Please upgrade your browser for the best possible experience.

Chrome Firefox Internet Explorer
×

Benutzerkonto gehackt trotz Sicherheitstoken

STAR WARS: The Old Republic > Deutsch (German) > Kundendienst
Benutzerkonto gehackt trotz Sicherheitstoken
First BioWare Post First BioWare Post

Konven's Avatar


Konven
05.02.2013 , 11:57 PM | #91
Direkt nach dem ersten Absatz stellt sich mir die Frage, weshalb ein solches "Selbsthilfesystem" für die Sicherheitstoken überhaupt eingeführt wurde? Man erhielt nur Zugang zum Account, wenn man den Token besitzt oder eben einen Anruf tätigt. Und genau das ist die große Sicherheit bei dem Token gewesen. Wenn man wie hier mehrmals erwähnt den Token per Einmalpasswort entfernen kann, dann ist es einfach nur ein Alternativer Weg, sich einzuloggen aber keine wirkliche erhöhung der Sicherheit.

Meine nächste Bemerkung bezieht sich auf einige Beiträge in diesem Thread, dass der Loginname per E-Mail angefordert bzw. mitgesendet wird, wenn man sein Passwort zurücksetzen lässt. (Oder habe ich da etwas falsch verstanden?).

Sicherlich ist man für seine E-Mailadresse zu 100% verantwortlich, aber wenn man den Loginnamen nicht per E-Mail erhalten kann, sondern eben beispielweise nur telefonisch, wäre das schon eine Sicherheitssteigerung. Dann muss man ihn sich eben wo notieren, damit man ihn bei längerer Abwesenheit nicht vergisst. Es würde der Zugang zur E-Mailadresse dann einfach nicht ausreichen, da man so nicht an den Loginnamen heran kommen kann. Und wenn es mal dazu kommt, das der Loginname vergessen wird, dann ist die einzige Lösung eben der Telefonsupport. Diese wäre in meinen Augen die beste Lösung.

Zappathustra's Avatar


Zappathustra
05.03.2013 , 02:25 AM | #92
Steh immer noch in Unterhose auf der Flotte rum.
Support wollte sich bei mir melden .... bisher aber keine Reaktion.
Wie lange hat es bei den anderen "Geplünderten" gedauert, bis eine Lösung
gefunden wurde?

Gruss

Loreanus's Avatar


Loreanus
05.03.2013 , 04:02 AM | #93
Quote: Originally Posted by Konven View Post
Direkt nach dem ersten Absatz stellt sich mir die Frage, weshalb ein solches "Selbsthilfesystem" für die Sicherheitstoken überhaupt eingeführt wurde? Man erhielt nru Zugang zum Account, wenn man den Token besitzt oder eben einen Anruf tätigt. Und genau das, ist die große Sicherheit bei dem Token gewesen. Wenn man wie hier mehrmals erwähnt den Token per Einmalpasswort entfernen kann, dann ist es einfach nur ein Alternativer Weg, sich einzuloggen aber keine wirkliche erhöhung der SIcherheit.

Meine nächste Bemerkung bezieht sich auf einige Beiträge in diesem Thread, dass der Loginname per E-Mail angefordert bzw. mitgesendet wird, wenn man sein Passwort zurücksetzen lässt. (Oder habe ich da etwas falsch verstanden?).

Sicherlich ist man für seine E-Mailadresse zu 100% verantwortlich, aber wenn man den Loginnamen nicht per E-Mail erhalten kann, sondern eben beispielweise nur telefonisch, wäre das schon eine Sicherheitssteigerung. Dann muss man ihn sich eben wo notieren, damit man ihn bei längerer Abwesenheit nicht vergisst. Es würde der Zugang zur E-Mailadresse dann einfach nicht ausreichen, da man so nicht an den Loginnamen heran kommen kann. Und wenn es mal dazu kommt, das der Loginname vergessen wird, dann ist die einzige Lösung eben der Telefonsupport. Diese wäre in meinen Augen die beste Lösung.
Ich habe in dem andern von mir eröffneten thread schon geschriben die Lösung wäre ganz einfach ein geheimer Loginname, öffentlich angezeigt werden würde weiterhin der Forumname, als Ansprache in den Mails kann man auch den öffentlichen weiternutzen aber zum login benötigt man den GEHEIMEN! Jedes drittklasseige Spiel hat dieses System kapiert...sorry

