59 replies to this topic

[Suzano]

Marukage, on 19 June 2014 - 05:19 AM, said:

Deshalb würde ich mich über eine Verbesserung der Sicherheit sehr freuen.
zbsp. ein Sicherheitspasswort für die Änderung der LoginPW und E-Mail-Addy,
die nix mit den normalen Login zu tun hat.


Was denkt ihr?

mfg
maru

Finde ich persönlich eine sehr gute und sinnvolle Idee. Ein Forum zu knacken scheint nicht so schwer zu sein, da macht es auf alle Fälle sinn, seinen Account durch Änderungspasswörter oder Einmalpasswörter bei Änderungen zu schützen.

Oder zumindest würde es beruhigend wirken.

[HUBA]

VitusFitzWoven, on 19 June 2014 - 08:27 AM, said:

... Genau das! Schwache Sicherheitsmaßnahmen sind besser als gar keine...

tschuldigung, aber das ist Blödsinn. Wenn ich weiß das eine Seite unsicher ist gehe ich anders mit ihr um als wenn ich glaube sie ist Sicher. Und jeder, der sich an diesen Grundsatz hält (und da muss ich mir auch an die eigene Nase fassen), kann sich übelst in die Nesseln setzen.

[JD R]

Erstmal ne Grundfrage wer sollte Geld und Arbeit darein stecken MWO Accounts zu klauen?

Weil wer ein solches Wissen hat möchte auch damit was anfangen. Bei den meisten Spielen kann man Versuchen Gold, Waffen etc. zu Geld zu machen, aber hier? Kein p2p Handel somit auch keine Möglichkeit einen gekaperten Acc direkt zu Geld zu machen. Man müsste Versuchen den Acc direkt zu verkaufen aber bei der geringen Nachfrage eher unwahrscheinlich.

Wahrscheinlicher wäre das sie so versuchen an Mail+Passwörter zu kommen um Mailaccounts zu Kapern und damit dann was verdienen.

Was da wirklich das sinnvollste wäre ist schwer zu sagen.

[VitusFitzWoven]

HUBA, on 19 June 2014 - 08:35 AM, said:

Wenn ich weiß das eine Seite unsicher ist gehe ich anders mit ihr um als wenn ich glaube sie ist Sicher.

Ernsthaft? Gewöhn Dir das ab - Sicherheit im Internet ist eine Illusion. Du würdest doch Dein Passwort bei MWO nicht auf "12345" ändern, nur weil sie einen Token-Authenticcator einbauen

Alles ist knackbar, die Frage ist lediglich ob sich der Aufwand für den Angreifer lohnt. Für den Produkthersteller bedeutet das, daß er über Sicherheitsmaßnahmen eine Barriere aufbauen kann, die soviel Aufwand erzeugt, daß ein Angriff einfach zu aufwändig wird als das es sich für einen Angreifer noch lohnt. Auch schwächere Sicherheitsmaßnahmen erhöhen diese Barriere.

[HUBA]

anstatt das Problem runter zu spielen solle man sich Gedanken machen wie auch mit einfachen (nicht schwachen) Mittel die Sicherheit erhöht.

[Zacharias McLeod]

Marukage, on 19 June 2014 - 07:10 AM, said:

hi

das koppeln ans Handy wäre eine sehr sinnvolle Sache.

mfg
maru

So ich oute mich mal.

Ich habe gar kein Handy.

Ja richtig gelesen, ich gehöre zu den wenigen Leuten die noch keins haben. Den ich habe gar keine Lust immer und überall erreichbar zu sein.

Ansonsten kann ich nur sagen das es kein System gibt das 100% sicher ist.

Außerdem sind doch viele schon überfordert sich die ganzen Passwörter zu merken. Den du brauchst ja bei jedem Internetshop, jedem Spiel und jeder anderen Seite bei der du dich angemeldet hast eigentlich ein eigenes. Dazu dann noch das Passwort für die eMails usw.

