Please upgrade your browser for the best possible experience.

Chrome Firefox Internet Explorer
×

"... nur noch mit euren Anzeigenamen anmelden..."

STAR WARS: The Old Republic > Deutsch (German) > Kundendienst
"... nur noch mit euren Anzeigenamen anmelden..."
First BioWare Post First BioWare Post

Han_Salo's Avatar


Han_Salo
03.09.2013 , 03:05 AM | #81
Quote: Originally Posted by namenloserjedi View Post
Ich vordere hiermit das Alle Abonnenten KOSTENLOS den Sicherheitstoken bekommen
Der war gut, made my day! Vorder Du mal ..
Handmaidens of Atris (R.I.P.) > The Jedi Tower (R.I.P.) > T3-M4
Spoiler

Loreanus's Avatar


Loreanus
03.09.2013 , 04:37 AM | #82
Quote: Originally Posted by Cosmicspy View Post
Warum?
Wegen der Angst gehackt zu werden?

Immer noch nicht verstanden das Hacker kein interesse an einer Person haben?

Also gehen wir mal logisch vor.

Okay er will dich Loreanus gezielt hacken.

Dann kommt die Brootforce angriff, nun gehen wir mal von aus du hast keinen Token-Generator.

Und deine 5 Sicherheitsfragen haben antworten die "nur" 8 Zeichen lang sind.

Du weißt dass dein Passwort aus min. 8 Zeichen bestehen muss, wovon min. ein Klein-, ein Großbuchstabe, eine Zahl und ein Sonderzeichen enthalten sein muss.

So nun ist das aber kein Profihacker, weil der will dich nicht hacken der will den Admin hacken ;-) . Also macht er von seinen heimschen Rechenr den Angriff (oder von einem Server im Internet vi auch immer)
dann benötigt er im schlechtesten Fall ca. Zweitauseneinhunderdreißig Jahre.
Na gut Teilen wird das mal durch 2 da statistik gesehen die hälfte der Zeit gebraucht wird (liegt aber an unsicheren Passwörtern). Dann sind wir aber immer noch bei ca 1056,5 Jahren. Okay?

Gut jetzt sind wir 1200 Jahre später und nun kommt er bei den Sicherheitsfragen an, die nach Zufälligkeitsprinzip kommen. Wie willst du diese Effektive knacken?
Brootforce ist dumm, genauso eine Passwort Tabelle ... hoffen und warten? Im ungünstigstensfall wäre das 1050 hoch 5.

Hier hast du mal so einen "Passwort" stärke Rechner.(Ist auf Englisch)

Ich betone nochmal dass sich das Beispiel auf einen PC Angriff über das Internet bezieht und nicht auf ein Bot-Netz, Bot-Netz ist zu 99,9999999999999999999999999999999% ausgeschlossen, weil der Besitzer des Botnetzes nichts mit dem Hack eines einzelnen verdient.

edit:
@Support führt Biometrie ein, dann hört diese Quatsch Disskusion auf zu, *uhh ich hab Angst das ich gehackt werden könnte* Ich schick morgen nee Blutprobe an Bioware ... <-- für die Kinder das war Sarkasmus ...
Du weisst GANZ genau das dies WAHRSCHEINLICHKEITEN sind und angegebene MAXIMALZEITEN...dazu mehr unter PPPS!

Inzwischen wurde sogar vermeldet das deine als sicher angegebenen Passwörter innerhalb weniger Stunden geknackt werden können(war vor nem Monat in allen Fachzeitschriften) soviel dazu, zweitens weiss ich wer da im Forum ist und Langeweile hat der dann sehr wohl direkte Angriffe auf einzelne starten könnte(und wenns nur ist weil er wen ärgern will) kennst du hier alle persönlich? Dann Respekt!

Mir is klar das das System plus Sicherheitstoken(sofern nicht Bioware gehackt wird UND die die Tokens knacken(welche auch nur nach einem Muster vorgehen) grosse Massenhacker die da gleich ganze Seiten hacken und tausende von Accountdaten abgreifen relativ und ich sage RELATIV sicher ist. Aber das heisst noch lange nicht das es keine Einzelhacker aus LAngeweile mehr gibt davon auszugehen ist NAIV!

Und deine Angabe mit 1000 Jahren und mehr sind reinster Bockmist. Und das regelmässig Accounts(ohne Pishing, Keylogger etc) gehackt werden wissen wir von Grossangriffen auf die Firmen selbst(klar da is es dann wurscht was wir für Passwörter haben wenn die den Server knacken und die Daten einfach abgreifen), siehe Sony, siehe Frogster, siehe Bigpoint...und bei EA war ja auch mal was...siehe GW2 etc...

Und nicht alle die ghackt wurden laden sich irgendwelche Schadsoftware hinunter, reagieren auf Pishingmails oder haben 123456 als PW...davon auszugehen zeugt auch von einiger Frechheit...

