Die "Argumente" gegen den Authenticator gehen alle in Richtung "brauchen wir nicht, da alles gehackt werden

kann!
Da stellt man sich doch gleich die Frage, weshalb überhaupt noch Sicherheitsmechanismen einsetzen!?
Was für ein kindisches Verhalten mal wieder!
Der Authenticator ist eine Hilfe und keine Pflicht!
Wer ernsthaft der Meinung ist, dass eine zusätzliche Sicherung überflüssig ist, hat keine Ahnung von Sicherheitsmechanismen und sollte sich von solchen Diskussionen fernhalten!

Zitat:

Zitat von Rayetia

Betrieblich kenne ich solche "extrem" Sicherheitsmaßnahmen ... es geht sogar noch mehr^^
Aber - für einen Spielaccount ist das einfach zu viel aufwand.

Also einen zweiten Code zum entfernen des Authenticators abzufragen ist nicht gerade mit großem Aufwand oder Kosten verbunden, steigert die Effektivität dieses Systems aber um ein vielfaches. Ebenso ist eine telefonische an- & abmeldung einfach und kostengünstig. Die Validierung kann man theoretisch rund um die Uhr über Band machen (Microsoft macht das schon seit Windows XP), die administrativen Tätigkeiten (ein- & austragen) werden von solchen Systemen automatisch getätigt.

Eine Lösung mit leistungsstärkeren Token wäre in der Tat etwas teurer, aber ich lehne mich mal aus dem Fenster und behaupte einfach mal das es interessierten Kunden eher um den Sicherheitsaspekt als um Kleinstbeträge geht. Zudem kann man erwarten das sich das Aufkommen an Supportanfragen bezüglich kompromittierter Accounts entsprechend reguliert. Eine Subvention des Gerätepreises durch den Entwickler wäre daher denkbar, sofern die Geräte einfach gehalten sind (ansonsten werden entsprechende Supportanfragen wohl eher substituiert )

Die Mechanik an sich ist gut, die Umsetzung seiten Blizzard war schlecht. Aus einer Zweifaktor-Authentifizierung lässt sich einiges machen, man darf halt nicht halbherzig implementieren

Die "Argumente" gegen den Authenticator gehen alle in Richtung "brauchen wir nicht, da alles gehackt werden kann!
Da stellt man sich doch gleich die Frage, weshalb überhaupt noch Sicherheitsmechanismen einsetzen!?
Was für ein kindisches Verhalten mal wieder!
Der Authenticator ist eine Hilfe und keine Pflicht!
Wer ernsthaft der Meinung ist, dass eine zusätzliche Sicherung überflüssig ist, hat keine Ahnung von Sicherheitsmechanismen und sollte sich von solchen Diskussionen fernhalten![/quote]Nun darum bin ich auch für so ein Gerät ^^

Ebenso ist eine telefonische an- & abmeldung einfach und kostengünstig. Die Validierung kann man theoretisch rund um die Uhr über Band machen (Microsoft macht das schon seit Windows XP), die administrativen Tätigkeiten (ein- & austragen) werden von solchen Systemen automatisch getätigt.[/quote]Ja... aber für ein MMO bitte - ist so etwas zwar auch kein "Aufwand" aber man kann es mit allem etwas und... maßlos übertreiben, zB mit Sicherheit.

Die Mechanik an sich ist gut, die Umsetzung seiten Blizzard war schlecht. Aus einer Zweifaktor-Authentifizierung lässt sich einiges machen, man darf halt nicht halbherzig implementieren[/quote]Ich behaupte einmal plump - das du nicht beurteilen kannst das die Umsetzung schlecht war^^
Oder kannst du beweisen das seitdem es die Authenticatoren für WoW gibt, es mehr Supportfälle wegen ihnen gibt, als davor bezüglich "gehackten Accounts"?
Denke rein der Logik nach, solltest du die Antwort kennen.

Zitat:

Zitat von Rayetia

Ich behaupte einmal plump - das du nicht beurteilen kannst das die Umsetzung schlecht war^^

Plump trifft es ganz gut. Den Authenticator konnte man mit dem selben Code vom Account entfernen den man vorher via man-in-the-middle abgefangen hat. Mhm... also ich glaube anhand dessen kann man sehr gut beurteilen ob das System gut oder schlecht implementiert wurde....