Also was machen viele? Richtig sie nutzen die Browserfunktion zum Speichern von Passwörtern oder legen eine Datei an oder haben einen Zettel mit allen drauf (gibt ja sogar Leute die die Nummer ihrer Bankkarte auf die Karte geschrieben haben).


Ups ganz vergessen, die Leute machen sich zum Teil gar nicht die Mühe die einzelnen Spielerkonten zu hacken, sonder sie hacken die Kontoserver bzw sie versuchen es. Dort kann man nämlich an die Kreditkarteninfos von einem ganzen Haufen Spieler kommen.

Edited by Zacharias McLeod, 19 June 2014 - 09:39 AM.

[Marukage]

hi leute

vorab, es geht hier nicht um den/einen Grundsatz "ist das Internet sicher oder nicht",
bzw. kann man damit Geld machen oder nicht, oder will der Hacker nur Spass haben und Chaos stiften.

sondern darum ob die derzeitige Sicherheitsmaßnahmen ausreichen und für jeden OKAY oder nicht sind?
Sowohl für den Spielaccount als auch für den HP-Account.

Ich persönlich tun mir damit etwas schwer.
sorry !
ich finde das Geld nicht auf der Straße, bzw verdiene ich nicht soviel dass ich es mir leisten kann,
Geld zu verlieren. Denn es ist für mich sehr viel Geld was ich hier rein stecke in das Online-Spiel MWO.

Deshalb wünsche ich mir sehr eine personenbezogen sicheren Account.

Gut dass ich mein Account verliere ist hier unwahrscheinlich,
selbst wenn dieser gehackt würde, dafür habe ich schon selbst gesorgt.
Aber der Ärger der dahinter steht würde ich gerne vermindern
und eine Authentifizierung meines Account vereinfachen bzw. die Verlustchance vermindern.


mfg
maru

Edited by Marukage, 20 June 2014 - 07:42 PM.

[Egomane]

VitusFitzWoven, on 19 June 2014 - 08:13 AM, said:

Bei aller Ehre Ego, es gibt Angriffsvektoren gegen die man sich als Benutzer einer Web-Anwendung nicht wehren kann!

Richtig! Siehe dein beschriebenes Szenario.

VitusFitzWoven, on 19 June 2014 - 08:13 AM, said:

Germäß dem Fall ein Tunichtgut findet eine Lücke in der Software, über die er z.B. mit seiner Signatur Java-Script in einer Seite platzieren kann (Angriffsmethode java-script injection). [ich erspare das Quoten des Rests mal um dein Beitrag übersichtlich zu halten]

In diesem Fall würde ein gewiefter Angreifer aber auch den eingebenen Code des Authentifikators mit abfangen. Sobald die Daten auf dem Server sind, arbeitet dort ein Skript und führt sofort eine Anmeldung mit diesen Daten durch (auf der MWO Seite wird der echte Benutzer in diesem Moment automatisch abgemeldet), ändert das Passwort und entfernt den Authentifikator als Vorraussetzung für die Anmeldung. Der Original-Benutzer ist nun erstmal raus. Trotz des angeblichen zusätzlichen Schutzes.

VitusFitzWoven, on 19 June 2014 - 08:27 AM, said:

Aber was genau möchtest Du mit Deinen Aussagen signalisieren? Weil Sicherheitsmechanismen auf kurz oder lang geknackt werden sollte man drauf verzichten?

Nein, auf keinen Fall! Aber blinder Aktionismus hilft nicht wirklich. Wie bereits gesagt, vermittelt das bloß bei vielen ein Gefühl falscher Sicherheit. Wirksamer ist erstmal eine Aufklärung der Benutzer. Danach kann man sich Methoden überlegen, die mehr sind als bloße Augenwischerei. Und den Authentifikator halte ich wirklich für nichts anderes.

Eine schwache Schutzmaßnahme bleibt eine schwache Schutzmaßnahme. Egal wie viele man davon zusätzlich einbaut, sie geben keinen Mehrwert an Schutz. Entweder man verstärkt das System sinnvoll, oder man läßt es. Wenn vor meiner Tür bereits ein Balken liegt, dann helfen die drei zusätzlichen Kablebinder auch nicht mehr wirklich. Sie erhöhen nur den Aufwand für das normale Betreten der Wohnung. Also ja... vieleicht sage ich doch, das man dann drauf verzichten sollte.

