Accountsicherheit
 

Konnte das alles noch nie verstehen...
Hab 5 EInhalb Jahre WoW gespielt und NIE ein
Problem gehabt.

Seit 2005 Spiel ich Counterstrike,auch NIE ein
Problem gehabt.

Ich tendiere auch stark zum selbstverschulden,
wenn jemand gehackt wird.

Accountsicherheit
 

Die meisten "mögen" uns dank WoW die Welt von MMOs "erklären" zu können, aber von der anderen Seite wie Umgang mit Passwörtern, Geld und anderen Dingen, da hapert es noch ein wenig bei den Leuten. Da muss der Entwickler halt Papa spielen und einen Authentifikator erfinden.

Accountsicherheit
 

Auch ich spiele über 10 Jahre MMO's und hatte bisher keine Probleme - mein Account ist mir nie abhanden gekommen. Ich halte das allerdings nicht für eine Garantie, dass das bestimmt nicht passieren kann. Zu verdanken haben wir den ganzen Mist den Leuten, die zu dumm oder zu faul sind, ein MMO so zu spielen wie es gedacht ist. Sie halten es für eine gute Idee, die netten Goldsellerangebote wahrzunehmen, die man an jeder Ecke findet. Aus dem Grund sind unsere Spiele-Accounts zu lohnenden Zielen von Computer-Kriminalität geworden. Das sind keine Script-Kiddys, die das aus Spaß machen, sondern echte Profis die damit ihr Geld verdienen.
Die letzten Releases von MMO's die ich in den Foren beobachtet habe sind Aion und Rift. Bei beiden gab es eine richtige Welle von Account-Hacks, Phishing, was auch immer.
Die Opfer die sich in den Foren meldeten, hörten von den Mitspielern das was ich hier auch dauernd lese: Selbst Schuld. Am schönsten war es immer zu lesen, wenn es dann mal einen erwischt hat, der vorher die anderen herablassend über Account-sicherheit belehrt hat.
Fakt für mich ist: Die meisten Spieler sind keine IT-Sicherheitsexperten, und sie müssen es auch nicht sein, sie wollen hier keine millionenschweren Transaktionen durchführen sondern nur ein Spiel spielen.
Jeder MMO-Betreiber der neu heraus kommt sollte auf diese Angriffe vorbereitet sein, und jede zusätzliche Sicherheitsmaßnahme ist gerechtfertigt. Genau so wichtig ist die Bekämpfung der Goldseller- und Käufer, denn wenns nichts zu verdienen gibt ist auch das Interesse an den Spiel-Accounts gering.

Accountsicherheit
 

Das Thema ist es ist tatsächlich so.

Am schönsten war es immer zu lesen, wenn es dann mal einen erwischt hat, der vorher die anderen herablassend über Account-sicherheit belehrt hat.[/quote]Das ist ja nicht ausgeschlossen, auch ein Experte kann sich mal einen neuen Trojaner oder Keylogger einfangen. Es gibt keine ultimative Sicherheit. Wie gesagt, mir auch schon passiert ... aber ja, war natürlich selber schuld.

Problem bei dem Thema Sicherheit ist immer das gleiche: Die Sicherheitsmöglichkeiten/-angebote/-software hinkt immer den Möglichkeiten der Hacker hinterher, kann bestenfalls mal kurzzeitig gleich ziehen ... aber nur solange bis sich die Hacker was neues haben einfallen lassen.

Genauso ist es mit den Authentificatoren ... auf der einen Seite gut weil sie die User hauptsächlich vor Ihrer eigenen Nachlässigkeiten schützen, auf der anderen Seite meiner Meinung nach wird es bald die gröbste Sicherheitslücke die denkbar ist.

Der Grund ist einfach: Je mehr Leute Authentificatoren nutze desto lohnender für die Hacker sich dafür was einfallen zu lassen ... und da gibt es genug Möglichkeiten, bloss noch (!) den meisten Hackern zu aufwändig und es gibt ja noch genug Accounts ohne. Aber irgendwann wird die Mehrheit der User Authentificatoren nutzen und dann kannste die Zeit an einer Hand abzählen die es dauert bis die erste Malware unter die Leute kommt die das ganze System knackt.

