Thread: Account-Sicherheit durch Coin Lock oder Authenticator.

Nachdem es nun mal wieder zu einer Welle von Hacks gekommen ist (zumindest scheint es so zu sein, nachdem Turbine hier auch so schnell und äusserst kulant handelt), sollte mal wieder über die Account-Sicherheit nachgedacht werden.

Momentan fallen mir eigentlich nur zwei Möglichkeiten ein, wie man seine Chars richtig schützen kann.

Zum einen ist es der Authenticator (also ein Sicherheits-Token) und zum anderen der Coin Lock.

RIFT, zum Beispiel, bietet beides an. Auch Battlenet setzt auf den Authenticator und auch bei SW:TOR wird einer zum Einsatz kommen.

Wie funktioniert so ein Authenticator/Token?
Beim Einloggen im Client wird zusätzlich zum Benutzernamen und Passwort noch ein Zahlencode abgefragt. Dieser Zahlencode wird von einem separaten Authenticator ausgegeben. Dieser ist entweder als Hardware-Token oder als Software-Programm erhältlich. Gerne werden auch solche Authenticator-Apps für Handys verwendet.
Der Zahlencode ändert sich laufend.

Wie funktioniert der Coin Lock?
Bei einem Coin Lock erkennt das Spiel, dass man sich von einem anderen PC aus im Spiel angemeldet hat. In der Regel dadurch, dass sich die IP-Range geändert hat.
Loggt man sich nun von einem anderen PC mit anderer IP-Range ein, dann erhält man Zugriff auf das Spiel, wobei einige Funktionen gesperrt sind.
So kann man keine Items vernichten und verschicken, genauso wie mit Gold/Credits.
Das Spiel (oder besser gesagt der Client) versendet sofort beim Einloggen mit einer anderen IP-Range eine Mail mit einem Zahlencode an die im Account hinterlegte E-Mail-Adresse.
Diesen Zahlencode gibt man dann innerhalb des Spiels ein, man wird authentifiziert und hat wieder den Vollzugriff auf seine Chars.


Auch diese beiden Möglichkeiten bieten keinen 100%igen Schutz.
Jedoch mit ein paar Sicherheitsvorkehrungen (getrennte Passwörter für Spiel und Mail, "sichere" Paswörter) erhöht sich der Schutz doch ungemein.

Meine Stimme hast du, und wenn mich das Token 10-20€ kosten wuerde, waere es auch nicht so tragisch.
Das Wichtigtes daran ist es sollte freiwillig bleiben, so kann jeder fuer sich selbst bestimmen wie sicher es sein soll.

Fände ich auch gut!

Rift zeigte aber auch, dass der Coin Lock sehr nervend war, als er streng war - heute ist er nicht mehr streng und man kann auch von einer völlig neuen IP spielen ohne, dass der den Münzbeutel sperrt.

Authenticator klingt jetzt total sicher, aber wenn der Smartphone über das es läuft, seinen Geist aufgibt, kommt man nicht mehr rein.

Ich will dem Ganzen nicht im Weg stehen solange es optional bleibt. Ich habe keine Lust ständig tausend Passwörter einzugeben.

Ich muss helbart voll und ganz zustimmen. Ein solcher Dienst wäre ein großer Schritt in die richtige Richtung. Mal schauen ob Turbine so etwas mal einführen wird. Verkehrt wäre es auf keinen Fall. Wer es nutzen will, kann dies dann tun, oder auch nicht.

Wenn jemand meint, er fühlt sich von Sicherheit genervt, dann muss er das ja nicht machen.
Muss ja jeder selber wissen.

Sehr schöner Vorschlag.

"Hey, ich habe mir virenverseuchte Spiele aus dem Internet geladen, natürlich illegal. Und da war ein Keylogger drin. Meine ganzen Chars wurden gelöscht! Turbine! Macht was!
Ah, Dank des neuen Autenticators von Turbine kann ich ja jetzt ganz beruhigt illegal Spiele aus dem Internet ziehen, denn sie können nichts verschicken und keine Chars löschen, wenn sie nicht den Auth-Key haben, der an meine Mail-Adresse geschickt wurde."

