Please upgrade your browser for the best possible experience.

Chrome Firefox Internet Explorer
×

Einmalpasswort

First BioWare Post First BioWare Post

XStar_MT's Avatar


XStar_MT
04.16.2013 , 09:52 AM | #61
mal eine dumme frage :
Hat EA oder BW darüber informit das man ein Einmalpasswort einführt?
wenn nicht dann könnte man das der Verbraucher zentrale mal melden , denn ich glaube das wenn jemand Änderung an seinen System vornimmt muss man den Verbraucher informiren wenn man das nicht macht dann ist das illegal.
Nun schon seit 20 Jahren im Geschäft: http://www.youtube.com/user/theves123
ich Suche nette, Hilfbereite, PVE orentirte, Republikanische/ Imperiale, immer aktive Gilde Nicht

Naugor's Avatar


Naugor
04.16.2013 , 03:33 PM | #62 Click here to go to the next staff post in this thread. Next  
Hallo zusammen,

Bitte entschuldigt, dass es eine Weile gedauert hat, bevor wir hierzu Stellung beziehen konnten.

Phillip Holmes (Head of Security) hat eben im englischen Forum einen sehr ausführlichen Beitrag hier zu verfasst und ich werde mich darum bemühen die wichtigsten Passagen zusammenzufassen.

Vielen Dank für eure Geduld.
Naugor | BioWare Customer Service - Forum Support

Vanwegen's Avatar


Vanwegen
04.16.2013 , 05:22 PM | #63
Damit es auch ja keiner genau versteht erstmal in English. Wir leben aber hier in Deutschland und so bleibt zu hoffen das eine zeitnahe Übersetzung folgen mag.

Mangelde Kommunikation hat schon immer und überall Probleme geschaffen statt sie zu beseitigen und so kann sich mein Groll nur weiter fortsetzen.

Kein Wort von Entschädigung, halt Branchentypisches Fehlverhalten !

Weiter so, denn wie man etwas Gutes verschlimmbessern kann erleben wir live .....

Naugor's Avatar


Naugor
04.16.2013 , 05:37 PM | #64 Click here to go to the next staff post in this thread. Next  
Vollständige Übersetzung des englischen Beitrages von Phillip Holmes (Head of Security):

Quote:
Nun da sich die Situation nach den Änderungen am Authentifizierungssystem etwas entspannt hat und auch Rise of the Hutt Cartel veröffentlicht wurde, dachte ich, es wäre am besten euch über einige der nächsten Schritte rund um das Einmalpasswort (OTP) System zu informieren. [...]

Wir haben eine Reihe von Themen, die angegangen werden müssen (in keiner bestimmten Reihenfolge - sie sind alle gleich wichtig!):
  • Einmalpasswort (OTP) Nachrichten verfallen manchmal, bevor sie verwendet werden können.
  • IP-Adressenänderungen sind sehr ärgerlich
  • Das Löschen von Cookies im Browser erzwingt jedesmal ein neues Einmalpasswort (OTP)
  • Mobile Sicherheitstoken sind nur für Abonnenten verfügbar
  • Physische Sicherheitstoken sind immer noch nicht in Europa verfügbar

Einmalpasswort (OTP) Nachrichten verfallen manchmal, bevor sie verwendet werden können.

Es gibt eine Reihe an Gründen warum es zu Verzögerungen bei der rechtzeitigen Auslieferung der Email kommen kann. Nicht alle sind hiervon bei SWTOR zu suchen. Obwohl wir alle erwarten, dass Emails sofort ankommen, so ist dies nicht immer der Fall und als Ergebnis hiervon werden wir verändern, wie schnell der OTP Code verfällt, bevor er genutzt werden kann.

