Thread: Einmalpasswort
View Single Post

Naugor's Avatar


Naugor
04.16.2013 , 05:37 PM | #64 Click here to go to the next staff post in this thread. Next  
Vollständige Übersetzung des englischen Beitrages von Phillip Holmes (Head of Security):

Quote:
Nun da sich die Situation nach den Änderungen am Authentifizierungssystem etwas entspannt hat und auch Rise of the Hutt Cartel veröffentlicht wurde, dachte ich, es wäre am besten euch über einige der nächsten Schritte rund um das Einmalpasswort (OTP) System zu informieren. [...]

Wir haben eine Reihe von Themen, die angegangen werden müssen (in keiner bestimmten Reihenfolge - sie sind alle gleich wichtig!):
  • Einmalpasswort (OTP) Nachrichten verfallen manchmal, bevor sie verwendet werden können.
  • IP-Adressenänderungen sind sehr ärgerlich
  • Das Löschen von Cookies im Browser erzwingt jedesmal ein neues Einmalpasswort (OTP)
  • Mobile Sicherheitstoken sind nur für Abonnenten verfügbar
  • Physische Sicherheitstoken sind immer noch nicht in Europa verfügbar

Einmalpasswort (OTP) Nachrichten verfallen manchmal, bevor sie verwendet werden können.

Es gibt eine Reihe an Gründen warum es zu Verzögerungen bei der rechtzeitigen Auslieferung der Email kommen kann. Nicht alle sind hiervon bei SWTOR zu suchen. Obwohl wir alle erwarten, dass Emails sofort ankommen, so ist dies nicht immer der Fall und als Ergebnis hiervon werden wir verändern, wie schnell der OTP Code verfällt, bevor er genutzt werden kann.

Nun werden wir diese Gültigkeit nicht dramatisch verändern (wir fügen ein paar Minuten hinzu, nicht Stunden), aber wir werden sie erhöhen. Als Basis galt hierzu die Analyse unserer Daten rund um den Versand vom OTP und die Verzögerung der Eingabe des Codes von betroffenen Spielern. Dadurch wird die überwiegende Mehrheit der Sonderfälle berücksichtigt, ohne die durch die Gültigkeitsdauer verbundenen Sicherheitsaspekte dramatisch zu verschlechtern.
Ich weiß, dass eine Reihe an Leuten verschiedene Theorien darüber haben, warum es zu Verzögerungen beim Empfang des OTP Nachricht kommen kann, also lasst mich zusammen fassen, was wir in unseren Logs sehen können.
  • Eine kleine Anzahl von Email-Providern nutzen eine Anti-Spam Funktion die sich "Greylisting" nennt, unabhängig von den Einstellungen eines weiteren Anti-Spam Systems, welches "SPF" genannt wird. Dies ist die häufigste Ursache der verzögerten Emails und es ist auch der Grund dafür, warum die nachfolgenden Emails dann zügiger erscheinen. Wir haben versucht die "Greylisting" Bedenken durch einen gültigen "SPF"-Eintrag auszuräumen, aber da wir den Emaildienst nicht selbst anbieten, können wir wenig machen, wenn dieser Eintrag ignoriert wird. Dies betrifft den Großteil der Forumthreads, die ich rund um das Anti-Spam System untersucht und erforscht habe.
  • Einige Email-Anbieter brauchen wirklich eine lange Zeit um eine eingehende Nachrichte zu verarbeiten. Ich kenne einige andere Anti-Spam Systeme wie "Tarpitting", welche ebenso eine solches Verhalten auslösen können, aber um ehrlich zu sein, wir wissen nicht warum einige länger als andere beim Verschicken von Email Nachrichten brauchen. Um dies komplizierter zu machen gibt es auch einige "gute" Emailanbieter die scheinbar zufällig den Mailversand ohne uns ersichtliche Gründe verzögern.
  • Die Zeitverzögerung vom Empfang der Anweisung ein OTP zu generieren, bis hin zum Versand der Email über unseren Emailanbieter wird von uns in Sekunden gemessen. Normalerweise dauert es 1 bis zu 2 Sekunden, manchmal sogar weniger als 1. Auf Verzögerungen zwischen einzelnen Knoten auf der Strecke im Anschluss haben wir keine Einsicht.

