59 replies to this topic

[Marukage]

Hallo Leute

mittlerweile habe ich "soviel" Geld (Founder, Phoenix/Clan Paket) und Zeit in das Spiel investiert,
dass ich mir sorgen machen muss, über mein Account und seine Sicherheit.
Warum? Weil ich es zu einfach finde dies zu Ändern auf der HP.

Deshalb würde ich mich über eine Verbesserung der Sicherheit sehr freuen.
zbsp. ein Sicherheitspasswort für die Änderung der LoginPW und E-Mail-Addy,
die nix mit den normalen Login zu tun hat.


Was denkst ihr?

mfg
maru

[Lily from animove]

In wie fern?

dmait jemand dein PW knacken kann, muss er entweder brute forcen oder dir as in en Rechner schleusen. Bei Letzterem wird er dann wahrscheinlich auch dein Mailpasswort haben. Ein Extra Sicherheitspasswort ist dann auch eher quark und kaum hilfreich.

[Marukage]

hi,

ich freue mich über jede Antwort,
aber wenn Dir mein Vorschlag bzw. Beispiel nicht gefällt, denn schlag was Anderes vor
Ich freue mich über jeden konstruktiven Beitrag.

mfg
maru

[Lily from animove]

Kiste sauberhalten ist das wichtigste, Ich hab schon ewig viele Spiele gespielt, schon ewig viele foren Accounts, und nahezu alle haben das billige Sicherheitsystem des normalen passwort zurücksetzens. Aber noch nie ist mir irgend ein Account "abhanden" gekommen oder sonst irgendwas krummes ist passiert.

Sicherheitslücken sind fast immer durch den User versursacht, da erhöht auch die komplexität des Sicherheitsystems nicht die Sicherheit.
Ein Rauchmelder im Haus verhindert auch keinen Brand, der dämmt lediglich mögliche Folgen ein. Genauso ist es auch online mit solchen Sicherheistpasswörtern. Oft werdne Sie nur vergessen und machen mehr ärger als sie Nutzen bringen.

[Marukage]

hi

mmm... guter Einwand,
aber wenn dein Haus abbrennt, wie kannst du es beweisen gegen über Dritte, dass es dein Haus ist.
Die Tür zu Haus und alle deine Papiere gibt es es nicht mehr, also ist der Haustürschlüsseln nutzlos. was machst du jetzt?



sorry leute wenn mein Thread wie "mimimi" klingt,
aber soviel Geld gebe ich eigentlich nicht für ein Online-Spiel aus.
Deshalb mein Thread und die Fragen nach euren Gedanken/Meinungen darüber.


mfg
maru

[Lily from animove]

Marukage, on 19 June 2014 - 05:48 AM, said:

hi

mmm... guter Einwand,
aber wenn dein Haus abbrennt, wie kannst du es beweisen gegen über Dritte, dass es dein Haus ist.
Die Tür zu Haus und alle deine Papiere gibt es es nicht mehr, also ist der Haustürschlüsseln nutzlos. was machst du jetzt?



sorry leute wenn mein Thread wie "mimimi" klingt,
aber soviel Geld gebe ich eigentlich nicht für ein Online-Spiel aus.
Deshalb mein Thread und die Fragen nach euren Gedanken/Meinungen darüber.


mfg
maru

Nr. 1 Auf Ämtern gibts die Möglichkeit seine Identität zu bestätigen.
Nr. 2 Es gibt nen Grundbuchamt, in dem jeder Hausbesitzer steht.

Online gibts aber keines von beiden, vergisst du mal deine Sicherheitsabfrage, biste quasi für immer angearscht, oder du musst mit deiner Mail über den Kundensupport gehen, was dann aber jeder könnte der deine Mail knackt. Womit aber wieder gezeigt wäre, daß solch eine Sicherheitsabfrage dann keinen Mehrwert hätte.

Außerdem, wenn du schonmal echtgeld bezahlt hats in MWO und dabei beispielsweise direct banking oder paypal verwendet hast, dann könntest du im Falle eines geklauten Accounts deine identität immer beweisen mittels Abrechnungsdaten.

btw, der Thread klingt nicht wie Mimimi, aber oft ist die Fordrung solcher zusätzlicher Schutzmaßnahmen einfach unnütz, da sie in Wirklichkeit keinen höheren Schutz bieten. Ist dann eher für den Seelenfrieden der Nutzer, die denken es ist sicherer.