Zitat:

Zitat von Rayetia

Oder kannst du beweisen das seitdem es die Authenticatoren für WoW gibt, es mehr Supportfälle wegen ihnen gibt, als davor bezüglich "gehackten Accounts"?

Ich weiß wie du darauf kommst, aber nicht was das Eine mit dem Anderen zu tun hat. Spar dir eine Erklärung und tun wir einfach so, als hättest du das niemals gesagt

Zitat:

Zitat von Rayetia

Denke rein der Logik nach, solltest du die Antwort kennen.

42

Zitat:

Zitat von rakwor

42

Denk an dein Handtuch mein Freund!

BtT: Bei MMO's ist bei kompromitierten Accounts der Verlust ja noch relativ gering, dass heisst, der Typ der dich abzieht, ist wahrscheinlich erstmal n Scriptkiddie, weil richtig gute Hacker geben sich mit sowas nicht ab.

Folgeschluss: Nen guten Bekannten, welcher sich mit dem Metier auskennt, damit beauftragen, herauszufinden wo der Lümmel steckt, danach ins Auto, oder den Flieger steigen und nen Hausbesuch machen.

Zitat:

Zitat von Gaahlz

Denk an dein Handtuch mein Freund!

BtT: Bei MMO's ist bei kompromitierten Accounts der Verlust ja noch relativ gering, dass heisst, der Typ der dich abzieht, ist wahrscheinlich erstmal n Scriptkiddie, weil richtig gute Hacker geben sich mit sowas nicht ab.

Folgeschluss: Nen guten Bekannten, welcher sich mit dem Metier auskennt, damit beauftragen, herauszufinden wo der Lümmel steckt, danach ins Auto, oder den Flieger steigen und nen Hausbesuch machen.

RL-PvP kann ja manchmal auch ganz witzig sein^^.

Zitat:

Zitat von Ulrik

Die "Argumente" gegen den Authenticator gehen alle in Richtung "brauchen wir nicht, da alles gehackt werden kann!
Da stellt man sich doch gleich die Frage, weshalb überhaupt noch Sicherheitsmechanismen einsetzen!?
Was für ein kindisches Verhalten mal wieder!
Der Authenticator ist eine Hilfe und keine Pflicht!
Wer ernsthaft der Meinung ist, dass eine zusätzliche Sicherung überflüssig ist, hat keine Ahnung von Sicherheitsmechanismen und sollte sich von solchen Diskussionen fernhalten!

Vielleicht solltest Du erstmal verstehen worüber Du redest.

Ein Authenticator ist in dem Falle wie bei WOW kein Sicherheitssystem sondern einzig und alleine ein Mechanismus den User vor seiner eigenen Naivität im Umgang mit seinen Daten zu schützen. Da er nur optional ist, kann er nicht integraler Bestandteil des allgemeinen Sicherheitssystemes sein sondern nur eine zusätzliche Identifikation beim Login ... sprich sind Login-Daten BEIM User geklaut, kommt sich der Dieb trotzdem nicht einloggen und den Account plündern.

Bei einem Angriff auf das Sicherheitssystem des DB-Servers an sich hilft der Authenticator in diesem Sinne rein gar nichts.

Und das ist meiner Meinung nach des erste was man verstehen sollte wenn man darüber diskutiert. Das Ding ist KEIN Sicherheitssystem sondern schlicht eine zusätzliche Identifikation ... quasi ein zweites hardware-seitig aufbewahrtes Password was der User zu seinem eigenen Schutz selber nicht kennt und das beim Login per Internetleitung übermittelt wird.

Und es sollte jedem dabei dann auch klar sein, dass die Dinger keinen 100%igen Schutz liefern ... wer im Internet alles wo das Zauberwort "Free" draufsteht aus Gier anklickt, begeistertet bei jeder Email als erstes den Anhang aufmacht und bei jeder Pishing-Aktion seine Daten bekannt gibt wird auch irgendwann durch einen Authenticator nicht mehr geschützt sein (Stichwort Abhorchen der Verbindung u.ä. Scherze mit per Inet-Leitung übermittelten Daten).