Die größte Gefahr bei Authentificator sehe ich darin das die User sich so darauf verlassen das sie alle anderen Sicherheitsmaßnahmen einfach über Bord werfen/vernachlässigen ... was sie zu noch einfacheren Opfern macht.

Fakt für mich ist: Die meisten Spieler sind keine IT-Sicherheitsexperten, und sie müssen es auch nicht sein, sie wollen hier keine millionenschweren Transaktionen durchführen sondern nur ein Spiel spielen.[/quote]Man muss kein IT-Sicherheitsexperte sein (bin ich auch nicht), aber man sollte sich informieren über die Risiken und darüber wie man sie vermeiden kann ... und dafür braucht man maximal 1-2 Stunden im Internet googeln und lesen.

Wer das nicht bereit ist zu investieren der darf sich auch nicht beschweren wenn er Opfer eines der Risiken wird. Eigentlich kann man noch froh sein wenn es "nur" einen Spiele-Account trifft und nicht den Bank-Account wo der Hacker abräumt.

Jeder MMO-Betreiber der neu heraus kommt sollte auf diese Angriffe vorbereitet sein,[/quote]HALLLOOOOO ... hast Du es immer noch nicht richtig verstanden?

Gegen diese Angriffe wo der Hacker die Login-Daten BEIM USER abgreift (direkt oder indirekt) kann ein MMO-Betreiber REIN GAR NICHTS MACHEN. Ausser Schutz anzubieten der die User gegen ihre eigene Nachlässigkeit schützt wie eben ein Authentificator.

Was aber wiederum die Konsequenz beinhaltet das die Schutzwirkung eines Authentificator schon heute absehbar nur zeitlich begrenzt ist (siehe zuvor).

Genau so wichtig ist die Bekämpfung der Goldseller- und Käufer, denn wenns nichts zu verdienen gibt ist auch das Interesse an den Spiel-Accounts gering.[/quote]Das ist mit Sicherheit ein Punkt ... keine Verdienstmöglichkeiten in realer Währung = kein Interesse an Account-Hacks. Keine Frage.

Aber auch das ist eben schwer machbar und der Betreiber kann hier meistens nur nachziehen aber niemals diesen Leute vorraus sein oder sie gar völlig unterbinden.

Ein wichtiger Mechanismus der das Gold-Selling reduziert wäre z.B. das alle Items und Mats nur BoP sind ... aber dann gäbe es einen riesen Aufschrei bei den Spielern wenn man tolle Items oder seltene Mats nicht handeln könnte.

Gruß

Rainer

Accountsicherheit
 

Vertrauen auf 0% reduzieren.
Gehirn einschalten.
Passwort länger als 7 Zeichen.
Zeichen, Buchstaben und Zahlen benutzen.

Fertig.

Accountsicherheit
 

ich würde um Groß-/Kleinschreibung und das ignorieren von "bitte validieren sie ihren account" e-mail's ergänzen ^^

Accountsicherheit
 

Leute...


hier wird immer groß rumdiskutiert wann ein Authenticator nützlich ist und wann nicht, sowie wer einen Authenticator brauchen könnte!

Fakt ist, dass ich mit der CE einen kostenlosen Authenticator bekommen werde und es kann auch nicht bestritten werden dass durch einen Sicherheits-Identifizierungsschlüssel mehr Schutz geboten wird! Deshalb kann doch nur eines gelten:

Wer einen kostenlosen Authenticator ablehnt, obwohl er ihn zu Hause hat, ist dumm!


mfg

Accountsicherheit
 

Oh ja, ich habe verstanden. Wenn mir beim Einkaufen die Geldbörse gestohlen wird, bin ich selber schuld - ich hätte sie nicht in der Hosentasche haben dürfen.
Wenn in meiner Wohnung eingebrochen wird bin ich selbst schuld - ich weder eine Stahltür, eine Alarmanlage noch eine Selbstschussvorrichtung.
Wenn ich nach einem Fussballspiel von Hooligans verprügelt wurde bin ich selbst schuld, man weiss ja dass die sich da rum treiben...
Die Liste lässt sich beliebig fortsetzen.

Was du nicht verstanden hast ist anscheinend, dass es wenig bringt den Opfern mit Schuldvorhaltungen zu kommen.