Nun werden wir diese Gültigkeit nicht dramatisch verändern (wir fügen ein paar Minuten hinzu, nicht Stunden), aber wir werden sie erhöhen. Als Basis galt hierzu die Analyse unserer Daten rund um den Versand vom OTP und die Verzögerung der Eingabe des Codes von betroffenen Spielern. Dadurch wird die überwiegende Mehrheit der Sonderfälle berücksichtigt, ohne die durch die Gültigkeitsdauer verbundenen Sicherheitsaspekte dramatisch zu verschlechtern.
Ich weiß, dass eine Reihe an Leuten verschiedene Theorien darüber haben, warum es zu Verzögerungen beim Empfang des OTP Nachricht kommen kann, also lasst mich zusammen fassen, was wir in unseren Logs sehen können.
  • Eine kleine Anzahl von Email-Providern nutzen eine Anti-Spam Funktion die sich "Greylisting" nennt, unabhängig von den Einstellungen eines weiteren Anti-Spam Systems, welches "SPF" genannt wird. Dies ist die häufigste Ursache der verzögerten Emails und es ist auch der Grund dafür, warum die nachfolgenden Emails dann zügiger erscheinen. Wir haben versucht die "Greylisting" Bedenken durch einen gültigen "SPF"-Eintrag auszuräumen, aber da wir den Emaildienst nicht selbst anbieten, können wir wenig machen, wenn dieser Eintrag ignoriert wird. Dies betrifft den Großteil der Forumthreads, die ich rund um das Anti-Spam System untersucht und erforscht habe.
  • Einige Email-Anbieter brauchen wirklich eine lange Zeit um eine eingehende Nachrichte zu verarbeiten. Ich kenne einige andere Anti-Spam Systeme wie "Tarpitting", welche ebenso eine solches Verhalten auslösen können, aber um ehrlich zu sein, wir wissen nicht warum einige länger als andere beim Verschicken von Email Nachrichten brauchen. Um dies komplizierter zu machen gibt es auch einige "gute" Emailanbieter die scheinbar zufällig den Mailversand ohne uns ersichtliche Gründe verzögern.
  • Die Zeitverzögerung vom Empfang der Anweisung ein OTP zu generieren, bis hin zum Versand der Email über unseren Emailanbieter wird von uns in Sekunden gemessen. Normalerweise dauert es 1 bis zu 2 Sekunden, manchmal sogar weniger als 1. Auf Verzögerungen zwischen einzelnen Knoten auf der Strecke im Anschluss haben wir keine Einsicht.

Letzten Endes, falls ihr euren OTP Code nicht schnell genug erhaltet, wird er ungültig. Um auf die kleine Anzahl an Emailanbietern die andauernd Schwierigkeiten machen zu reagieren, haben wir die Gültigkeit entsprechend angepasst und wir werden genau darauf schauen, wie sich dies auf die zur Zeit von den Schwierigkeiten betroffenen Spieler auswirkt und falls nötig werden wir die Werte erneut anpassen.

Wir werden dies voraussichtlich innerhalb der nächsten 7 Tagen implementieren. Falls wir einen Hotfix ohne Neustart der involvierten Server einspielen können, werden wir dies tun, ansonsten müssen wir bis zur nächsten Wartung am Dienstag warten. Dies ist keine Garantie, aber es sieht zum jetzigen Zeitpunkt gut aus, dass 7 Tage die maximale und nicht die minimale Anzahl Tage bis zur Implementierung sind.


IP-Adressenänderungen sind sehr ärgerlich

Ich kann von ganzem Herzen zustimmen, dass es sehr ärgerlich ist, das neue OTP bei jedem IP-Wechsel neu eingeben zu müssen. Tatsächlich haben wir Teile der langfristigen Lösung bereits implementiert. Die Verzögerung bei der Implementierung der fehlenden Teile (um die Gewichtung der IP-Checks bei unserer Einschätzung der verschiedenen Kontrollen zu verändern) hat zwei Gründe.

Erstens müssen wir diese Implementierung zusammen mit anderen zweifelsohne ebenfalls wichtigen Neuerungen priorisieren. Eine Verzögerung der für die Veröffentlichung von Rise of the Hutt Cartel benötigten Arbeit wurde diskutiert und verständlicherweise wurde es als wichtiger angesehen die Erweiterung pünktlich zu veröffentlichen.

Zweitens haben wir begrenzte Ressourcen. So schön es auch wäre, für jedes für die Änderungen nötige Team mehr Leute zur Verfügung zu haben, so betreiben wir doch eine Firma.

Ich kann euch keine Schätzung geben, wie lange es dauern wird, bis all die noch fehlende Arbeit abgeschlossen ist. Ich weiß, dies ist nicht, was ihr hören möchtet. Aber sobald wir eine Schätzung abgeben können, werde ich euch informieren.


Das Löschen von Cookies im Browser erzwingt jedesmal ein neues Einmalpasswort (OTP)

Dieses Problem betrifft nur die Webseite, der Launcher ist nicht hiervon betroffen.

Es gibt eine sehr kleine Anzahl von Leuten, die mit Chrome im "Incognito" Modus oder mit Firefox im "Private" Modus surfen. In diesen Modi sind Cookies nicht verfügbar / beziehungsweise direkt nach der Sitzung gelöscht. Es gibt auch Einstellungen im Browser zur flächendeckenden, automatischen Deaktivierung von Cookies auf allen Webseiten.