Zusätzlich wenn man den loginnamen vergessen hat kann man zwei Systeme laufen lassen, sollte man ein Sicherheitstoken besitzen könnte man seine E-Mail und das PW und das Token eingeben und so seinen loginnamen anfordern lassen allerdings sollte dann das PW nicht mitgesendet werden! Sollte man ihn nicht besitzen, entweder per E-Mail mit Ausweiskopie, oder anrufen(zb).

Wenn man das PW vergisst kann man das mithilfe eines Sicherheitstokencodes UND von mir aus einem Einmalpw zurücksetzen lassen wieder ohne mitsenden des GEHEIMEN Loginnamens...

Auf die Art und weise kann man immer nur das PW durch einen E-Mail Hack rausfinden ODER den Loginnamen, jedoch zum anfordern dieser Dinge würde man erst das Sicherheitstoken und entweder eben das PW oder den geheimen Loginnamen benötigen!

Also ich denke das wäre ein wesentlich sichereres und beinahe Bombensicheres System!

romfis's Avatar


romfis
05.03.2013 , 12:51 PM | #94
Nochmal, wenn euer eMail Account korrumpiert wurde hilft das beste Sicherheitssystem hier nichts.
Highscore: 353.017.522 Credits - Sponsored by Karagga @ TOFN & T3-M4
Die Ankündigung einer Verbesserung der Situation der langen Warteschlangen und ungleichen Serverpopulation. Link
Vorschlag: Neue PvP Strukturen = Kompetenz 2.0 - 3 Klassen-PvP - Bolster Abschaffung - 8er RGB! Link
sysProfile Nr.: 76123: Intel Core i7 2760QM | MS-16F2 | nVidia GeForce GTX 570M 1536 MB GDDR5 | 15.6“ 1920x1080 @ 60 Hz | 4x 4096 MB Samsung | 2x 750GB 7200 Upm Seagate Momentus | MS Windows 10 Pro 64Bit

Auribiel's Avatar


Auribiel
05.03.2013 , 04:42 PM | #95
Quote: Originally Posted by romfis View Post
Nochmal, wenn euer eMail Account korrumpiert wurde hilft das beste Sicherheitssystem hier nichts.
Mal angenommen, man versendet mit der Einmalpasswort-Anfrage nur den Foren-Nick und nicht den Account-Nick und ein umsichtiger Nutzer löscht alle Mails in der die Infos zum Account-Nick steht, dann dürfte auch die Korrumpierung des eMail-Accounts nichts ausmachen, da immer noch die Daten zu Account-Nick und ursprünglichem Passwort fehlen?

Rungholt_BRHV's Avatar


Rungholt_BRHV
05.03.2013 , 05:47 PM | #96
Deshalb nutze ich mehrere E-Mail accouts die über eine zusammenlaufen und alle spezifischen accounts ähneln einem Passwort. Damit müsste man 5 mal versuchen zu knacken - die E-Mail an sich und das PW dazu zudem noch die Sicherheitsfragen und dann muss man ja noch an die Haupt-Email ran ebenfalls Email und PW! Wer sich daingehend absichert hast glaube keine Probs!!! Dann bringt nen Token auch ned viel mehr

Milchmaus's Avatar


Milchmaus
05.20.2013 , 11:36 AM | #97
Hallo, Ihr Lieben,

es ist ne Weile vergangen, und mein Account ist bisher auch unangetastet geblieben seit dem Hack, aber nur mal so zum Verständnis, welches mir nach wie vor fehlt, wollte ich mal hier nachhaken.