Dass etwas passieren wird ist eigendlich klar - und ich bleibe dabei, der MMO-Betreiber sollte darauf vorbereitet sein. Wenn es sich schon nicht verhindern lässt - es lässt sich aber zumindest schnell Hilfe leisten und entstandener Schaden rückgängig machen.
Hier reagieren MMO-Betreiber sehr unterschiedlich:
Vom 'Pech gehabt' in HdRO - über langes Nicht-Reagieren und anschließend den gehackten User wegen Bottens bannen in Aion bis zur kompletten Widerherstellung sowie Nachverfolgung wo gestholene Items und Goldwerte letztlich gelandet sind in EQ2 ist alles dabei.
Mit einem vernünftigen Log-System lässt sich nämlich einiges bewerkstelligen.
Wenn so gut wie jeder Fall letztendlich zur Verfolgung bis hin zum neuen Besitzer führt macht das nämlich das Hacken der Accounts letztendlich weit weniger lukrativ - und das, und nur das würde wirklich helfen.

Accountsicherheit
 

Sorry und das verstehst Du falsch. Es ist das Einzige was denjenigen wirklich hilft in Zukunft nicht mehr Opfer von sowas zu werden ... und die sollen es auch so laut in die Welt hinaus posaunen das es auch der Letzte kapiert.

... es lässt sich aber zumindest schnell Hilfe leisten und entstandener Schaden rückgängig machen.
...
bis zur kompletten Widerherstellung ...[/quote]Für den Betreiber ist es Letzteres leider die beste Möglichkeit die Spieler nach einem selbstverschuldeten Hack (zumindest in 99% aller Fälle trifft das zu) bei der Stange zu halten.

Leider schreien heute die Menschen immer mehr danach das Andere ihre eigene Dummheit ausbügeln sollen, dass Problem dabei ist das wenn es funktioniert die Menschen sich zu sehr daran gewöhnen das ein Anderer es schon richten wird.

Was wiederum dazu führt das man noch weniger aufpasst/noch weniger Eigenverantwortung übernimmt weil ja eh nix Schlimmes passieren kann ... irgendjemand wird es ja schon wieder richten für mich.

Wenn ich einem Fremden meine Kontodaten inkl. Passwort und Tan-Liste zugänglich mache und der räumt mein Konto leer ... wieso soll dann die Bank das Geld ersetzen? Die wird mir auch was pfeiffen.

Für mich wäre die richtige Wahl den Usern maximal mögliche Sicherheitsmechanismen anzubieten, wie z.B. Authentificator und gar noch stringenter (Hardware-Dongle z.B.), und wer die nicht nutzt bekommt eben auch genau NULL ersetzt wenn sein Account gehacked wird ... einfach selbst schuld und Feierabend. Dann merkt es sich derjenige vielleicht und wird beim nächsten Mal selber mehr aufpassen und auch die notwendigen Sicherheitsfeatures nutzen.

Ist der beste Lerneffekt. Guck selber mal wieviel Leute in WOW gehacked wurden, dann alles ersetzt bekommen haben und genau deswegen zocken sie weiter ohne Authentificator und gehen nach wie vor genauso nachlässig mit ihren Daten um. Passiert ja nix ... und wenn doch, dann bekommt man ja alles von Blizz zurück.

Aber gut ... das ist wohl ein anderes Thema und das brauchen wir auch nicht ausdiskutieren weil ich da vermutlich mit meiner Einstellung auf wenig bis gar kein Verständnis stossen werde.

Gruß

Rainer

Accountsicherheit
 

Ich denke das tun wir alle immer nur genauso lange bis es einen selbst erwischt .

SR hat in einer seiner vielen Antworten auch nochmal was gesagt zu Thema:

"Believe it or not, you're actually now more secure than before. And yes, we'll do authenticators outside CE."

Also es wird die Authis^^ auch ausserhalb der CE geben.

Accountsicherheit
 

RSA Tokens für MMOs halte ich für perfekt. Natürlich ist ein sicheres Passwort in Kombination mit einem aktuellen System und entsprechender Sicherheitssoftware sowie einem sensibilisierten Anwender davor meist ausreichend sicher aber: Als IT-Admin in einer Bank kann ich zum Thema IT-Sicherheit nur sagen, der Kosten-Nutzen-Faktor einer Tokenlösung ist enorm. Er sorgt mit wenig Aufwand und minimalen Kosten für einen enormen Gewinn an Sicherheit. Dabei werden die meisten nicht kontrollierbaren Faktoren der vielen Anwender ausgehebelt.