Mir ist ist klar, dass dies einen gewissen Maß an Schutz vor der eindeutigen Zuordnung durch Werbeagenturen bietet. Allerdings hat dies Nebeneffekte für SWTOR - wir benötigen ein Web Cookie als eines einer Reihe von Sicherheitschecks um euren Rechner zu identifizieren. Dies wird primär genutzt um sicherzustellen, dass die Sicherheit von Spielern, welche die gleiche Internet-Verbindung verwenden, gewährt ist. Dazu gehören zum Beispiel Universitätsnetzwerke, fortschrittliche Unternehmen in denen das Spielen von SWTOR am Arbeitsplatz erlaubt ist, ebenso wie Internetcafés oder freigegebene WiFi-Hotspots. Das Cookie ist nicht der einzige Check den wir einsetzen, aber wir betrachten es als wichtig genug, dass wir, falls es fehlt, ein OTP senden.

Somit bleiben die folgenden Einstellungsmöglichkeiten, um nicht jedes Mal neu zur OTP Eingabe aufgefordert zu werden:
  • Die Aktivierung von Cookies für bestimmte Seiten zu erlauben und SWTOR hinzuzufügen (normalerweise swtor.com aber manchmal auch starwarstheoldrepublic.com)
  • Die Aktivierung der Cookies für alle Webseiten und das Nutzen von Plugins wie NoScript oder Ghostery um Cookies von Dritten, die nicht Seiten-spezifisch sind, zu unterbinden (dies ist mein persönlicher Ansatz und auch der einzige Grund warum ich dies hier erwähne)
  • Die Nutzung eines mobilen oder physischen Sicherheitstoken. Ich erwähne dies nicht, weil wir versuchen alle zum Nutzen vom Sicherheitstoken zu bewegen (das OTP ist auch eine Form von Dual-Faktor Sicherheit, so hat am Ende jeder eine erhöhte Sicherheit), sondern auch weil es eine der Möglichkeiten ist um zu verhindern, dass das OTP jedesmal abgefragt wird.

Die voraussichtliche Implementierung liegt an euch selbst, je nach dem, welchen Weg ihr einschlagen möchtet. Oder aber überhaupt nicht, falls es euch beim Einloggen nicht stört jedesmal eine OTP Nachricht gesendet zu bekommen.


Eine Randnotiz noch zum Thema Mobiler Sicherheitskoken - Ich habe einige Spieler gesehen, die für das Nutzen des Mobilen Sicherheitstoken einen Handy-Emulator empfehlen. Obwohl dies technisch funktioniert, bricht dies mit einem der Gründe warum der Sicherheitstoken als Dual-Factor angesehen wird, da in diesem Fall Nutzername, Passwort und Sicherheitstoken Generator auf dem gleichen Rechner sind. Den Emulator auf einem anderen Rechner zu installieren wäre sinnvoller, aber wir unterstützen das Nutzen des Sicherheitstokens nicht, falls dieser mit einem Emulator verwendet wird.


Mobile Sicherheitstoken sind nur für Abonnenten verfügbar

Dies war eine Entscheidung, die vor dem Launch der Free to Play Option für Star Wars: The Old Republic Option getroffen wurde. Es entstehen erhebliche Kosten für uns, um euch das mobile Sicherheitstoken zur Verfügung stellen zu können (auch ohne die monatlichen 100 Kartellmünzen, die es als positiven Nebeneffekt gibt) und bevor es nicht die Möglichkeit gab das Token selbstständig vom Account zu entfernen oder zu ersetzen, konnten wir es einfach nicht für jeden zur Verfügung stellen.

Im Moment ziehen wir in Betracht das mobile Sicherheitstoken auch für bevorzugte Spieler als Authentifizierungsmethode zusätzlich zu Abonnenten anzubieten. Wenn euch euer Account echtes Geld wert ist, dann schätzen wir euer Vertrauen in unser Entwicklerstudio und möchten euch diese Option anbieten.

Es gibt hierzu noch keine definitive Bestätigung oder einen angestrebten Verfügbarkeitszeitraum, also lehne ich mich hier ein wenig aus dem Fenster und lasse euch von Änderungen wissen, weit bevor wir es sonst tun würden. Ich mache einfach Eric, Courtney und Amber für diese vorzeitige Ankündigung verantwortlich, außerdem sind sie ebenfalls daran Schuld, dass ich nicht so geheimnisvoll wie sonst wirke


Physische Sicherheitstoken sind immer noch nicht in Europa verfügbar

Wir sind nun fast soweit den physischen Sicherheitstoken wieder in Europa anzubieten. Ich erwarte in den kommenden Wochen weitere Neuigkeiten zur Verfügbarkeit.