Letzten Endes, falls ihr euren OTP Code nicht schnell genug erhaltet, wird er ungültig. Um auf die kleine Anzahl an Emailanbietern die andauernd Schwierigkeiten machen zu reagieren, haben wir die Gültigkeit entsprechend angepasst und wir werden genau darauf schauen, wie sich dies auf die zur Zeit von den Schwierigkeiten betroffenen Spieler auswirkt und falls nötig werden wir die Werte erneut anpassen.

Wir werden dies voraussichtlich innerhalb der nächsten 7 Tagen implementieren. Falls wir einen Hotfix ohne Neustart der involvierten Server einspielen können, werden wir dies tun, ansonsten müssen wir bis zur nächsten Wartung am Dienstag warten. Dies ist keine Garantie, aber es sieht zum jetzigen Zeitpunkt gut aus, dass 7 Tage die maximale und nicht die minimale Anzahl Tage bis zur Implementierung sind.


IP-Adressenänderungen sind sehr ärgerlich

Ich kann von ganzem Herzen zustimmen, dass es sehr ärgerlich ist, das neue OTP bei jedem IP-Wechsel neu eingeben zu müssen. Tatsächlich haben wir Teile der langfristigen Lösung bereits implementiert. Die Verzögerung bei der Implementierung der fehlenden Teile (um die Gewichtung der IP-Checks bei unserer Einschätzung der verschiedenen Kontrollen zu verändern) hat zwei Gründe.

Erstens müssen wir diese Implementierung zusammen mit anderen zweifelsohne ebenfalls wichtigen Neuerungen priorisieren. Eine Verzögerung der für die Veröffentlichung von Rise of the Hutt Cartel benötigten Arbeit wurde diskutiert und verständlicherweise wurde es als wichtiger angesehen die Erweiterung pünktlich zu veröffentlichen.

Zweitens haben wir begrenzte Ressourcen. So schön es auch wäre, für jedes für die Änderungen nötige Team mehr Leute zur Verfügung zu haben, so betreiben wir doch eine Firma.

Ich kann euch keine Schätzung geben, wie lange es dauern wird, bis all die noch fehlende Arbeit abgeschlossen ist. Ich weiß, dies ist nicht, was ihr hören möchtet. Aber sobald wir eine Schätzung abgeben können, werde ich euch informieren.


Das Löschen von Cookies im Browser erzwingt jedesmal ein neues Einmalpasswort (OTP)

Dieses Problem betrifft nur die Webseite, der Launcher ist nicht hiervon betroffen.

Es gibt eine sehr kleine Anzahl von Leuten, die mit Chrome im "Incognito" Modus oder mit Firefox im "Private" Modus surfen. In diesen Modi sind Cookies nicht verfügbar / beziehungsweise direkt nach der Sitzung gelöscht. Es gibt auch Einstellungen im Browser zur flächendeckenden, automatischen Deaktivierung von Cookies auf allen Webseiten.

Mir ist ist klar, dass dies einen gewissen Maß an Schutz vor der eindeutigen Zuordnung durch Werbeagenturen bietet. Allerdings hat dies Nebeneffekte für SWTOR - wir benötigen ein Web Cookie als eines einer Reihe von Sicherheitschecks um euren Rechner zu identifizieren. Dies wird primär genutzt um sicherzustellen, dass die Sicherheit von Spielern, welche die gleiche Internet-Verbindung verwenden, gewährt ist. Dazu gehören zum Beispiel Universitätsnetzwerke, fortschrittliche Unternehmen in denen das Spielen von SWTOR am Arbeitsplatz erlaubt ist, ebenso wie Internetcafés oder freigegebene WiFi-Hotspots. Das Cookie ist nicht der einzige Check den wir einsetzen, aber wir betrachten es als wichtig genug, dass wir, falls es fehlt, ein OTP senden.

Somit bleiben die folgenden Einstellungsmöglichkeiten, um nicht jedes Mal neu zur OTP Eingabe aufgefordert zu werden:
  • Die Aktivierung von Cookies für bestimmte Seiten zu erlauben und SWTOR hinzuzufügen (normalerweise swtor.com aber manchmal auch starwarstheoldrepublic.com)
  • Die Aktivierung der Cookies für alle Webseiten und das Nutzen von Plugins wie NoScript oder Ghostery um Cookies von Dritten, die nicht Seiten-spezifisch sind, zu unterbinden (dies ist mein persönlicher Ansatz und auch der einzige Grund warum ich dies hier erwähne)
  • Die Nutzung eines mobilen oder physischen Sicherheitstoken. Ich erwähne dies nicht, weil wir versuchen alle zum Nutzen vom Sicherheitstoken zu bewegen (das OTP ist auch eine Form von Dual-Faktor Sicherheit, so hat am Ende jeder eine erhöhte Sicherheit), sondern auch weil es eine der Möglichkeiten ist um zu verhindern, dass das OTP jedesmal abgefragt wird.