Edited by Lily from animove, 19 June 2014 - 06:04 AM.

[Shikata nai]

Gibt schon Möglichkeiten wie beispielsweise bei Blizzard über einen Authentificator.
Sinnvoll wäre es schon.

[zerbylein]

Gekoppelt ans Handy evtl. ?

[SuicideSmurf]

...oder wie das Sicherheitstoken bei SWTOR.
Oder aber es gibt Regeln, die zwingend vorschreiben, dass das Passwort ein Zeichen diesen und jenen Typs und eventuell groß/kleinschreibung enthalten und eine bestimmte Mindestlänge haben muss.

[Marukage]

hi

das koppeln ans Handy wäre eine sehr sinnvolle Sache.

mfg
maru

Edited by Marukage, 19 June 2014 - 07:11 AM.

[LiGhtningFF13]

Wäre mal eine Überlegung wert, stimmt!

[VitusFitzWoven]

Lily from animove, on 19 June 2014 - 05:22 AM, said:

In wie fern?

dmait jemand dein PW knacken kann, muss er entweder brute forcen oder dir as in en Rechner schleusen. Bei Letzterem wird er dann wahrscheinlich auch dein Mailpasswort haben. Ein Extra Sicherheitspasswort ist dann auch eher quark und kaum hilfreich.

Das Thema Sicherheit würde ich nicht herunterspielen. Schon mal was von Cross-Site-Scripting und Replay Attacken gehört? Ein guter "Sicherheitsexperte mit Hang zu proaktiver Eigentumsumverteilung" kann solche Anghriffsmethoden automatisieren und problemlos Accounts sammeln.

Die Wahrscheinlichkeit daß sich bei MWO jemand die Mühe macht und versucht die Accounts weiterzuverkaufen ist gering. Bei Diablo3 oder WoW wäre das was Anderes aufgrund der großen Spielermenge. Bei der geringen Spielermenge in MWO lassen sich solche Sachen vermutlich auch ganz gut aufklären/richtigstellen.

Trotzdem bin ich für mehr Sicherheit. Wenn der Account mal weg ist und ein Spieler wochenlang mit PGI rumkaspern muss um ihn wiederzubekommen ist das nicht lustig. Außerdem wäre die Außenwirkung fatal: "MWO unsicher - tausende Accounts" gestohlen führt nicht dazu dass sich neue Spieler anmelden.

Eine 2-Faktor Authentifizierung via RSA-Token Mechanismus wie z.B. bei Blizzards Battlenet einzubauen ist vom technischen Know-How und dem Zeitaufwand her echt nicht die Welt.

Sicherheit wird oft als nicht so wichtig erachtet, bis einer heult...

Edited by VitusFitzWoven, 19 June 2014 - 07:20 AM.

[Wilburg]

Ich finde etwas Eigeninitiative und - verantwortung tun niemandem weh und es braucht nicht immer alles extern (über)reguliert werden.

[Egomane]

Lachesis Muta, on 19 June 2014 - 06:12 AM, said:

Gibt schon Möglichkeiten wie beispielsweise bei Blizzard über einen Authentificator.

Marukage, on 19 June 2014 - 07:10 AM, said:

das koppeln ans Handy wäre eine sehr sinnvolle Sache.

Wie wäre es mit etwas mehr Schlangenöl?

Ganz ehrlich, der beste Schutz ist immer noch der verantwortungsvolle Umgang mit seinen Zugangsdaten. Dazu ein wenig Kompetenz bei der Kennworterstellung (min 10 Zeichen, Komplexitätsregeln erfüllen, keine Wörterbucheinträge (nein, auch keine kombinierten)) und dieses regelmäßig selbständig ändern, sind ein deutlich besserer Schutz als irgendwelche zusätzliche Mechanismen. Diese Zusatzfunktionen geben am Ende nur ein besseres Gefühl und verleiten zur Leichtsinnigkeit.

Edited by Egomane, 19 June 2014 - 07:29 AM.

[Shikata nai]

Egomane, on 19 June 2014 - 07:27 AM, said:

Wie wäre es mit etwas mehr Schlangenöl?

