alphanumerisch natürlich)?

So lang als möglich und mit vielen Sonderzeichen gespickt. Vor allem auch mit deutschen Umlauten wie öÖ, üÜ oder äÄ ... damit haben viele Knacker ein Problem. ^^

Ist so ein "hardwre-Code-Generator" (mir fällt das richtige Wort grad nicht ein) nützlich oder eher nicht?[/quote]Prinzipiell ja, weil es einen zusätzlichen zweiten Code erzeugt der nur für x Sekunden (meistens 60) und nur für diesen Login-Vorgang gültig ist. So kommt selbst jemand der Deine Login-Daten kennt nicht in Deinen Account rein, weil er das zweite abgeforderte Passwort nicht kennt ... ausser er konnte die Übermittlung des zweiten Passwortes sniffen/loggen ... dann leitet er Dich um loggt sich selber ein ... 60 Sekunden sind extrem viel Zeit für einen Computer.

Aber das ist natürlich recht aufwändig und daher eher selten ... noch, denn je verbreiteter diese Dinger werden desto eher ist mit Malware zu rechnen die das für den Hacker abhandelt.

Hilft das regelmäßige ändern des PW´´s?[/quote]Jein. Eher weniger weil wenn der Hacker Dein PW hat loggt er sich i.d.R. sofort ein. Das hilft nur wenn er größere Datenbestände geknackt hat und daher nicht sofort in jeden Account rein gehen kann. Aber gerade Pisher sind da verdammt flink, weil die in Ländern arbeiten wo Arbeitskraft nix kostet und daher meistens soviel Leute an der Hand haben das die sich sofort nach dem Pishing einloggen und leer räumen.

Sinnvoller ist es für jeden Account der ein PW benötigt ein anders PW zu nutzen. Ganz wichtig bei Konto-Accounts für z.B. Spiele, PayPal, EBay, Amazon etc., etc. .... NIEMALS ein Passwort was auf solchen Konten verwendet wird für irgendwas anderes nutzen.

Wichtig ist eine Software zu haben die zuverlässig Key-Logger und andere Malware identifiziert und ausschalten. Sehr gut ist imho Malwarebytes' Anti-Malware (http://www.malwarebytes.org/).

Gruß

Rainer

Zitat:

Zitat von phorse

Das Problem heute ist, dass viele den Sprung ins Mehrkernzeitalter und somit die sinkende Schwierigkeit von BruteForce angriffen verschlafen haben. Im Zeitalter von Shared Computing, botnetzen und CUDA etc. sind solche angriffe für 16 zeichen lange passwörter von ~2 jahren auf 18 tage runtergegangen. wir reden jetzt von alphanumerischen passwörtern.
Aufgabe hierbei beim Serverteam: nicht mehr MD5 hashes als sicherung der Userpasswortdatenbanken verlassen, sondern SHA-512 mit 1 mio. runden benutzen.
Der Clue dabei ist, für den User das abfragen beim Login nun anstatt 1 Mikrosekunde, 1 Millisekunde dauert. Für den User ist das nix, einen Passwortknacker würde es aber um den Faktor 1000 ausbremsen – statt 100 Millionen Passwörter pro Sekunde kann er nur noch 100.000 pro Sekunde durchprobieren.

Der User kann dies natürlich auch für sich nutzen.. je länger das passwort umso weniger lohnend ist der crack vom passwort. großbuchstaben, sonderzeichen, zahlen und kleinbuchstaben in unzusammenhängender folge machen es dict programmen zusätzlich schwer.

Quelle: http://www.heise.de/security/artikel...n-1253931.html

Unknackbar sind sie natürlich nicht, aber es lohnt sich einfach nicht mehr für einen cracker sich so lange mit diesem einem passwort abzugeben..

Hmm da reicht doch völlig einzustellen,das man nur alle 10 Sekunden versuchen kann
sich einzulocken
und schon wäre das Thema Bruteforce gegessen.

Hoffe auch das die Accountdaten vom Login mit e-Mail getrennt werden.