Ein sicheres Anmeldesystem, wie ich es mir vorstelle, ist für ein Online-Spiel wie MWO leider nicht umsetzbar.

[JD R]

Vom Prinzip würde eine Sicherheitsfrage ja abhilfe schaffen. Die wird bei der Registrierung festgelegt und ist dann die zweite Sicherheitsstufe zum ändern wichtiger Daten oder löschen des Acc.

Oder was spricht dagegen?

Edited by JD R, 19 June 2014 - 12:37 PM.

[Egomane]

Wenn man die Sicherheitsabfrage vernünftig gestaltet, vieleicht. Ansonsten braucht man nur ein Wörterbuch und etwas Zeit.

[Iqfish]

[JD R]

Egomane, on 19 June 2014 - 12:56 PM, said:

Wenn man die Sicherheitsabfrage vernünftig gestaltet, vieleicht. Ansonsten braucht man nur ein Wörterbuch und etwas Zeit.

Die Lösung wäre Begrenzung der Abfragen innerhalb eines Zeitraums? 3 Versuche pro Minute oder ähnlich?

[VitusFitzWoven]

Egomane, on 19 June 2014 - 12:03 PM, said:

In diesem Fall würde ein gewiefter Angreifer aber auch den eingebenen Code des Authentifikators mit abfangen. Sobald die Daten auf dem Server sind, arbeitet dort ein Skript und führt sofort eine Anmeldung mit diesen Daten durch (auf der MWO Seite wird der echte Benutzer in diesem Moment automatisch abgemeldet), ändert das Passwort und entfernt den Authentifikator als Vorraussetzung für die Anmeldung. Der Original-Benutzer ist nun erstmal raus. Trotz des angeblichen zusätzlichen Schutzes.

Touché, Du hast mit meinem Szenario den Authenticator ausgehebelt, grummel

Egomane, on 19 June 2014 - 12:03 PM, said:

Danach kann man sich Methoden überlegen, die mehr sind als bloße Augenwischerei. Und den Authentifikator halte ich wirklich für nichts anderes.

Hier sind wir unterschiedlicher Meinung. Ein Authenticator mit einem guten Algorithmus ist mMn keine Augenwischerei. Er muss lediglich vernünftig eingebettet werden. D.h. daß er lediglich im Spiel-Client verwendet werden sollte und nicht im Forum. Das Forum bietet eine Recht große Angriffsfläche da Anwender Inhalte einstellen dürfen, der Client eine sehr Kleine. Wenn der Authenticator nur im Spiel Client verwendet würde und man auch nur dort das Passwort ändern könnte sähe die Sache schon anders aus.

Egomane, on 19 June 2014 - 12:03 PM, said:

Eine schwache Schutzmaßnahme bleibt eine schwache Schutzmaßnahme. Egal wie viele man davon zusätzlich einbaut, sie geben keinen Mehrwert an Schutz. Entweder man verstärkt das System sinnvoll, oder man läßt es. Wenn vor meiner Tür bereits ein Balken liegt, dann helfen die drei zusätzlichen Kablebinder auch nicht mehr wirklich. Sie erhöhen nur den Aufwand für das normale Betreten der Wohnung. Also ja... vieleicht sage ich doch, das man dann drauf verzichten sollte.

Ich glaube wir haben eine unterschiedliche Definition für "schwache Schutzmaßnahme":

Schwach: Benutzername und Passwort, Sicherheitsabfragen
Moderat: RSA-Token, Client-Zertifikat
Stark: mobile-TAN, Chip-Karte

Mit "schwache Schutzmaßnahme" meine ich nicht sinnlose Maßnahmen. Die kann man wirklich unterlassen...

Egomane, on 19 June 2014 - 12:03 PM, said:

Ein sicheres Anmeldesystem, wie ich es mir vorstelle, ist für ein Online-Spiel wie MWO leider nicht umsetzbar.