Ganz ehrlich, der beste Schutz ist immer noch der verantwortungsvolle Umgang mit seinen Zugangsdaten. Dazu ein wenig Kompetenz bei der Kennworterstellung (min 10 Zeichen, Komplexitätsregeln erfüllen, keine Wörterbucheinträge (nein, auch keine kombinierten)) und dieses regelmäßig selbständig ändern, sind ein deutlich besserer Schutz als irgendwelche zusätzliche Mechanismen. Diese Zusatzfunktionen geben am Ende nur ein besseres Gefühl und verleiten zur Leichtsinnigkeit.

Sorry, auch wenn es grundsätzlich richtig ist dass man selbst verantwortungsvoll mit den Zugangsdaten und seinen Passwörtern umgehen sollte, ist diese Aussage einfach unfug.
Egal wie sicher dein Passwort ist es wird nie so sicher sein wie eine zusätzliche Barriere beispielsweise via einem Authentificator. Auch ein gutes Passwort kann geknackt werden - wenn allerdings dann noch eine zusätzliche Authentifizierung wie beispielsweise bei Blizzard nötig ist muss man automatisch eine weitere Instanz knacken und mir ist ehrlich gesagt noch kein Fall untergekommen bei dem das der Fall gewesen wäre. Gerade wenn es sich nicht um einen Authentificator übers Handy handelt sondern um den "physischen" wüsste ich ehrlich gesagt auch nicht wie man das zuverlässig bewerkstelligen sollte.
Außerdem heißt eine zusätzliche Barriere ja nicht dass man sich deshalb ein extra dummes Passwort leistet... denke diejenige die soviel Wert auf ihren Account legen so etwas zu nutzen werden automatisch auch sowieso dementsprechend vorsichtig agieren.

Edited by Lachesis Muta, 19 June 2014 - 07:40 AM.

[Egomane]

Lachesis Muta, on 19 June 2014 - 07:35 AM, said:

Sorry, auch wenn es grundsätzlich richtig ist dass man selbst verantwortungsvoll mit den Zugangsdaten und seinen Passwörtern umgehen sollte, ist diese Aussage einfach unfug.

Ich lasse das einfach mal so stehen...

Lachesis Muta, on 19 June 2014 - 07:35 AM, said:

Egal wie sicher dein Passwort ist es wird nie so sicher sein wie eine zusätzliche Barriere beispielsweise via einem Authentificator. Auch ein gutes Passwort kann geknackt werden - wenn allerdings dann noch eine zusätzliche Authentifizierung wie beispielsweise bei Blizzard nötig ist muss man automatisch eine weitere Instanz knacken und mir ist ehrlich gesagt noch kein Fall untergekommen bei dem das der Fall gewesen wäre.

https://www.google.d...nticator+hacked

Lachesis Muta, on 19 June 2014 - 07:35 AM, said:

Gerade wenn es sich nicht um einen Authentificator übers Handy handelt sondern um den "physischen" wüsste ich ehrlich gesagt auch nicht wie man das zuverlässig Bewerkstelligen sollte.

Wozu hacken, wenn man ihn umgehen kann? Oder wenn man den Algorithmus erarbeitet hat. Selbst Verschlüsselungsalghorythmen werden doch inzwischen regelmäßig gehackt. Und da vertraust du in einen vermeintlichen Zufallsgenerator der dir ein paar Ziffern ausspuckt? Im Zweifelfall greift man halt nicht ein Account an, machen ohnehein die wenigsten, sondern gleich ein paar tausend. Bei irgendeinem wird die Ziffernfolge 1234 schon funktionieren.

Und dabei rede ich bislang noch von dem geschlossenen System. Handy-Hacks und Trojaner sind auch nicht mehr wirklich selten, so dass eine App das letzte wäre in das ich bei soetwas vertrauen würde. Und nicht jeder hat ein Handy oder ist willens für einen Authentifikator Geld zu bezahlen.

Lachesis Muta, on 19 June 2014 - 07:35 AM, said:

Außerdem heißt eine zusätzliche Barriere ja nicht dass man sich deshalb ein extra dummes Passwort leistet... denke diejenige die soviel Wert auf ihren Account legen so etwas zu nutzen werden automatisch auch sowieso dementsprechend vorsichtig agieren.

Vieleicht für dich zutreffend, oder für mich, aber man darf nicht von sich auf andere schliesen.