Es gibt einige anhaltende, interne Schwierigkeiten bei der Verfügbarkeit des physischen Sicherheitstokens in Deutschland, Polen, der Schweiz und der Tschechischen Republik. Mir ist bewusst, dass eine Großzahl der Internetanbieter, die täglich eine neue IP zuweisen, in Europa beherbergt sind. Ihr könnt euch sicher sein, dass die SWTOR Geschäftsleitung intern beim Priorisieren dieser Angelegenheit hilft, um sobald wie möglich physikalische Sicherheitstoken wieder verfügbar zu machen.

Ich werde versuchen auf jegliche Fragen sobald wie möglich einzugehen, sofern es die Zeit erlaubt. Ich entschuldige mich im Voraus, falls das Helfen beim Organisieren der oben genannten Dinge (zusätzlich zu meinem "normalen" Job!") dazu führen kann, das ich nicht so oft etwas schreiben kann, wie ihr es euch möglicherweise wünscht.
Der Beitrag wurde nun vollständig übersetzt, vielen Dank für eure Geduld.
Naugor | BioWare Customer Service - Forum Support

Hinzo's Avatar


Hinzo
04.16.2013 , 05:45 PM | #65
Vielen dank für die rasche Übersetzung! Viele hier im Forum haben darauf gewartet.

Ich wünsche dir später einen schönen Feierabend !

Alles gute!

Hinzo
Hinzo Movies presents Shini - Twist of Fate - A Warzone PvP Movie on Server Force Harvester http://swtormovies.com/movieview.php?id=3275 Stream: http://www.twitch.tv/hinzo84

XStar_MT's Avatar


XStar_MT
04.17.2013 , 01:01 AM | #66
Selbst wenn die Zeit herrauf gesetzt wird sehe ich immer noch keine Verbesserung der Account Sicherheit.
Denn Sollange ich Drittanbieter mit in die Sicherheitsmassnamen verstricke um so unsicherer wird es auch.
Denn nun kann ein Hacker über meine Emailadresse auch meinen SWtor Account hacken,dass ging bei der Sicherheitsfrage nicht, . Das Direcke Hacken des Accounts war zuvor auch schon mit der Sicherheitsfrage recht schwer und durch das Einmalpasswort wird das nicht viel schwerer gemacht.
Und das einzig Gute an diesem Langen Beitrag ist eigentlich nur das sie die Zeit herraufsetzen und warum sie es machen alles andere ist recht wage und erklärt kaum etwas bis Garnichts. Und wenn es Erklärungen dazu gibt warum kann man nicht dann einen verweiß einfügen ??

warum hat man erst so ein System eingeführt Ich sehe in dem ganzen Einmalpasswort kram keine Steigerung der Sicherheit. Und es hätte ihnen klar sein sollen wenn die IP Addresse zur Auticikation herhalten soll, da sollte einem Klar sein das diese sich änderen kann und somit man dann jedes mal ein neues Passwort braucht. Und um das herraus zufinden muss man kein Computerspitzalist sein.

Wenn ich als Abo Spieler denn Mobilentoken nutzen möchte muss man dann ein iPhone haben oder ein AndroidPhone??
Wenn ja dann möchte ich aber das mir BW dieses dann zur verfügung stellt, denn ich möchte mir kein Neues Smartphone kaufen, denn ich habe eins und mit dem bin ich sehr zufrieden und das hat werder iOS noch Android.
Und da nach Aussage des Admins dieser Mobilensicherheitstoken zu den Funktionen des Abos gehört habe ich auch das Recht und denn Anspruch darauf diesen zu benutzen und demnach muss BW / EA die App für alle Smartphonebetribsysteme entwinkeln damit sie mir diese Funktion die ich erworben habe auch nutzen kann, und wenn sie es nicht machen müssten sie mir ein entsprechendes Gerät zur Verfügung stellen oder aber mit denn Physischen Token geben.
Denn ich fände es toll mall zu wissen was ich jetzt machen muss um den Mobilensicherheitstoken zu bekommen oder zu nutzen, und soweit ich das sehe ist der Mobilensicherheitstoken die App und die kann ich nicht nutzen.
Also wie soll ich den Mobilensicherheitstoken nutzen