Es gibt genug Leute denen einfach fad ist und halt mal versuchen einen Account zu knacken und ich sagte immer wieder das die Wahrscheinlichkeit das sie das schaffen aus verschiedensten Gründen sehr unwahrscheinlich ist, aber sollte EA so einen Angriff registrieren wird dein Account(zu deiner Sicherheit) gesperrt und den Schaden haste trotzdem. Vor allem wenn ich zu horrenden Summen aus dem Ausland anrufen muss um das zu beheben obwohl ich nichts dafür kann. Da entsteht bei mir ein klarer finanzieller Schaden!!!

Ich sage auch dazu das ich soviele MMOs gezockt habe wo soviele Leute gehackt wurden(meist aufgrund von vermeintlichen Goldhacks und Pishingmails etc) und ich wurde noch NIE gehackt, was wohl auch daran liegt das meine PWs immer den entsprechenden Sicherheitskriterien entsprechen...aber Vorsicht ist die Mutter der Porzellankiste!

Und einer der aus Langeweile oder Ärger einen Mitspielrr versucht zu hacken muss keinen Erfolg haben um(aus den oben genannten Gründen) Schaden anzurichten!

PS: Nach deiner Rechnung dürfte Hacken ja sowieso unmöglich sein...na erzähl das mal Sony XP(nur EIN Bsp)

PPS: https://review.datenschutz.ch/passwortcheck/check.php hier könnt ihr im übrigen Passwörter checken lassen und analysieren wie sicher sie sind...

PPPS: Hier noch eine kleine Zusatzinfo:

Wie lang sollte ein Passwort sein

Die Frage ist so leicht nicht zu beantworten. Das hängt vom Sicherheitsbereich ab. Generell kann man sagen, eine Mindestlänge von 8 Zeichen ist sinnvoll: 8 Zeichen bedeuten 191707312997281 Kombinationen bei der Zeichenklasse a-zA-Z1-9 (= 61 Zeichen). Das würde bei einer Million Tastenanschläge pro Sekunde eine Maximalzeit von ca. 53252 Stunden (191707312,997281 Sekunden) bedeuten (fast 6 Jahre). Das ist schon mal eine ganz ordentliche Zeit :-)

Bei höheren Sicherheitsbereichen (etwa Fimen-Netze oder dergleichen) würde ich auf 10 Zeichen Mindestlänge erhöhen (= 713342911662882601 Kombinationen, = ca. 198150808 Stunden oder ca. 22700 Jahre). Zur Einschätzung mal eine kleine Tabelle:

Mindestlänge maximal benötigte Zeit (bei angenommener 1 Million Tastaturanschlägen pro Sekunde)
3 Zeichen ca. 0,2 Sekunden
5 Zeichen ca. 14 Minuten
8 Zeichen ca. 53252 Stunden
10 Zeichen ca. 1179469 Wochen
12 Zeichen ca. 84168853 Jahre
15 Zeichen ca. 19104730610573 Jahre
Doch nun kommt die Ernüchterung. Alle diese Angaben sind sogenannte Maximalzeiten! Maximalzeit bedeutet: wenn jemand in der angegebenen Geschwindigkeit versucht, das Passwort zu knacken, und erst die allerletzte eingegebene Zeichenkombination die richtige ist, dann dauert es so lange wie angegeben. Aber theoretisch könnte ja auch schon die allererste eingegebene Zeichenkombination richtig sein.Dann hat es nur eine hunderttausendstel Sekunde gedauert, um das Passwort zu knacken - trotz 15 Zeichen. Es kann also durchaus sein, dass ein Angreifer ein Passwort innerhalb weniger Sekunden herausgefunden hat. Zufall eben. Deshalb sollte man sich bei 8 Zeichen durchaus nicht in Sicherheit wägen. Außerdem kommt es auch auf die Rechenleistung an: hier wurde mit einer Millionen Tanstenanschlägen pro Sekunde gerechnet. Andere, bessere, später gebaute Rechner schaffen vielleicht das Millionenfache.

Die Anzahl der Kombinationen berechnet sich aus Zeichen-AnzahlLänge: pro Zeichen kann das Passwort aus Zeichen-Anzahl Zeichen bestehen. Daraus ergibt sich bei einem Passwort von 3 Zeichen und einer Zeichenklasse von 62 Zeichen: 62 * 62 * 62 Kombinationen. Um die benötigte Zeit zu berechnen, dividieren Sie einfach durch die Anzahl der Tastenanschläge pro Sekunde — schon haben Sie die maximal benötigte Zeit in Sekunden.

Mit etwas Pessimismus könnte man nun sagen "ist doch scheißegal und alles wie beim Lotto". Doch zwischen der Maximalzeit und der theoretischen Chance, ein beliebiges Passwort mit nur wenigen Versuchen zu knacken, liegt der für potentielle Angreifer ziemlich ungemütliche "mittlere Bereich", der in der erdrückenden Mehrheit aller Fälle relevant ist - also der Bereich zwischen z.B. mehreren Tagen und mehreren Jahren. Und damit muss ein Angreifer zwangsläufig kalkulieren, wenn seine vielleicht anfänglichen Versuche, "nicht sichere" Passwörter zu probieren, fehlgeschlagen sind.