Natürlich ist das Ding jedem zu empfehlen, aber nicht als Sicherheitssystem sondern schlicht als das was es ist: Schutz vor der eigenen Naivität im Umgang mit sensiblen Daten.

Aber am wichtigsten ist es zu verstehen das nur und einzig und alleine der verantwortungsvolle Umgang mit seinen sensiblen Daten der einzig wirklich zuverlässige Schutz ist.

Gruß

Rainer

Zitat:

Zitat von Shalaom

Vielleicht solltest Du erstmal verstehen worüber Du redest.

Ein Authenticator ist in dem Falle wie bei WOW ein Sicherheitssystem das einzig und alleine den User vor seiner eigenen Naivität im Umgang mit seinen Daten schützt und sonst nichts. Da er nur optional ist, ist er nicht integraler Bestandteil des allgemeinen Sicherheitssystemes sondern nur eine zusätzliche Identifikation beim Login ... sprich sind Login-Daten BEIM User geklaut, kommt sich der Dieb trotzdem nicht einloggen und den Account plündern.

Bei einem Angriff auf das Sicherheitssystem des DB-Servers an sich hilft der Authenticator in diesem Sinne rein gar nichts.

Und das ist meiner Meinung nach des erste was man verstehen sollte wenn man darüber diskutiert. Das Ding ist KEIN Sicherheitssystem sondern schlicht eine zusätzliche Identifikation ... quasi ein zweites hardware-seitig aufbewahrtes Password was der User zu seinem eigenen Schutz selber nicht kennt und das beim Login per Internetleitung übermittelt wird.

Und es sollte jedem dabei dann auch klar sein, dass die Dinger keinen 100%igen Schutz liefern ... wer im Internet alles wo das Zauberwort "Free" draufsteht aus Gier anklickt, begeistertet bei jeder Email als erstes den Anhang aufmacht und bei jeder Pishing-Aktion seine Daten bekannt gibt wird auch irgendwann durch einen Authenticator nicht mehr geschützt sein (Stichwort Abhorchen der Verbindung u.ä. Scherze mit per Inet-Leitung übermittelten Daten).

Natürlich ist das Ding jedem zu empfehlen, aber nicht als Sicherheitssystem sondern schlicht als das was es ist: Schutz vor der eigenen Naivität im Umgang mit sensiblen Daten.

Gruß

Rainer

Meine Güte, komm mal von Deinem hohem Roß runter!
Hast Du überhaupt gelesen was ich geschrieben habe?
Wenn man Deinen Ausführung folgt, dann hast Du nicht ein Wort meines Postings gelesen, noch verstanden!

Ich verstehe vermutlich mehr als Du WIE ein Authenticator funktioniert und für welche Anwendungszwecke er geeignet ist.

Folgt man der"Argumentation" viele Authenticatorgegener, sind sämtliche Sicherheitsmechanismen unsinnig, da JEDE davon nur dazu dient den Benutzer vor seiner Unwissenheit zu schützen.
Ähnlich wie sämtliche ABS unnötig sind, wenn der Autofahrer weiß mit Extremsituationen umzugehen.
Firewalls sind ebenso unnötig, wie Virenscanner oder Passwörter, wenn man denn nur noch mit Vertrauenswürdigen Personen umgeht und die VOLLE Kontrolle über den Datenfluss hat!
Was für ein Blödsinn!
Natürlich sind solche Mechanismen der Unerfahrenheit und dem Komfortbedarf der Nutzer geschuldet, diese jedoch als unnötig abzutun ist einfach nur kurzsichtig und überheblich!
Klar ist der Beste Schutz das Wissen um die Probleme, doch nicht jeder kann alles wissen und auf alles umfassend reagieren.
Es ist eine weitere Hürde für Hacker und kein 100% Schutz!

Das alles habe ich schon vorher gesagt, nur mit anderen Worten!
Dieses Mal habe ich es so verfasst, dass vielleicht sogar Du verstehst was ich zum Ausdruck bringen will, natürlich muss man dafür in der Lage sein, das Gelesenen auch zu verstehen

@Rainer

Bisschen hochnäsig bist du ja schon ne?