Abgesehen von dieser gelben Wortwand Marke "Blablabla selber schuld wenn dein Mailaccount gehackt wird und dann jeder deinen SWTor_account gleich auf dem Silbertablett mit kriegt blablabla" hat sich bisher niemand dazu geäussert, dass das Sicherheitstoken de facto keinerlei zusätzliche Sicherheit mehr bringt, oder?

Dieser lustige "Löse das megasichere Sicherheittoken per Klick und unter Nutzung des Einmalpasswortes von Deinem Account"-Button ist nach wie vor da. Also wechsel ich jetzt, obwohl ich das physische Token hab, weiterhin möglichst regelmäßig mein 20stelliges Passwort für den Mailaccount, den ich ausschließlich für SWToR erstellt hab, und das Token bringt mir ausser zusätzlichen Kartellmünzen und ner Menge Spaß mit Zahlendrehern beim Einloggen ins Spiel gar nichts, oder?

SITH HAPPENS

Milchmaus's Avatar


Milchmaus
05.20.2013 , 11:37 AM | #98
Quote: Originally Posted by romfis View Post
Nochmal, wenn euer eMail Account korrumpiert wurde hilft das beste Sicherheitssystem hier nichts.
Blöd nur, dass so ein Token ja ursprünglich dafür gedacht war, im Falle eines geknackten eMailaccounts den Spielaccount trotzdem noch zu schützen...

SITH HAPPENS

Milchmaus's Avatar


Milchmaus
05.20.2013 , 11:43 AM | #99
Quote: Originally Posted by Auribiel View Post
Mal angenommen, man versendet mit der Einmalpasswort-Anfrage nur den Foren-Nick und nicht den Account-Nick und ein umsichtiger Nutzer löscht alle Mails in der die Infos zum Account-Nick steht, dann dürfte auch die Korrumpierung des eMail-Accounts nichts ausmachen, da immer noch die Daten zu Account-Nick und ursprünglichem Passwort fehlen?
Sollte Dein Mailaccount gehackt sein, müssen die nur die im Forum veröffentlichten Namen durchgehen und diese im Loggin als Benutzernamen eingeben und ein neues Passwort anfordern. Irgendwann stellen den Mailzugang auf deinem Account fest und haben dann den passenden Benutzernamen und können dann dein passwort zurücksetzen.

Anscheinend haben die sich auch exakt diese Mühe gemacht, dann auf meinem Mailaccount sind grundsätzlich keinerlei Mails zu meinen MMOs drauf, auch nicht im Papierkorb. Sowas wird von mir konsequent nach dem Lesen gelöscht, und trotzdem haben sie meine Credits abgesahnt.

SITH HAPPENS

Knuddelweich's Avatar


Knuddelweich
05.20.2013 , 11:42 PM | #100
Quote:
Normalerweise gelten diese Token (ob jetzt hier oder bei WoW) als sehr sicher, daher bin ich wirklich verwundert, dass es scheinbar möglich ist, diese doch zu hacken
Trojaner machens möglich.
http://www.5secrule.de/2010/03/erste...ll-ist-schuld/
Das große Problem ist, daß der Code nur 30sek gültig ist.
Also muß der Bösewicht direkt am PC sitzen und quasi darauf warten, daß der Spieler sich einloggt.
Tut er daß, hat er nur 30sek Zeit um sich selbst mit dem Code einzuloggen und den Spieler - z.B. automatisiert durch den Trojaner - vom Login abzuhalten (Clienten sabotieren).

Wenn es dann auch noch möglich ist, ohne weiteren Code den Authenticator vom Account zu trennen, dann hat er nichtnur bis zum Ausloggen Kontrolle über den Account - sondern bis der Kundendienst eingreift und das kann dauern.

Authenticatoren umgehen ist keinesfalls unmöglich - nur der Aufwand dafür ist idR zu hoch, weshalb es kaum praktikabel ist (so lautete es damals bezüglich WoW).