Hier sind wir uns ohne Einschränkung einig

Zacharias McLeod, on 19 June 2014 - 09:31 AM, said:

Ich habe gar kein Handy.

Da hat Zacharias einen wichtigen Punkt angebracht. Wenn PGI einen Authenticator ins Spiel bringen würde müssten sie den Kunden ohne Smartphone alternativ einen "Hardware" Token-Generator anbieten (wie z.B. Blizzard das macht). Das bekommt PGI niemals organisatorisch gewuppt. Man kann ja bis heute nicht einmal Aufkleber oder T-Shirts bestellen (Schade eigentlich)...


Zurück on topic: Letztlich bleiben aber immer noch eine ganze Reihe von Dingen die PGI umsetzen könnte:

(1) Passwort des Forums und des Spiel-Clients trennen
(2) Passwort des Spiel-Clients kann auch nur dort geändert werden
(3) Bei einer Passwort-Änderung bekommt der Kunde eine "TAN" an seine email-Adresse geschickt die er zusätzlich eingeben muss
(4) Bei einer Passwort-Änderung/Wiederherstellung muss der Kunde Sicherheitsfragen beantworten

Alle 4 Maßnahmen sind nach meinem Empfinden "schwache Sicherheitsmaßnahmen", aber sie würden die Sicherheit verbessern.

[Lily from animove]

Egomane, on 19 June 2014 - 07:56 AM, said:

Otto-Normal-Benutzer hat keine Ahnung von Sicherheitstechnik und ist für gewöhnlich relativ faul,

genau deshalb ist die größte und wirklich genutzte Schwachstelle eben diese und nix anderes. Und da helfne dir auch zusätzliche Barrieren nichts. Du nimmst einfahc besagte PW und probierst alle maisl durhc, die du gefunden hast, da haste grantiert paar treffer dabei. Die Sicherheitslücke ist aber meist der Nutzer. Nutzer die überlald as gleiche PW verwenden beispielsweise. Ich hab für jedne Mist ein eigenes Passwort, dadurch vergess ich auch mal eines, würde jetzt die Hälfte der games solche zusätzlichen Sicherheitsfeature besitzen, würd eich diese Hälfte der games nicht speilen, wiel dies einfahc nervt bis zum geht nicht mehr.
Ich will nciht wissen wieviele leute auf die Spammails reinfallen wo sie ihre Accounts "verifizieren" sollen. Ich hab ne uralt Mail, die ich eigentlich nciht mehr verwende, da werd ich dauernd aufgefordert mal schnell meinen WoW Account im battlenet zu verifizieren. Dabei hab ich dort nichmal einen. gg kleine hackers, war wohl nix.

Übrigens, die meisten unberechtigten zugänge verschaffen sich so genannte "hacker" ncith durch Entshclüsselung und Softwarehacks, sondern über Menschliche komponenten. Sie geben sich aus als vermeintliche Admins etc, und viele viele gutgläubige menschen geben dann tatsächlich am Telefon ihre Daten weiter.Oder sie knacken eben die Datenbanken direkt, aber das da jemand 100.000 automatisierte versuche macht auf einen einzelnen Account zu loggen ist nicht wie hacker arbeiten. Das funktioniert eben nur bei oben besagter Methode von "faulen" oder "dummen" passwörtern.

VitusFitzWoven, on 19 June 2014 - 03:01 PM, said:

Touché, Du hast mit meinem Szenario den Authenticator ausgehebelt, grummel



Hier sind wir unterschiedlicher Meinung. Ein Authenticator mit einem guten Algorithmus ist mMn keine Augenwischerei. Er muss lediglich vernünftig eingebettet werden. D.h. daß er lediglich im Spiel-Client verwendet werden sollte und nicht im Forum. Das Forum bietet eine Recht große Angriffsfläche da Anwender Inhalte einstellen dürfen, der Client eine sehr Kleine. Wenn der Authenticator nur im Spiel Client verwendet würde und man auch nur dort das Passwort ändern könnte sähe die Sache schon anders aus.