Es gibt in meinen Augen kein echtes Argument gegen Tokens. Ich würde sie sogar mit jedem Spiel mit verkaufen, und nicht auf freiwilliger Basis anbieten.

Accountsicherheit
 

Der Authentifikator der der CE beiliegt und den Blizzard für WoW auch verwendet ist genial und garantiert einem die nötige Sicherheit. Ich kann das Ding wirklich nur empfehlen.

In meine Gilde wurde Leute nach 5 Jahren zocken ohne Probleme ohne ersichtlichen Grund gehackt, andere wurden 3x in Folge gehackt trotz Passwortwechsel etc.. Einer war sogar Gilden Offi und der Hacker hat die Gildenbank ausgeräumt. Dank Blizzards Hilfe haben wir immer alles zurück bekommen aber es ist schon sehr viel Nerverei und Stress gehackt zu werden.

So ein Authentifikator erspart euch das. Von daher, wem was an seinem Account liegt hat so ein Ding.

Accountsicherheit
 

Gedenke mal auch BW wird einiges da gegen machen. Unzufriedene Kunden sind keine Einnahmequelle!!!

Accountsicherheit
 

Authentikatoren (ist das der Plural?) sind weder der Heilsbringer, noch ein Kompensat für Unvorsichtigkeit und Naivität. Man sollte sie wirklich nur als zusätzliche Sicherheitsvorkehrung betrachten, die jedoch kein Ersatz für einen guten Antivirus, geupdatete Software, ein sicheres Passwort sowie eine gesunde Portion Misstrauen und Vorsicht ist.

Accountsicherheit
 

Selbst wenn das System kompromitiert ist, kann ein Hacker nicht in den Account ohne Authentifikator. Das Einzige was passiert ist, dass man Meldungen kriegt, dass jemand illegal auf den eigenen Account zugreifen wollte. Der Authentifikator ist also ein sehr guter Schutz. Das man aus anderen Gründen nämlich dem Schutz der restlichen privaten Daten sich Microsoft Security Essentials und ein registriertes Malwarebytes Anti-Malware besorgen sollte ist natürlich richtig.

Accountsicherheit
 

Ich bezog mich nicht nur auf den Spiel-Account. Datenschutz ist generell ein wichtiges Thema.

Accountsicherheit
 

schön das ihr meinen alten threat ausgegraben habt. zum thema, mein account wurde damals gehackt obwohl weder das spiel installiert war noch ein account aktiv um irgend jemand mit spielen zu lassen.

habt ihr euch mal die letzte zeit umgehört was in der hackerszene abläuft. etliche onlinepsilee betreiber wurden gehackt und regierungsserver. ja auch bioware (neverwinter night) wenn ein paar milliardenschwäre goldseller firmen solche leute beauftragen, werden sie sicher hier und da ein paar sicherheitslücken finden zumal ich mal davon ausgehen das blizzard noch an dem goldhandel mitverdient. jede dritte webseitendatenbank kannst du mit sql injection auslesen.

aber ich bin ein befürworter des authenticators. und damit ist auch meine eigentliche frage erledigt weshalb ich sie damals hier gestellt habe

Accountsicherheit
 

Ach ich freu mich schon auf all die Leute die gehackt werden und meinen man ist immer selber schuld und man soll doch ein 13 Sonderzeichen Passwort machen!

Ist bei alle Online Spielen das selbe

Am ende laden sich dann doch alle den authenticator runter oder kaufen ihn sich physisch

Accountsicherheit
 

Hmm, - mein einziger Game Account, der jemals gehackt wurde, ist der bei BattleNetm - da bekomme ich fast täglich Meldungen. - Ist aber nicht so wild, ich hab nämlich noch nie einen besessen. WoW habe ich eingestellt, bevor migriert wurde
Im Ernst, bei sorgsamem Umgang und harten Passwörtern und vernünftig abgsicherten Rechnern ist die Wahrscheinlichkeit wirklich extrem gering.

Edit: Authenticator? Nö, der Token fürs VPN ins Büro langt mir schon.