Wenn Sicherheit nur vom Faktor abhängig wäre, wie sensibel man mit seinen Daten umgeht, dann wäre die Welt ein bisschen mehr Rosa und ich hätte statt Haaren, Plüsch auf der Brust. Erzähl mal Sony oder anderen Unternehmen die in der letzten Zeit Ziel gewissen Angriffe waren, wie doof sie sind weil sie nicht sensibel genug mit ihren Daten umgegangen sind.

Der Authenticator ist ein zusätzliches Sicherheitssytem in einem System welches keine 100%ige Sicherheit bietet, selbst DANN nicht wenn man sorgfältig sein System schützt.

Ich finde du solltest mal ein bisschen von deinem hohen Pony herabsteigen .

@Ilithien

achso es ging an Rainer.. jetzt habe ich es verstanden.. Rest gelöscht!

Klarheiten beseitigt, Rest gelöscht

Spiele seit gut 5 Jahren MMO's und wurde noch nie gehackt. Einfach bedacht mit seinen Loggin Daten umgehen und nicht auf jeden Link klicken, dazu sein System angemessen sichern und nicht auf Fremden PC's Daten eingeben dann passt des schon.

Kaufen würde ich mir sowas nicht.

Zitat:

Zitat von Kalef

Spiele seit gut 5 Jahren MMO's und wurde noch nie gehackt. Einfach bedacht mit seinen Loggin Daten umgehen und nicht auf jeden Link klicken, dazu sein System angemessen sichern und nicht auf Fremden PC's Daten eingeben dann passt des schon.

Kaufen würde ich mir sowas nicht.

Das hätte sich Sony mal zu Herzen nehmen sollen, wären sie garantiert nicht gehackt worden.

Zitat:

Zitat von Kalef

Spiele seit gut 5 Jahren MMO's und wurde noch nie gehackt. Einfach bedacht mit seinen Loggin Daten umgehen und nicht auf jeden Link klicken, dazu sein System angemessen sichern und nicht auf Fremden PC's Daten eingeben dann passt des schon.

Kaufen würde ich mir sowas nicht.

Ein Kumpel von meinem besten Kumpel hat ihn letztens zum spass den Account abgezogen.

Schuld drann war der tolle Blizzard Support, einfach angerufen gesagt er hat ne neue Email Adresse und an die alte kommt er nicht mehr ran, passwort für den WoW Account weiss er leider auch nicht mehr.


Der Blizzard Support wollte darauf hin NUR seinen vollen namen wissen und die Stadt wo er lebt, weder das Sicherheits-Passwort noch einen Personal ausweiss.



Wie es aussieht hat er zwar * nur * den Character von lv 84 auf 85 hochgelevelt und weiter nichts mit gemacht, aber trotzdem versagt da volkommen Seitens des betreibers der Support und ermöglicht einen erst den zugang.

@ Ilithien

Wenn Sicherheit nur vom Faktor abhängig wäre, wie sensibel man mit seinen Daten umgeht, dann wäre die Welt ein bisschen mehr Rosa und ich hätte statt Haaren, Plüsch auf der Brust. Erzähl mal Sony oder anderen Unternehmen die in der letzten Zeit Ziel gewissen Angriffe waren, wie doof sie sind weil sie nicht sensibel genug mit ihren Daten umgegangen sind.[/quote]Und Du glaubst jetzt allen Ernstes das die Profi-Hacker die Sony geknackt haben sich auf einen einzelnen User-PC stürzen werden? ^^

Bitte ... hier geht es nicht um Profi-Hacker die versuchen einen User-PC zu knacken, die machen die lukrativen Hacks wo sie gleich an Massen von Daten kommen, aber doch nicht einen einzigen Account hacken ... kein einzelner Spiele-Account ist soviel wert das sich ein Profi 30 Minuten Zeit nimmt.

Der Authenticator ist ein zusätzliches Sicherheitssytem in einem System welches keine 100%ige Sicherheit bietet, selbst DANN nicht wenn man sorgfältig sein System schützt.[/quote]Du sagst es richtig und gleichzeitig falsch ... der Authenticator ist KEIN Sicherheitssystem, er schützt nur einen zweiten Identifikationscode um den User vor seiner eigenen Nachlässigkeit mit seinem ersten Identfikationscode zu schützen.