Sorry, aber ich bin aus moralischen Gründen dagegen, bis zu dem Zeitpunkt, bis ich selbst gehackt wurde und mir keine Erklärung dafür geben kann, da ich jegliche Software gekauft habe, und nur Treiber, Firefox und Antivir von serösen Seiten lade.

Beispiel Rift-Coin.
Meine Downloadgeschwindigkeit ist lächerlich klein, so bin zu meinem Bruder gefahren und habe mir seinerzeit Rift kopiert.
Alles legal mit Bezahlung eines Accounts.
Ergebnis: bei jedem, aber auch wirklich jedem Einloggen war ich erst einmal gesperrt konnte machen was ich wollte, inkl. support. Das hat extrem genervt als ich noch dachte ich spiele das länger. Jetzt spiele ich da nicht mehr ( hatte zwar andere Gründe), aber auf so eine Coinlösung habe ich "keinen Bock".

Originally Posted by Hecki

Sehr schöner Vorschlag.

"Hey, ich habe mir virenverseuchte Spiele aus dem Internet geladen, natürlich illegal. Und da war ein Keylogger drin. Meine ganzen Chars wurden gelöscht! Turbine! Macht was!
Ah, Dank des neuen Autenticators von Turbine kann ich ja jetzt ganz beruhigt illegal Spiele aus dem Internet ziehen, denn sie können nichts verschicken und keine Chars löschen, wenn sie nicht den Auth-Key haben, der an meine Mail-Adresse geschickt wurde."

Ein zusätzliches Sicherheitssystem wäre optional und kostenpflichtig.
Somit würde die von dir angesprochene Gruppe der illegalen Downloader die sich nicht um ihre PC-Sicherheit kümmert wohl kaum davon Gebrauch machen.
Es geht dir wohl eher darum mal wieder ganz pauschal Leute zu diffamieren.

Originally Posted by Hecki

Sorry, aber ich bin aus moralischen Gründen dagegen, bis zu dem Zeitpunkt, bis ich selbst gehackt wurde und mir keine Erklärung dafür geben kann, da ich jegliche Software gekauft habe, und nur Treiber, Firefox und Antivir von serösen Seiten lade.

Da kann man ja fast nur hoffen, daß dir das bald passiert damit du mal von deinem hohen Ross herunterkommst.
Du weisst doch selbst ganz genau, daß es heutzutage unmöglich ist sich vor Angriffen auf den PC zu 100% schützen und auch bei grösstmöglichen Sicherheitsvorkehrungen schadhafte Sofware auf deinen Rechner gelangen kann.
Natürlich kann man die Wahrscheinlichkeit massiv einschränken ( was du ja offensichtlich machst), ein Restrisiko bleibt jedoch immer sobald man seinen PC in einem Netzwerk betreibt oder einen Datenträger einlegt/anschliesst.

Originally Posted by Angarred

Beispiel Rift-Coin.

Anfangs war das tatsächlich etwas nervig und auch buggy.
Aber dann hat es sich wunderbar eingependelt und man bekam den COin Lock eigentlich nur noch dann zu spüren, wenn man beim nächsten Einloggen, aus einer anderen IP Range kam, als beim letzten Ausloggen.

Natürlich kann man die IP auch spoofen, aber da gehört dann schon ein bisschen mehr Energie dazu, als dass sowas lukrativ bzw. ein Anreiz für irgendwelche Leute hätte.

@Peluna:
Lass es.
Man weiss ja, worauf er es anlegt.

Würde ich super finden!!

Wenn das auch optional ist, wie z.B. Authenticator von Blizzard, wäre es auch für Spieler mit wenig interesse an dem System ideal.

Wie ist das eigentlich beim Coin-lock wenn man über Router mit mehreren Accounts über selbe IP ins spiel geht? Oder ist das dem Sicherheitssystem egal?

Der Coin Lock vergleicht nur die IP Range.
Wenn die beim Einloggen eine andere ist als beim Ausloggen, dann wird sie aktiviert.

Da man hinter dem Router nach aussen hin in der Regel immer in der gleichen IP Range sein wird, wird hier normalerweise nichts ausgelöst.

Theoretisch könnte man auch die MAC-Adresse als Kennzeichen nehmen. Aber da die genau so leicht gespooft werden kann, wie eine IP muss das nicht sein.