Die voraussichtliche Implementierung liegt an euch selbst, je nach dem, welchen Weg ihr einschlagen möchtet. Oder aber überhaupt nicht, falls es euch beim Einloggen nicht stört jedesmal eine OTP Nachricht gesendet zu bekommen.


Eine Randnotiz noch zum Thema Mobiler Sicherheitskoken - Ich habe einige Spieler gesehen, die für das Nutzen des Mobilen Sicherheitstoken einen Handy-Emulator empfehlen. Obwohl dies technisch funktioniert, bricht dies mit einem der Gründe warum der Sicherheitstoken als Dual-Factor angesehen wird, da in diesem Fall Nutzername, Passwort und Sicherheitstoken Generator auf dem gleichen Rechner sind. Den Emulator auf einem anderen Rechner zu installieren wäre sinnvoller, aber wir unterstützen das Nutzen des Sicherheitstokens nicht, falls dieser mit einem Emulator verwendet wird.


Mobile Sicherheitstoken sind nur für Abonnenten verfügbar

Dies war eine Entscheidung, die vor dem Launch der Free to Play Option für Star Wars: The Old Republic Option getroffen wurde. Es entstehen erhebliche Kosten für uns, um euch das mobile Sicherheitstoken zur Verfügung stellen zu können (auch ohne die monatlichen 100 Kartellmünzen, die es als positiven Nebeneffekt gibt) und bevor es nicht die Möglichkeit gab das Token selbstständig vom Account zu entfernen oder zu ersetzen, konnten wir es einfach nicht für jeden zur Verfügung stellen.

Im Moment ziehen wir in Betracht das mobile Sicherheitstoken auch für bevorzugte Spieler als Authentifizierungsmethode zusätzlich zu Abonnenten anzubieten. Wenn euch euer Account echtes Geld wert ist, dann schätzen wir euer Vertrauen in unser Entwicklerstudio und möchten euch diese Option anbieten.

Es gibt hierzu noch keine definitive Bestätigung oder einen angestrebten Verfügbarkeitszeitraum, also lehne ich mich hier ein wenig aus dem Fenster und lasse euch von Änderungen wissen, weit bevor wir es sonst tun würden. Ich mache einfach Eric, Courtney und Amber für diese vorzeitige Ankündigung verantwortlich, außerdem sind sie ebenfalls daran Schuld, dass ich nicht so geheimnisvoll wie sonst wirke


Physische Sicherheitstoken sind immer noch nicht in Europa verfügbar

Wir sind nun fast soweit den physischen Sicherheitstoken wieder in Europa anzubieten. Ich erwarte in den kommenden Wochen weitere Neuigkeiten zur Verfügbarkeit.

Es gibt einige anhaltende, interne Schwierigkeiten bei der Verfügbarkeit des physischen Sicherheitstokens in Deutschland, Polen, der Schweiz und der Tschechischen Republik. Mir ist bewusst, dass eine Großzahl der Internetanbieter, die täglich eine neue IP zuweisen, in Europa beherbergt sind. Ihr könnt euch sicher sein, dass die SWTOR Geschäftsleitung intern beim Priorisieren dieser Angelegenheit hilft, um sobald wie möglich physikalische Sicherheitstoken wieder verfügbar zu machen.

Ich werde versuchen auf jegliche Fragen sobald wie möglich einzugehen, sofern es die Zeit erlaubt. Ich entschuldige mich im Voraus, falls das Helfen beim Organisieren der oben genannten Dinge (zusätzlich zu meinem "normalen" Job!") dazu führen kann, das ich nicht so oft etwas schreiben kann, wie ihr es euch möglicherweise wünscht.
Der Beitrag wurde nun vollständig übersetzt, vielen Dank für eure Geduld.
Naugor | BioWare Customer Service - Forum Support | Find help for all EA Games at Answers HQ.