Zitat:

Zitat von batzenbaer

Hmm da reicht doch völlig einzustellen,das man nur alle 10 Sekunden versuchen kann
sich einzulocken
und schon wäre das Thema Bruteforce gegessen.

Du unterliegst da einem Mißverständnis. BrutForce versucht sich nicht einzuloggen in ein Spiel, sondern ein verschlüsseltes Passwort zu entschlüssen und erst mit dem entschlüsselten Passwort loggt sich der Hacker ein.

Und eine BrutForce-Attacke ist IMMER erfolgreich ... die Frage ist nur in welchem Zeitraum: 5 Minuten oder 50 Jahre.

Gruß

Rainer

Ich will einfach einen Authenticator, von mir aus für 10 €uro plus Versandkosten. Das Gerät ist einfach und sorgt für halbwegs Sicherheit.

Zitat:

Zitat von GelberTee

Absolut richtig. Einzig und allein die e-Mail als Accountnamen zuzulassen, macht einen schon um 50% anfälliger für Hacks. Deshalb hoffe ich inständig, dass BioWare von vornherein die e-Mail von loginrelevanten Dingen fernhält.

Ist das nicht schon hier immer so gewesen das du mit der Email einloggst ? das ist bei EA und doch auch so.

Zitat:

Zitat von Moran

Ist das nicht schon hier immer so gewesen das du mit der Email einloggst ? das ist bei EA und doch auch so.

Das war bei WoW lange Zeit nicht der Fall. Bei EVE Online ist es auch nicht so. Von einem seriösen MMO erwarte ich einfach einen eigenen Accountnamen, mit dem man sich auch einloggt. Hier im Forum ist das noch okay, aber zu Release sollte es anders sein.

Zitat:

Zitat von Moran

Ist das nicht schon hier immer so gewesen das du mit der Email einloggst ? das ist bei EA und doch auch so.

Das kam bei WoW erst als sie das neue Battlenet, auch im Hinnblick auf Diablo 3, Starcraft 2 usw. eingeführt haben, zum Teil haben wir das auch Facebook und Co. zu verdanken.

Früher hatte man bei WoW einen Accountnamen und ein Passwort die man sich beide selbst ausdenken/erstellen konnte. Damit konnte man dann auch in die Accountverwaltung einloggen.

Und Origin ist nichts viel anderes als EA´s Version vom Battlenet. Heutzutage glauben leider die meisten Hersteller/Publisher das alle Leute darauf stehen völlig "gläsern" zu sein und das Bedürfniss haben ihren Twitter Account selbst dafür zu bemühen um der Welt mitzuteilen das man jetzt pinkeln geht und danach duschen, einige halten sich halt für so wichtig.

Das es bei WoW anders war weiss ich , hatte damals auch gespielt. Ich meinte hier das Forum und da der Forum Account doch mit Preorder mit dem EA Account in einen Origin Account verwandelt wird. Ist es genau wie beim Battlenet. Der Origin Account wird denke ich mal auch der Swtor Account weil die Preorder dort auch gespeichert ist.

Accountsicherheit?
Befolge einfach diese Dinge.

1. Kaspersky Draufknallen.
2. Sicherres PW mit Buchstaben und Zahlen, Klein und großschreibung.
3. Keine Lvl und Gold selling Seiten benutzen.
4. Absolut niemanden deine Daten geben.

und voila niemand hackt dich.
Es sei den sie Hacken die Server des Vertreibers wo deine Daten gespeichert sind.

Bei der CE ist ein Token für sicheres Einloggen mit im Lieferumfang. Wahrscheinlich ist das Gerät ab Release für die restlichen Kunden auch zu kaufen.

Grüße

Was ich an der Sache nicht verstehen will ist, wie es möglich ist auf einen Account zuzugreifen der NICHT aktiv ist.
Nachdem der Hacker meine Daten hat, muss sich er mit meinem Account einloggen um meine Chars leer zu räumen, also wie geht so was wenn mein acc nicht aktiv ist?.
Denn Nur WoW ist auf meinem PC installiert, all meine Chars sind bei Blizzard auf deren Server gespeichert.
Das lustige an der Sache war als ich einen GM darauf angesprochen habe das mein Account gehackt wurde schrieb er zurück.