Ich finde du solltest mal ein bisschen von deinem hohen Pony herabsteigen .[/quote]Das hat nichts mit hohem Ross zu tun, sondern ist die schlichte Wahrheit ... Blizzard braucht für die Sicherheit ihrer Server keinen Authenticator, die User brauchen nur einen damit sie vor ihrer eigenen Naivität geschützt sind.

Du musst es mir nicht glauben, darfst gerne auch andere Profis fragen ... die erzählen Dir alle das Gleiche.

@ Ulrik

Natürlich sind solche Mechanismen der Unerfahrenheit und dem Komfortbedarf der Nutzer geschuldet, diese jedoch als unnötig abzutun ist einfach nur kurzsichtig und überheblich!

Klar ist der Beste Schutz das Wissen um die Probleme, doch nicht jeder kann alles wissen und auf alles umfassend reagieren.[/quote]So rum formuliert gebe ich Dir zu 100% Recht.

Das alles habe ich schon vorher gesagt, nur mit anderen Worten!
Dieses Mal habe ich es so verfasst, dass vielleicht sogar Du verstehst was ich zum Ausdruck bringen will, natürlich muss man dafür in der Lage sein, das Gelesenen auch zu verstehen.[/quote]Eine Sichtweise ... eine andere Sichtweise wäre, dass Du Dich einfacher nur besser ausdrücken musst und dann verstehen auch alle was Du sagen willst.

Gruß

Rainer

Und nochmals, steig von deinem Pony ab, das kommt nicht gut!

Das ganze hat absolut nichts mit Nachlässigkeit zu tun. Wenn jemand an die Daten heran möchte kommt er dran. Klar ist es einfacher auf ein ungeschütztes System zuzugreifen, da brauchen wir nicht drüber reden. Trotzdem macht ein Authenticator ein System sicherer.

Elektronische Schlüssel sind in der IT schon längst Standard und das obwohl ITler wissen sollten wie man am besten seine Systeme sichert.

Ich finde es eher nachlässig ein 6Euro Gadget nicht nutzen zu wollen, um seinen Account ein Stück weit besser zu schützen, nur weil man denkt man ist immun gegen Hacks, weil man ja ach so toll im Internet umgehen kann und als Kind die Bits und Bytes per Strohhalm eingesogen hat. Die Gefahr ist immer da, egal was für ein toller Hecht man im Netz ist.

Sorry ich bleib bei meiner Aussage. Die Gutsherrenart steht dir nicht...

Ich muss Shalaom voll zustimmen... er ist auf keinem "Pony" er ist auf "Reales Leben" ^^

Blizzard braucht für die Sicherheit ihrer Server keinen Authenticator, die User brauchen nur einen damit sie vor ihrer eigenen Naivität geschützt sind.[/quote]Wenn du wüsstest wie recht du damit hast ;-)

Elektronische Schlüssel sind in der IT schon längst Standard und das obwohl ITler wissen sollten wie man am besten seine Systeme sichert.[/quote]Sie wissen es, aber trotzdem nutzen nicht alle es - somit kein Standard^^

- Der beste Schutz ist es, kein Internet zu haben... bzw. der einzig wahre 100% Schutz ist das ^^

Zitat:

Zitat von Rayetia

Ich muss Shalaom voll zustimmen... er ist auf keinem "Pony" er ist auf "Reales Leben" ^^...

Es ist reales Leben, dass nur Leute gehackt werden die Weichbirnen sind? Denn nichts anderes lese ich überspitzt formuliert aus dieser Einstellung.

Gratuliere, aus dem Ross ist gerade ne Kutsche geworden auf der du Platz nehmen kannst .

Es ist reales Leben, dass nur Leute gehackt werden die Weichbirnen sind[/quote]Trifft ...bis auf 1 Fall bei allen mir privat bekannten Fällen zu ("gehackte Privatpersonen").