Otto-Normal-Benutzer hat keine Ahnung von Sicherheitstechnik und ist für gewöhnlich relativ faul, was das Ändern von Kennwörtern angeht. Wenn der eine extra Barriere für den Schutz seines Kontos sieht, dann ist der überglücklich, denn die Technik macht das ja für ihn. Risiken gibt es immer nur in den Medien und werden ihn schon nicht betreffen.

Edited by Egomane, 19 June 2014 - 07:57 AM.

[VitusFitzWoven]

Egomane, on 19 June 2014 - 07:27 AM, said:

Ganz ehrlich, der beste Schutz ist immer noch der verantwortungsvolle Umgang mit seinen Zugangsdaten.

Bei aller Ehre Ego, es gibt Angriffsvektoren gegen die man sich als Benutzer einer Web-Anwendung nicht wehren kann!

Ich weiss nicht wie sicher diese Forensoftware ist, aber hier mal ein Szenario:

Germäß dem Fall ein Tunichtgut findet eine Lücke in der Software, über die er z.B. mit seiner Signatur Java-Script in einer Seite platzieren kann (Angriffsmethode java-script injection). Das Java-Script wird im Browser des Aufrufers und somit innherhalb der Session jeder Person aufgerufen die die Seite aufruft. Da das Java-Script den Inhalt der Seite problemlos und auch vollständig ändern kann, zeigt es nicht den Forum-Post an, sondern fingiert die originale Login-Seite des Forums. Der Benutzer wundert sich und gibt seine Login-Daten erneut ein. Ziel der Daten ist aber nicht der MWO-Server, sondern ein Server in Russland von dem die Account-Daten über drölfzig andere Server bis zum Übeltäter weitergeschickt werden (nur schwer nachzuverfolgen). Der Server in Russland lenkt den Aufrufer einfach wieder auf die ursprüngliche Forum-Seite um. Wenn der Angreifer das Ganze noch kompliziert machen will, kann er itgendwo eine Liste führen, in der er alle Accounts sammelt. Sein Script kann er dann immer vorher nachschauen lassen ob er den Benutzer schon hat oder nicht. Wenn er einen Benutzer schon hat macht das Script dann nichts und der Forum-Post wird normal angezeigt. Bis das jemand merkt sind eine Ganze Menge accounts korrumpiert. Ggf. nimmt er das Script auch nach ein paar Stunden wieder runter - dann merkt es ggf. niemand. Auch die Benutzer merken erstmal nichts, bis sie sich dann nicht mehr anmelden können...

Edited by VitusFitzWoven, 19 June 2014 - 08:15 AM.

[Shikata nai]

Wie man es dreht und wendet - eine zusätzliche Barriere ist immer etwas gutes da es immer auch einen Mehraufwand für denjenigen bedeutet der das ganze knacken will. Dementsprechend wird automatisch auch die Zahl derer kleiner die sich diesen Aufwand gönnen.
Das kann man imho nicht abstreiten. Die Handysysteme halte ich im übrigen auch für nicht optimal.

[VitusFitzWoven]

Egomane, on 19 June 2014 - 07:56 AM, said:

Selbst Verschlüsselungsalghorythmen werden doch inzwischen regelmäßig gehackt.

Ja das wissen doch auch die Meisten: Es gibt keine vollständige Sicherheit, sondern das Maß der Sicherheit ist bestimmt durch den Wettlauf zwischen Sicherheitsexperten und Hackern.

Aber was genau möchtest Du mit Deinen Aussagen signalisieren? Weil Sicherheitsmechanismen auf kurz oder lang geknackt werden sollte man drauf verzichten?

Wenn eine Schutzmaßnahme nicht mehr sicher ist muss man halt eine neue einbauen (z.B. den Algorithmus für den Token Generator austauschen - so what...)

Lachesis Muta, on 19 June 2014 - 08:14 AM, said:

Wie man es dreht und wendet - eine zusätzliche Barriere ist immer etwas gutes da es immer auch einen Mehraufwand für denjenigen bedeutet der das ganze knacken will.

Genau das! Schwache Sicherheitsmaßnahmen sind besser als gar keine...

[HUBA]

es gibt einiges was man für dir Sicherheit tun könnte. Das wichtigste wäre eine feste EMail-Adresse und unterschiedliche PWs für Spiel und Website. Es gibt Leute die haben ein paar hundert Euro und noch mehr Zeit investiert. Und auch wenn man selbst daran Schuld sein sollten ist ein grief oder verlorener Account keine Kleinigkeit.