Originally Posted by Hecki

Sehr schöner Vorschlag.
Sorry, aber ich bin aus moralischen Gründen dagegen, bis zu dem Zeitpunkt, bis ich selbst gehackt wurde und mir keine Erklärung dafür geben kann, da ich jegliche Software gekauft habe, und nur Treiber, Firefox und Antivir von serösen Seiten lade.

Solche Kommentare sind immer lustig zu lesen – meistens von Leuten, die keine Ahnung von Sicherheit haben. Ebenjene werden wahrscheinlich erst dann für logische Argumente zugänglich sein, wenn sie die »Arbeit« von Monaten oder Jahren verlieren und merken, dass es zu Genüge Möglichkeiten gibt einen Account zu kompromittieren: Seien es Fehler im Client, in irgendwelcher Software (Browser), im Protokoll, der Infrastruktur oder sonst wo. Jeder Server, der sich im Netz aufhält ist potentiell gefährdet, ohne dass der Anwender was dagegen tun kann. Eine Verbesserung der Sicherheit aus irgend gearteten moralischen Gründen abzulehnen, ist einfach nur peinlich und zeugt nicht wirklich von Sachkenntnis.

Cheers,
AlfredE.

Originally Posted by Alfrede

Solche Kommentare sind immer lustig zu lesen – meistens von Leuten, die keine Ahnung von Sicherheit haben. Ebenjene werden wahrscheinlich erst dann für logische Argumente zugänglich sein, wenn sie die »Arbeit« von Monaten oder Jahren verlieren und merken, dass es zu Genüge Möglichkeiten gibt einen Account zu kompromittieren: Seien es Fehler im Client, in irgendwelcher Software (Browser), im Protokoll, der Infrastruktur oder sonst wo. Jeder Server, der sich im Netz aufhält ist potentiell gefährdet, ohne dass der Anwender was dagegen tun kann. Eine Verbesserung der Sicherheit aus irgend gearteten moralischen Gründen abzulehnen, ist einfach nur peinlich und zeugt nicht wirklich von Sachkenntnis.

Cheers,
AlfredE.

Auf diesen Moment warte ich seit 2004.

Ja das wäre sinnvoll und so bis 20 Euro wäre auch ok für Hardware.

Originally Posted by Hecki

Auf diesen Moment warte ich seit 2004.

Na das ist doch eine Lebenserfahrung. Wir hoffen dann mal, dass du nicht beispielsweise auf eine gehackte Seite gelangst, die beispielsweise diese Schwachstelle nutzt (hier eine Diskussion bei Mozilla, wie man die schließen _will_) und die es dem Angreifer erlaubt dein Account zu manipulieren. Und nur zur Info: Solcher Kaliber Schwachstellen in Applikationen, Protokollen und Diensten gibt es noch weit mehr und nur weil du Glück gehabt hast, macht es dich nicht schlauer bzw. prädisponiert dazu solche Aussagen zu machen.

Cheers,
AlfredE.

Originally Posted by Alfrede

Na das ist doch eine Lebenserfahrung. Wir hoffen dann mal, dass du nicht beispielsweise auf eine gehackte Seite gelangst, die beispielsweise diese Schwachstelle nutzt (hier eine Diskussion bei Mozilla, wie man die schließen _will_) und die es dem Angreifer erlaubt dein Account zu manipulieren. Und nur zur Info: Solcher Kaliber Schwachstellen in Applikationen, Protokollen und Diensten gibt es noch weit mehr und nur weil du Glück gehabt hast, macht es dich nicht schlauer bzw. prädisponiert dazu solche Aussagen zu machen.

Cheers,
AlfredE.

Machen wir es kurz: Es sind nicht meine Accounts, die gehacked wurden. Keiner von denen.
Wir können uns jetzt noch stundenlang über andere Seiten unterhalten, andere Fehler in anderen Applications.
Derjenige, dessen Account gehacked wurde, sollte besser wissen, ob er sich mal irgendwo nicht ganz so offizielle Software gezogen hat.

*edit* Btw: Diese Sicherheitslücke wird sicherlich nicht nur für LOTRO geschrieben sein, sondern, wie du bereits sagtest, Schwachstellen in Applikatonen, Protokollen und Diensten, was heißt , dass man genauso einfach an die Email-Daten käme.
Somit ist der Wunsch nutzlos, wenn der Hacker mit diesem scheinbar einfachen System alle Daten von dir bekommt, die er braucht.
LOTRO, Mailaccount usw.