Wenn du "Weichbirnen" als nicht ausreichende Sicherheitssysteme siehst... trifft es auch auf viele andere "Skandale" zu...^^

Also sagen wir mal... 80-90% der "gehackten" Personen entsprechen einer "Weichbirne" - den rest vernachlässigt sind das beinahe alle.
Könnte man noch mehr ausweiten aber im Kern - ja das Leben ist hart und böse

Zitat:

Zitat von Shalaom

Und Du glaubst jetzt allen Ernstes das die Profi-Hacker die Sony geknackt haben sich auf einen einzelnen User-PC stürzen werden? ^^

Bitte ... hier geht es nicht um Profi-Hacker die versuchen einen User-PC zu knacken, die machen die lukrativen Hacks wo sie gleich an Massen von Daten kommen, aber doch nicht einen einzigen Account hacken ... kein einzelner Spiele-Account ist soviel wert das sich ein Profi 30 Minuten Zeit nimmt.

Nicht als direkten Angriff, aber private Systeme sind für Hacker genauso interessant wie geschäftliche Systeme. Es ist einfacher und nicht so gefährlich (geringer monitärer Schaden, ganz im Gegensatz zu Sony, die Hilfe vom FBI und Homeland Security erhalten). Daher wird flächendeckend operiert, z.B. mit inszenierten Youtube-Videos die einem durch ein Programm Betakeys versprechen, positiv bewertet über Zombies oder andere Hacker. Bei Curse.com wurde des öfteren verseuchte Werbung geschaltet (durch nachlässige Werbe-Makler) ... bei solchen Verfahren wird auf die Masse abgezielt, und das lohnt sich wenn man das Risiko bedenkt.

Zitat:

Zitat von Shalaom

Du sagst es richtig und gleichzeitig falsch ... der Authenticator ist KEIN Sicherheitssystem, er schützt nur einen zweiten Identifikationscode um den User vor seiner eigenen Nachlässigkeit mit seinem ersten Identfikationscode zu schützen.

Das nennt man Zweifaktor-Authentifizierung, und ist ein Sicherheitssystem. Der Benutzer braucht sein Passwort und einen validen Code. Das ist in etwa mit einem Safe vergleichbar, wo man eine Zahlenkombination und einen Fingerabdruck braucht um ihn zu öffnen.

Die Sicherheit von Servern beim Unternehmen selbst ist eine andere Baustelle. Es gibt genug Mechaniken (z.B. Verschlüsselung von sensiblen Daten) die auch bei einem erfolgreichen Angriff einen zusätzlichen Schutz vor Missbrauch bieten würden, man muss sie halt nur implementieren.

Wäre auch stark für nen Authenticator...

Weil Irrglaube Nr. 1 ist: Man selbst wird nie ein Opfer.

Wie recht du hast... kenne genug die seltsamerweise kurz nach so einem Satz oder "ach... warum Sicherheit, bisher nie was passier - warum jetzt was passieren" dann "gehackt" wurden oder ihre Accounts weg waren.

Zitat:

Zitat von Rayetia

Wie recht du hast... kenne genug die seltsamerweise kurz nach so einem Satz oder "ach... warum Sicherheit, bisher nie was passier - warum jetzt was passieren" dann "gehackt" wurden oder ihre Accounts weg waren.

Und das sind ja dann nach deiner Aussage Weichbirnen. Irgendwie widesprichst du dir gerade massivst selbst meinst du nicht?

Ich widerspreche mir nicht...^^

Ich sagte nur ich kenne sie, das es meine Freunde sind nicht^^

Und doch... habe ich "Weichbirnen Freunde" die es aber sogar zugeben... oder abstreiten je nachdem ^^

Trotzdem sind es in der Zahl wenige eher.

"Edit":
Müsste wohl anstatt "kenne genug" "kenne genug weichbirnen in meinem bekanntenkreis und erweiterten bekanntenkreis".