Warum sind denn jetzt die Physichensicherheitstoken nicht mehr in Europa zu haben ??? wo liegt das problem mit Deutschland und co? Verstößt es gegen deren recht
Nun schon seit 20 Jahren im Geschäft: http://www.youtube.com/user/theves123
ich Suche nette, Hilfbereite, PVE orentirte, Republikanische/ Imperiale, immer aktive Gilde Nicht

TheLondo's Avatar


TheLondo
04.17.2013 , 01:06 AM | #67
Quote: Originally Posted by XStar_MT View Post
Wenn ich als Abo Spieler denn Mobilentoken nutzen möchte muss man dann ein iPhone haben oder ein AndroidPhone??
Wenn ja dann möchte ich aber das mir BW dieses dann zur verfügung stellt, denn ich möchte mir kein Neues Smartphone kaufen, denn ich habe eins und mit dem bin ich sehr zufrieden und das hat werder iOS noch Android.
Und da nach Aussage des Admins dieser Mobilensicherheitstoken zu den Funktionen des Abos gehört habe ich auch das Recht und denn Anspruch darauf diesen zu benutzen und demnach muss BW / EA die App für alle Smartphonebetribsysteme entwinkeln damit sie mir diese Funktion die ich erworben habe auch nutzen kann, und wenn sie es nicht machen müssten sie mir ein entsprechendes Gerät zur Verfügung stellen oder aber mit denn Physischen Token geben.
Denn ich fände es toll mall zu wissen was ich jetzt machen muss um den Mobilensicherheitstoken zu bekommen oder zu nutzen, und soweit ich das sehe ist der Mobilensicherheitstoken die App und die kann ich nicht nutzen.
Also wie soll ich den Mobilensicherheitstoken nutzen
Es gibt den physischen Token noch im Internet zu bestellen.
Teilweise sind die Preise dafür aber relativ hoch.
Die liegen zw. 19 € bis zu 28 € (Inkl. Porto und Versand)

Vanwegen's Avatar


Vanwegen
04.17.2013 , 01:57 AM | #68
Ja, nein... ist vollkommen logisch. Mal wieder sind andere Schuld.
In diesem Falle die E-mail Anbieter die zu lange brauchen ! Oder doch die E-mail Anbieter die die sog Greyling Listen führen !

Nur mal so am Rande , " Eine kleine Anzahl von Email-Providern nutzen eine Anti-Spam Funktion die sich "Greylisting" nennt, " bedeutet das hier der Anbieter wissendlich sein Produkt korrekt bezeichnet. Das ist ja numal ehrlich.

Und wieder keine Bezugnahme auf Wiedergutmachung für die Beta Tester

Urudana's Avatar


Urudana
04.17.2013 , 02:27 AM | #69
MIMIMI

klar liegt es am Emailserver wann dieser von deinem Provider Versendet wird
ich hatte für dieses Jahr vielleicht wenn es hoch kommt 2 mal das Vergnügen mit dem Einmaligen Passwort.
Sobald dein Router eine Neue IP Bezieht biste dran :-)
Die Email kommt bei mir innerhalb 30 sec- 1 min. an und Funktioniert einwandfrei

Die meisten Free Mail Anbieter versenden die Email nicht direkt an der Empfänger sondern Zeitverzögert
je nach dem wie der Cronjob eingerichtet ist auf den Servern
Da ich meinen Eigenen Emailserver habe kommen die Emails an wie ich es möchte
Rekrutierung OFFEN
DarkCrusade @ T3-M4 - Imperium
Besuche uns auf unserer Hompage diese gibt es auch als App für dein Android

Shiniira's Avatar


Shiniira
04.17.2013 , 02:51 AM | #70
Das ist doch zum Kotzen!

Kommt mir nicht mit mein Email Anbieter macht das.

Vor ner Woche kam der Code mit 20 Sekunden Verspätung an, jetzt dauert es pro Tag locker 2 Minuten länger. Ich bin nun bei über 10 Minuten!!
Erzählt mir also nicht es liegt an meinem Email Provider, wenn es vorher funktionierte und nun nichtmehr, diese scheiß Lügen von EA gehen mir echt auf die Nerve. Euch glaubt doch sowieso keiner!

Also was soll der Scheiß? Wenn ihr das System nicht vernünftig hinkriegt, dann lasst es bleiben!

Oder nehmt euch ein Beispiel an RIFT.
Dort kann man auch ohne das Passwort einloggen, man kann nur keine Transaktionen durchführen. Das eicht völlig aus!!


Nun kam das scheiß Passwort an und es ist nicht korrekt?!