GM-Wir haben in der Tat einen Unberechtigten zugriff auf ihren Account festgestellt.

Da frage ich mich doch ernsthaft wie das sein kann das jemand unberechtigt auf meinen Account zugreift und meine Chars leer räumt ohne das Blizzard da was von allein unternimmt.
Fakt ist das Blizzard es doch wusste das mein Account gehackt wurde, aber nichts unternommen hat und gleich den zugriff sperrte.
Gut wäre auch gewesen wenn Sie mir eine E-Mail hätten zukommen lassen um zu bestätigen das ich NICHT der war, der auf den Account zugegriffen hat.

Ich frage mich auch immer wieso ich eine "Geheimfrage-Antwort" bei der Registrierung angegeben habe, diese soll doch bei Unberechtigten zugriff schützen.

Wie ich schon sagte, es nutzt einfach nichts wenn ich für meine Sicherheit sorge wenn von der anderen Seite keine Sicherheit gibt.

Wäre auch eine gute Idee. beim einloggen zusätzlich nach dem passwort einfach eine Geheimfrage stellen. So hätte kein Hacker mehr eine Chance etwas zu bekommen. Das ist wirklich sicher.

Zitat:

Zitat von dashrelaxxx

Bei der CE ist ein Token für sicheres Einloggen mit im Lieferumfang. Wahrscheinlich ist das Gerät ab Release für die restlichen Kunden auch zu kaufen.

Grüße

Oder als App für IOS/Android Handys, davon gehe ich mal aus, außer EA will die selben Probleme haben wie Blizzard.

Solche Authenficator Systeme sind einfach mit Abstand das beste was Account Sicherheit angeht.

Zitat:

Zitat von Moran

Wäre auch eine gute Idee. beim einloggen zusätzlich nach dem passwort einfach eine Geheimfrage stellen. So hätte kein Hacker mehr eine Chance etwas zu bekommen. Das ist wirklich sicher.

Sorry, aber das ist das gleiche wie mit dem Password. Wenn die Login-Daten per Pishing oder Key-Logger entlockt wurden dann haben die auch das zweite Passwort (was anderes wäre die Geheimfrage ja nicht und noch nichtmal besonders Clever weil es Klarnamen sind und nicht irgendwelche willkürlichen Zeichenfolgen).

Das bringt gar nichts, ausser es wird wie beim Authenticator gemacht ... das ist zwar nicht optimal aber bringt trotzdem eine ganze Portion Sicherheit mehr rein.

@ Horrox

Was ich an der Sache nicht verstehen will ist, wie es möglich ist auf einen Account zuzugreifen der NICHT aktiv ist.
Nachdem der Hacker meine Daten hat, muss sich er mit meinem Account einloggen um meine Chars leer zu räumen, also wie geht so was wenn mein acc nicht aktiv ist?.[/quote]Genau wie Du es auch machst ... Launcher starten und Login-Daten eingeben.

Ausser Du meinst Dein Account war zum Zeitpunkt des Zugriffes gekündigt. Dann wäre es in der Tat seltsam ... dann müsste sich der Hacker erst bei Deinem Blizz-Account einloggen, den wieder aktivieren und dann ins Game einloggen.

Aber auch das wäre ja kein Problem wenn Spiele-Login-Daten = Account-Login-Daten sind.

Denn Nur WoW ist auf meinem PC installiert, all meine Chars sind bei Blizzard auf deren Server gespeichert.[/quote]Ja und? Meinst Du die greifen auf Deinen PC zu? Die haben sich auf dem Blizz-Server mit Deinen Daten angemeldet.

Das lustige an der Sache war als ich einen GM darauf angesprochen habe das mein Account gehackt wurde schrieb er zurück.

GM-Wir haben in der Tat einen Unberechtigten zugriff auf ihren Account festgestellt.