Zitat:

Zitat von rakwor

Nicht als direkten Angriff,

Genau darauf ziele ich ab. Der direkte Angriff eines Hackers auf den privaten PC daheim und nicht die Massenaktion um unvorsichtigen Usern Spähprogramme ala Trojaner oer Key-Logger auf das System zu schleusen.

aber private Systeme sind für Hacker genauso interessant wie geschäftliche Systeme. Es ist einfacher und nicht so gefährlich (geringer monitärer Schaden, ganz im Gegensatz zu Sony, die Hilfe vom FBI und Homeland Security erhalten). Daher wird flächendeckend operiert, z.B. mit inszenierten Youtube-Videos die einem durch ein Programm Betakeys versprechen, positiv bewertet über Zombies oder andere Hacker. Bei Curse.com wurde des öfteren verseuchte Werbung geschaltet (durch nachlässige Werbe-Makler) ... bei solchen Verfahren wird auf die Masse abgezielt, und das lohnt sich wenn man das Risiko bedenkt.[/quote]Genau auf diese Aktionen beziehen sich meine Aussagen ... nur durch Massen-Aktion wird der private Rechner interessant und man kann nur Opfer einer Massenaktion werden wenn man unvorsichtig ist oder zu naiv im Umgang mit den Daten, weil die Massenaktionen davon leben das der User darauf "reinfällt".

Sehe ich mir das von Dir beschrieben Youtube-Video an aber lade nicht das Programm oder besuche nicht die Seite um mir den Beta-Key zu besorgen werde ich mit absoluter Sicherheit kein Opfer dieser Aktion. Bin ich aber so gierig das mein Verstand aussetzt und ich lade mir das Programm oder besuche die im Vid genannte Seite war es das i.d.R. ... Script-Ausführung wins.

Das nennt man Zweifaktor-Authentifizierung, und ist ein Sicherheitssystem. Der Benutzer braucht sein Passwort und einen validen Code. Das ist in etwa mit einem Safe vergleichbar, wo man eine Zahlenkombination und einen Fingerabdruck braucht um ihn zu öffnen.[/quote]Moment ... Du redest hier aber von integralen Bestandteilen des Sicherheitssystemes, man bekommt prinzipiell nur Zugang wenn beide Faktoren stimmen. Der Authenticator ist aber nur ein optionaler Bestandteil und daher ist das System an sich in dem Fall erstmal jederzeit auch ohne Authenticator zugänglich und erst nach Zugang zum System an sich wird geprüft ob der User Authenticator aktiviert hat und wenn ja dann wird die zweite Identifikation abgefordert.

D.h. Systemzutritt ist bereits vorhanden bevor der Authenticator zum Einsatz kommt und da liegt der unterschied zu einem richtigen Zweifaktoren-Sicherheitssystem da da der zweite Faktor niemals optional sondern immer zwingend ist und ohne ihn kein Systemzutritt gewährt wird.

@ Ilithien

Das ist Dein Problem wenn Du so naiv bist und glaubst das das nur Spinnerei oder Hochnäsigkeit wäre.

Account-Hacks für Games sind wie von Rakwor richtig beschrieben immer Massen-Aktionen und um Opfer einer Massen-Aktion zu werden MUSS der User in irgendeiner Art und Weise mit machen damit es funktioniert ... entweder aktiv in dem er was anklickt (Link oder Email-Anhang) oder passiv in dem er Login-Daten dort eingibt wo es nicht sicher ist (z.B. Fan-Sites oder sonstigen Hobby-Foren) oder gleich am besten freiwillig alle Daten auf Grund einer Pishing-Aktion noch händisch übermittelt.

Bei WOW sind bereits tausende Accounts gehackt worden, aber komischerweise kein einziger durch einen Hack auf die Datenbank bei Blizzard ... wird es jetzt klarer für Dich?

Deswegen ist der Authenticator imho für jeden User dringend zu empfehlen, aber jeder sollte sich dabei völlig klar sein das der ihn nur vor seiner eigenen Nachlässigkeit schützt und in keinster Weise Bestandteil des Sicherheitssystemes bei Blizzard direkt ist. Blizzard schützt ihre eigenen Server nämlich mit ganz anderen Systemen vor Hacks.

Ich bin bereits auch schon mal Opfer eines Account-Hacks geworden ... und ja klar war ich selber schuld weil ich so dämlich war und tatsächlich für Game und Hobby-Forum die gleichen Login-Daten verwendet habe. Das ist pure Blödheit und wurde natürlich entsprechend bestraft.

Gruß

Rainer