Ich glaube wir haben eine unterschiedliche Definition für "schwache Schutzmaßnahme":

Schwach: Benutzername und Passwort, Sicherheitsabfragen
Moderat: RSA-Token, Client-Zertifikat
Stark: mobile-TAN, Chip-Karte

Mit "schwache Schutzmaßnahme" meine ich nicht sinnlose Maßnahmen. Die kann man wirklich unterlassen...



Hier sind wir uns ohne Einschränkung einig



Da hat Zacharias einen wichtigen Punkt angebracht. Wenn PGI einen Authenticator ins Spiel bringen würde müssten sie den Kunden ohne Smartphone alternativ einen "Hardware" Token-Generator anbieten (wie z.B. Blizzard das macht). Das bekommt PGI niemals organisatorisch gewuppt. Man kann ja bis heute nicht einmal Aufkleber oder T-Shirts bestellen (Schade eigentlich)...


Zurück on topic: Letztlich bleiben aber immer noch eine ganze Reihe von Dingen die PGI umsetzen könnte:

(1) Passwort des Forums und des Spiel-Clients trennen
(2) Passwort des Spiel-Clients kann auch nur dort geändert werden
(3) Bei einer Passwort-Änderung bekommt der Kunde eine "TAN" an seine email-Adresse geschickt die er zusätzlich eingeben muss
(4) Bei einer Passwort-Änderung/Wiederherstellung muss der Kunde Sicherheitsfragen beantworten

Alle 4 Maßnahmen sind nach meinem Empfinden "schwache Sicherheitsmaßnahmen", aber sie würden die Sicherheit verbessern.

1. würde mir das total auf den Sack gehen
2. vergessne die meistens diese Sicherheitsfragen,
3. nen keylogger ist davon völlig unbeeindruckt.

Alles was du damit erreichst ist deine Kunden mehr zu nerfen. der echte Mehrwert des Schutzes ist aber in realität sehr gering. Es ist nen Sicherheitsplaceboo effekt.

Edited by Lily from animove, 20 June 2014 - 05:03 AM.

[Zacharias McLeod]

Lily from animove, on 20 June 2014 - 05:00 AM, said:

1: ....Ich hab für jedne Mist ein eigenes Passwort, dadurch vergess ich auch mal eines, würde jetzt die Hälfte der games solche zusätzlichen Sicherheitsfeature besitzen, würd eich diese Hälfte der games nicht speilen, wiel dies einfahc nervt bis zum geht nicht mehr.

2: Ich will nciht wissen wieviele leute auf die Spammails reinfallen wo sie ihre Accounts "verifizieren" sollen. Ich hab ne uralt Mail, die ich eigentlich nciht mehr verwende, da werd ich dauernd aufgefordert mal schnell meinen WoW Account im battlenet zu verifizieren. Dabei hab ich dort nichmal einen. gg kleine hackers, war wohl nix.

Übrigens, die meisten unberechtigten zugänge verschaffen sich so genannte "hacker" ncith durch Entshclüsselung und Softwarehacks, sondern über Menschliche komponenten. Sie geben sich aus als vermeintliche Admins etc, und viele viele gutgläubige menschen geben dann tatsächlich am Telefon ihre Daten weiter.Oder sie knacken eben die Datenbanken direkt, aber das da jemand 100.000 automatisierte versuche macht auf einen einzelnen Account zu loggen ist nicht wie hacker arbeiten. Das funktioniert eben nur bei oben besagter Methode von "faulen" oder "dummen" passwörtern.


3:

1. würde mir das total auf den Sack gehen
2. vergessne die meistens diese Sicherheitsfragen,
3. nen keylogger ist davon völlig unbeeindruckt.

Alles was du damit erreichst ist deine Kunden mehr zu nerfen. der echte Mehrwert des Schutzes ist aber in realität sehr gering. Es ist nen Sicherheitsplaceboo effekt.