Accountsicherheit
 

... andere wurden 3x in Folge gehackt trotz Passwortwechsel etc. ...[/quote]*kopfschüttel*

Das meinte ich zuvor als ich sagte, dass die Leute nichts lernen in Bezug auf Sicherheit wenn jemand wie Blizzard da ist der dann Schaden wieder rückgängig macht.

Moment ... da täuscht Du Dich aber gewaltig!

Wenn Dein System tatsächlich kompromittiert ist, dann kann der Hacker auch trotz Authentificator in Deinen Account kommen.

Die Software wartet bis Du Dich in das Spiel einloggen willst, liest bei der Übermittlung des Authentificator-Passwortes dieses aus, schmeisst Dich raus aus der Verbindung und loggt sich mit dem ausgelesen Authentificator-Passwort selber ein ... das Authenticator-Passwort hat ja eine Gültigkeit von rd. 60 Sekunden und das reicht dicke.

Zur Zeit ist das zwar unwahrscheinlich weil vermutlich noch zuviel Aufwand so eine Malware zu schreiben, aber je mehr Leute einen Authentificator nutzen desto eher kommt so eine Malware ... und ich würde echt einen hohen Batzen darauf wetten das schon irgendwo auf dieser Welt Hacker an so einer Malware arbeiten.

Also gewöhn Dich ganz schnell an den Gedanken das bei einem infizierten System der Spiele-Account auch trotz Authentificator geknackt wird.

Der Authenticator schützt aber nach wie vor allzu naive User die auf Pishing reinfallen oder gar Fremde mit Ihrem Account zocken lassen oder sonstige naive "Weitergabe" der Login-Daten, wie z.B. für Foren-/Fansite-Accounts die gleichen Login-Daten wie für den Spiele-Account zu nutzen ... aber bei infizierten Systemen wird er bald keinen Schutz mehr liefern.

Gruß

Rainer

Accountsicherheit
 

Da man ja nach dem Rauswurf sofort versuchen wird neu einzuloggen "hu? rausgeflogen... egal neu einloggen" wird dann auch der Hacker rausfliegen. Weiterhin wird der Account automatisch gelockt und ist nur mit Geheimfrage freischaltbar wenn sich jemand aus einem anderen Land einloggen möchte, auch wenn er den korrekten Key hat.

Von daher habe ich keinen dokumentierten Fall mitbekommen bei dem jemand mit Authentifikator gehackt wurde mit einer Ausnahme - es gab ein Addon-Update Programm - davon gabs ne gehackte Version. Wenn man das benutzt hat, wollte das Programm 2x den Authentifikator Login - die Leute die so strunzdumm waren sich das Malwareupdateprogramm downzuloaden und dann auch noch dort 2x hintereinander Authentifikatorkeys eingegeben haben wurden dann gehackt. Aber das ist schon so abseitig bescheuert, da hilft dann keine Hardware mehr.

Eine sehr gute Methode ist auch die von Steam - wenn man die IP und CPU Adresse ändert muss man seinen Account verifizieren. Solange das nicht geschieht, sperrt sich Steam. Wenn man wechselweise an 2 oder 3 Orten zockt, kann man Steam eine "Whitelist" geben. Man verifiziert die 2 oder 3 Standorte und jeder der nicht von diesem Ort/Rechner auf den Account zugreift kommt ned rein. Da man seine CPU id nicht jeden Tag ändert sondern vielleicht 1x im Jahr wenn man wohlhabend ist - ist das auch kein großer Stress.

Accountsicherheit
 

Was meinst Du wieviel Zeilen Code ein Hacker braucht um Dir nach auslesen Deine Authentificator-Codes das erneute einloggen unmöglich zu machen? Ich vermute mal genau eine und das wäre ein Kill-Kommando .

Weiterhin wird der Account automatisch gelockt und ist nur mit Geheimfrage freischaltbar wenn sich jemand aus einem anderen Land einloggen möchte, auch wenn er den korrekten Key hat.[/quote]Och bitte ... dem Server eine IP aus dem richtigen Land anzuzeigen ist nun wirklich keine große Kunst für einen Hacker, im Zweifel liesst er die richtige IP gleich zusammen mit dem Authentificator-Code aus.