Da frage ich mich doch ernsthaft wie das sein kann das jemand unberechtigt auf meinen Account zugreift und meine Chars leer räumt ohne das Blizzard da was von allein unternimmt.[/quote]Wieviele Spieler hat WOW nochmal? An die 12 Mio? Wie sollen die jeden Account-Zugriff kontrollieren? Die können nur im Nachgang feststellen das ein Zugriff erfolgt ist und zwar mit einer IP die nicht aus Deinem Gebiet stammen kann von wo aus Du sonst zu greifst und wenn Du den Hack meldest ist natürlich klar das dann der Hacker-Zugriff war.

Aber es gibt auch Leute die sind im Ausland im Urlaub und zocken trotzdem ... die melden sich dann auch mit einer anderen regionalen IP an.

Das kann Blizz nicht überprüfen, bzw. das kann keiner überprüfen da die IP's ja nicht fest vergeben werden sondern immer nur für einen bestimmten Zeitraum.

Fakt ist das Blizzard es doch wusste das mein Account gehackt wurde, aber nichts unternommen hat und gleich den zugriff sperrte.[/quote]Nein, wussten Sie nicht. Das haben sie erst nachvollziehen können nachdem Du den Hack gemeldet hast.

Ich frage mich auch immer wieso ich eine "Geheimfrage-Antwort" bei der Registrierung angegeben habe, diese soll doch bei Unberechtigten zugriff schützen.[/quote]Die soll nur Dir die Möglichkeit geben die eindeutig zu identifizieren wenn Du Dein PW mal verlegt hast, aber der Hacker hatte ja Dein PW bereits.

Wie ich schon sagte, es nutzt einfach nichts wenn ich für meine Sicherheit sorge wenn von der anderen Seite keine Sicherheit gibt.[/quote]Hättest Du wirklich für Deine Sicherheit gesorgt, wäre der Hacker nicht an Deine Account-Daten gekommen und es hätte überhaupt kein Hack stattgefunden. Und ja ... solange es keinen Datenbank-Hack bei Blizzard gab, hat der Hacker die Daten von Dir direkt oder indirekt bekommen (Pishing, gleichen Logindaten auf Fansites/Foren wie für den Spiele-Accont, zu simples Passwort, Keylogging/Trojaner oder sonstige Mal-/Spyware, Goldselling-/Powerlevel-Service etc., etc. ... ).

Dein Account wurde ja nicht "gecracked" sondern der Hacker hat sich ganz normal und völlig (aus systemsicht) korrekt mit den richtigen Logindaten angemeldet. Das bekommt kein Spiele-Betreiber mit weil eben für das System alles okay ist wenn sich jemand mit den korrekten Daten anmeldet.

Und nur weil sich jemand mit einer ausländischen IP einlogged schlägt auch noch kein System Alarm wenn die Login-Daten stimmen.

Gruß

Rainer

Auch ohne Authenticator wurde bei mir in 15 Jahren noch kein Account gehackt.
Ich kann sowas nicht nachvollziehen. Da sind doch die Leute selber Schuld dran, oder nicht ??

Zitat:

Zitat von sithflow

Ich kann sowas nicht nachvollziehen. Da sind doch die Leute selber Schuld dran, oder nicht ??

In 99% der Fälle, ja.

Die Meisten acc hack entsteht nur weil die leute versuchen ihre accounts in ebay oder anderen portale zu verkaufen.

Zitat:

Zitat von sithflow

Da sind doch die Leute selber Schuld dran, oder nicht ??

Zum größen Teil ja. Ein einigermaßen sicheres Passwort und ein wenig Vorsicht beim Surfen im Internet und man dürfte keine Probleme haben. Wer sich allerdings auf diversen **** oder Warez Seiten rumtreibt, wird sich ohne Kenntnisse der Materie schnell einen Trojaner/Keylogger einfangen. Dann hilft wirklich nur noch ein Authenticator, der ja bei SW:ToR von Start an unterstützt wird.

Hier gibt es eine kurze Erklärung (Einmalpasswort):

http://www.square-enix.com/eu/de/account/otp/