1:
Geht mir auch so. Und da ich einige Sachen nur recht selten benutze (kaufe ja nicht jeden Tag in Online Shop X oder so) muss ich dann auch immer wieder mal ein Passwortreset beantragen.

2:
Ja das kenne ich. Habe selbst immer wieder Mails bekommen das mein Account für Spiel X aus Sicherheitsgründen gesperrt worden ist und zum entsperren den Link in der Mail benutzen soll. Dabei habe ich bei Spiel X gar keinen Account.

Auch sonst sind die Leute häufig einfach nur blöd. Man nimmt die Dienste einer dubiosen Seite an um Powerleveling zu erhalten oder für einen "tollen" Aimbot, oder damit man Ingame Geld bekommt. Und viele geben dafür dann bereitwillig ihre Accountdaten preis.

Sonst wird immer gemeckert das man zu viel Infos preis gibt aber im Internet legt man einfach mal so alles offen. Bestes Beispiel FaceBook.

3:
Ja davon kann man ausgehen.

Wer Wildstar kennt kann ein Lied davon singen. Das anmelden beim Spielclient geht ja ganz normal (also Loggin und Passwort und wenn man will noch einen Authenticator) aber beim Konto selbst ist das anders. Da bekommt man eine Warnung das man sich von einem nicht berechtigen PC aus anmeldet und deshalb soll man noch einen Sicherheitscode eingeben den man per Mail bekommt.

Hat man sich dann eingeloggt kann man die IP-Adresse als sicher speichern. Was allerdings Schwachsinn ist da die meisten Prowider temporäre IPs vergeben.

Und im Forum gibt es schon Leute die diese Prozedur als sehr nervend empfinden.

Mir ist es eher egal da ich mich ja nicht andauernd in mein Konto einlogge.

[HUBA]

wow, es ist lustig wie hartnäckig sich Leute wären können

- nimm für beide das gleiche PW. Besser merke dir den Client Zugang und speichre den Web Zugang im Browser machen doch alle so.
- wenn man nie das PW ändert brauch man sich auch die Sicherheitsabfrage nicht zu merken.

kurz; es gibt eigentlich keine Nachteile aber die Möglichkeit Web und Spiel zu Trennen oder seinen Account besser zu schützen. Und ich glaube, dass würden viele begrüßen, die hier mehr als ein paar Euro rein gesteckt haben.

[Marukage]

@HUBA

ich stimme dir vollkommen zu

[Egomane]

HUBA, on 20 June 2014 - 11:22 AM, said:

- nimm für beide das gleiche PW. Besser merke dir den Client Zugang und speichre den Web Zugang im Browser machen doch alle so.
- wenn man nie das PW ändert brauch man sich auch die Sicherheitsabfrage nicht zu merken.

Solche Vorschläge in einem Thread in dem es um "mehr" Sicherheit geht?

Das gleiche Passwort mehrfach verwenden?
- Auf gar keinen Fall!

Speichern von Kennwörtern im Browser (oder überhaupt irgendwo)?
- Auf gar keinen Fall!

Das Passwort nie ändern?
Auf gar keinen Fall!

Wer mehr Sicherheit fordert, sollte von solchen Vorschlägen Abstand nehmen. Das sind genau die Dinge, welche die Kontensicherheit reduzieren. Es ist das typisch uninformierte und faule Verhalten das ich bereits weiter vorne bemängelt habe.

[HUBA]

ja, danke, dass du das klarstellst. Aber wir haben ja z.Zt. das gleiche PW für Browser und Client (das ist auch ein Grund, warum ich einen 2. Accounts habe) daher bleibt die Bitte um mehr Sicherheit.

[Acid Phreak]

moin

ich schalt mich mal dazu...

es wäre in erster linie schon hilfreich wenn man für das Forum einen eigenen Login server benutzt..dann könnte man zumindest schon mal während der wartungsarbeiten im Forum weiter schreiben...

das wäre wenigstens schonmal ein anfang in die Richtige Richtung!


greetz
AP

Edited by Acid Phreak, 21 June 2014 - 08:16 AM.