Es wäre nett (und das ist eigentlich eine Anstandsfrage), wenn nicht ständigt versucht würde, Threads in eine völlig andere Richtung zu lenken.

Das Thema ist Coin Lock und Authenticator und nicht "Wie toll ich bin, da ich noch nie Sicherheitsprobleme hatte".

Danke.

Originally Posted by helbart

Es wäre nett (und das ist eigentlich eine Anstandsfrage), wenn nicht ständigt versucht würde, Threads in eine völlig andere Richtung zu lenken.

Das Thema ist Coin Lock und Authenticator und nicht "Wie toll ich bin, da ich noch nie Sicherheitsprobleme hatte".

Danke.

Du solltest aber auch akzeptieren, dass manche es eben nicht für nötig halten. Aber das wird hier im Threat auch ignoriert - dafür wird man nämlich als dumm bezeichnet.
Mein Standpunkt:
Ich brauche es nicht, ich habe meinen PC geschützt. Sollte es kommen, wäre es mir egal, solange 1. es nicht Pflicht ist und 2. die Geldsperre (btw. wir sind hier im dt. Teil des Forums) nicht endlos nervend ist (wie bei Rift zu Anfang).

Was nützt es einem, wenn man einen Luftballon mit tausend Löchern hat und sich zum Aufpusten des Luftballons eine Luftballonaufblasmaschine wünscht?

Wenn das Internet so unsicher ist, wie es hier dargestellt wurde, dann wäre so eine Sicherheitsgeschichte nur eine kurze Verzögerung für den Hacker, genauso wie beim Luftballon, der eben nur eine kurze Zeit länger groß ist, als würdest du ihn per Mund aufpusten wollen.

Originally Posted by Aglareba

Du solltest aber auch akzeptieren, dass manche es eben nicht für nötig halten.

Das akzeptiert jeder.
Was aber unakzeptabel ist, ist das Thread-Hijacking, das ständig betrieben wird.

Originally Posted by helbart

Das akzeptiert jeder.
Was aber unakzeptabel ist, ist das Thread-Hijacking, das ständig betrieben wird.

Das die ganzen Sicherheitsfunktionen durch die Datenbanklücke nicht geholfen hätte, ist jeden klar.

Doch ich bin inzwischen auch für 2 verschiedene, unabhängige Sicherheitsverfahren:

Coin Lock mit dem Standard, den RIFT aktuell aufzeigt.

Nach 3 falschen Passworteingabe sollte der Account für 15 Minuten gesperrt sein.

auch ich würde eine solche Sicherheitsmastnahme befürworten. Bei WoW gibt es ja auch alternativ iPhone / Android Apps die den kauf eines extra Tokens unnötig machen, auch wenn 10 Euro nicht die Welt sind.

Dafür!

Aber: freiwillig und für Smartphone-Besitzer die App sollte Kostenlos sein (wie auch bei WoW und bei SW:ToR)

Für den Authenticator!
Aber in allen Varianten:
gar nicht (=freiwillig)
Smarthphone App (gratis)
PC App (gratis)
Hardware (dann aber auch in mehreren Webshops, zB auch Amazon)

IP Range lock find ich nicht gut, da ich oft genug aus anderen Ranges spiele. Das wär mir einfach zu kompliziert auf Dauer.

Die Sicherheit ist zwar wie üblich nicht 100%ig, aber es erhöht wieder mal den Aufwand für massenhaftes automatisiertes account-hacking per spyware. Gegen einen Hacker der sich persönlich mit seinem ausgespähten Opfer befasst, hilft sowieso nix, da gibts einfach zuviele Möglichkeiten und Einfallstore. Aber darum gehts imho auch nicht.
Und das man keine Spyware abkriegt ist auch niemals fix - Zero-Day exploits, gehackte Webserver, drive by downloads usw.
Meinen letzten Virus hab ich mir zum Start von F2P per drive by von einer größeren Sippenwebseite geholt. Also nix mit verdächtigen Seiten.

Bin für den Authenticator auf freiwilliger Basis