Von daher habe ich keinen dokumentierten Fall mitbekommen bei dem jemand mit Authentifikator gehackt wurde mit einer Ausnahme - es gab ein Addon-Update Programm - davon gabs ne gehackte Version. Wenn man das benutzt hat, wollte das Programm 2x den Authentifikator Login - die Leute die so strunzdumm waren sich das Malwareupdateprogramm downzuloaden und dann auch noch dort 2x hintereinander Authentifikatorkeys eingegeben haben wurden dann gehackt. Aber das ist schon so abseitig bescheuert, da hilft dann keine Hardware mehr.[/quote]Siehste ... da sind schon die ersten Fällen wo Hacker passend auf Authentificatoren Malware geschrieben haben und der war ja noch nichtmal besonders gut da auffällig.

Warte ab ... Du wirst in recht naher Zukunft (und ich hatte mich immer auf die Zukunft bezogen) jede Menge Fälle von gehackten Accounts trotz Authentificator dokumentiert bekommen und zwar alle im Zusammenhang mit Malware.

Eine sehr gute Methode ist auch die von Steam - wenn man die IP und CPU Adresse ändert muss man seinen Account verifizieren.[/quote]Wenn die Malware auf dem Rechner ist dann ist es nun wirklich das einfachste gleich auch noch die CPU-Daten und die IP auszulesen. Das schreibe selbst ich Dir noch in wenigen Zeilen Code runter obwohl ich mich mit Hack-Programmierung gar nicht auskenne.

Das sind keine geschützen Informationen auf dem Rechner da kommt jeder dran und zwar wirklich absolut problemlos.

Das sind alles Dinge die "nur" gegen Pishing, Brut-Force und änliche Hack-Versuche die nicht auf Malware-Infos vom User-Client basieren helfen. Gegen Malware auf dem User-Client hilft das alles gar nix.

Gruß

Rainer

Accountsicherheit
 

Auf der Comic Con 2011 wurde bestätigt das es Athentication Key Generator geben wird (so wie z.b. in WoW auch), in der Collectors Edition ist davon bereits einer enthalten aber jeder nicht CE Besitzer wird sich natürliche diese auch kaufen können, desweiteren wurde über eine Handy App nachgedacht diese befindet sich zur zeit aber noch an der Wall of Crazy.

Im großen und ganzen kann man aber denke ich sagen es geht nichts über ein sicheres Acc Passwort welches man dan auch ausschließlich für EINEN Acc, Forum oder was auch immer zu verwenden.

Mfg Walking

Accountsicherheit
 

Shalaom du gehst von den optimalfall für den Cracker aus das, ihm die vollen 60 Sek zur Verfügung stehen. Wenn man den Code aber erst 10 Sek vor Wechsel auf den nächsten Key eingibt, dürfte dem Cracker rein theoretisch nicht genügend Zeit bleiben um so ein Manöver durchzuführen.

Außerdem verbiete ich mir den Begriff Hacker zu verwenden, wenn der Hack eigentlich niederen persönlichen Gründen zu Grunde liegen. Das sind keine Hacker das sind Cracker. Hacker haben eine Ehtik und Cracker eben nicht, die tun es meist aus Gewinngründen. Hacker, hacken um Sicherheitslücken zu zeigen und bekannt zu machen, damit diese geschlossen werden.

Accountsicherheit
 

Nur händigt keiner absichtlich einem Fremden seine Kontodaten aus - er wird höchstens Opfer eines raffinierten Phishing-Versuchs. Und so sind auch Banken bei soetwas recht kulant. Nicht aus reiner Menschenfreundlichkeit, sondern weil ihnen sonst die Kunden weglaufen.
Du tust so als gäbe es die 100%ige Sicherheit im Netz und so soll auch jeder sich selbst überlassen bleiben dessen Account abhanden kommt. Die gibt es aber nicht, wie du ja selber zugibst.

Ja klar - nur spielt Blizzard aus gutem Grund nicht den IT-Sicherheitslehrmeister. Sie halten lieber die Kunden, anstatt ihnen eine Lektion fürs Leben zu erteilen.
In EQ2 zumindest könnten sie einen vollkommen leergeräumten Account auch gleich behalten. Es gibt zuviele einzigartige Gegenstände - die Quests sind gemacht und nicht wiederholbar. Das heisst letztendlich von vorne anfangen - also ich würde das sicher nicht tun.