Natürlich sollte man auch noch hinzufügen, dass viele Zugangssysteme einen einloggenden Gast nach soundsoviel Fehlversuchen aus dem System werfen. Dann muss sich dieser, wenn er es wieder versuchen will, mit einer neuen Identität, im Internet z.B. manchmal auch mit einer anderen IP-Adresse anmelden. Solche Dinge kann ein Angreifer allerdings bis zu einem gewissen Grad automatisieren.

Nexilein's Avatar


Nexilein
03.09.2013 , 05:19 AM | #83
Quote: Originally Posted by Loreanus View Post
Inzwischen wurde sogar vermeldet das deine als sicher angegebenen Passwörter innerhalb weniger Stunden geknackt werden können(war vor nem Monat in allen Fachzeitschriften) soviel dazu,
Das fand offline mit einem (GPU)-Cluster statt und setzt vorraus das die verschlüsselten Daten vorliegen. In dem Fall ist es aber vollkommen egal was du als ID verwendest, denn wer immer an dein verschlüsseltes Passwort kommt kennt auch deinen Login.
Über eine BruteForce Attacke sagt das garnichts aus, denn da ist die Internetverbindung der limitierende Faktor. Mess doch doch einfach mal die Zeit die zwsichen dem Senden der Login Informationen und der Bestätigung vom Server. Im Ergebnis wirst du einen Ansturm auf den Loginserver erzeugen, der weit über den Ansturm am Releasetag hianusgeht.

Quote: Originally Posted by Loreanus View Post
Und das regelmässig Accounts(ohne Pishing, Keylogger etc) gehackt werden wissen wir von Grossangriffen auf die Firmen selbst(klar da is es dann wurscht was wir für Passwörter haben wenn die den Server knacken und die Daten einfach abgreifen), siehe Sony, siehe Frogster, siehe Bigpoint...und bei EA war ja auch mal was...siehe GW2 etc...
PS: Nach deiner Rechnung dürfte Hacken ja sowieso unmöglich sein...na erzähl das mal Sony XP(nur EIN Bsp)
Diese "Hacks" finden aber nicht durch das Ausprobieren von Passwörtern statt, sondern durch Sicherheitslücken mit denen man entweder Passwörter ausspäht oder durch die man die Authentifizierung umgehen kann. Und GW2 zeigt es eben gerade sehr schön: Das Problem besteht darin, dass jemand an Login-Informationen gekommen ist. Da die E-Mail eindeutig ist und von vielen Diensten als ID verwendet wird, ist die Gefahr hier besonders groß weil die Leute ihre Passwörter mehrfach verwenden. Der anzeigename ist nur deshalb sicherer, weil "Anzeigename/Passwort" in der Praxis seltener vorkommt.


Quote: Originally Posted by Loreanus View Post
Mindestlänge maximal benötigte Zeit (bei angenommener 1 Million Tastaturanschlägen pro Sekunde)
3 Zeichen ca. 0,2 Sekunden
5 Zeichen ca. 14 Minuten
8 Zeichen ca. 53252 Stunden
10 Zeichen ca. 1179469 Wochen
12 Zeichen ca. 84168853 Jahre
15 Zeichen ca. 19104730610573 Jahre
Bei 8 Zeichen bedeutet dass, dass 125.000 Leute versuchen sich im Mittel über 3 Jahre hinweg jede Sekunde einmal mit falschen Daten einzuloggen....

Vanitra's Avatar


Vanitra
03.09.2013 , 03:41 PM | #84
Der Anzeigename ist nur so lang sicher. bis jemand auf die Idee kommt mit einem Parser alle Anzeigenamen hier im Forum abzugreifen und dann hat er schonmal die Hälfte des Logins. Von der Idee dieser Änderung halte ich also gar nichts.

namenloserjedi's Avatar


namenloserjedi
03.28.2013 , 09:41 AM | #85
wo bleibt mein TOKEN

ich werde mir aufkeinenfall EXTRA ein neues Funktelefon kaufen

aber wenn Bioware/EA nicht wollen mir auch recht gibt ja noch andere Spiele wo ich monatlich mein Geld verprassen kann

Thypho's Avatar


Thypho
03.29.2013 , 06:20 AM | #86
Es geht hier ja nicht nur um das professionelle hacken, auch wenn es mit einem Bot ein leichtes ist alle Benutzernahmen aus dem Forum zu sammeln.
Es geht ja auch darum, dass ein beleidigter Spieler deinen Account blockieren kann.
Und was soll die Heftigkeit dieser Diskussion.
Ein Benutzername der jedem bekannt ist ist einfach sicherheitstechnisch ein Desaster und kein vernünftiger Mensch macht so etwas.
Diplomatie ist das beste Mittel den Frieden zu schützen.
Streitkräfte sind das beste Mittel die Diplomatie zu schützen.

Logathor's Avatar


Logathor
04.03.2013 , 02:52 AM | #87
Quote: Originally Posted by Naugor View Post

1. Auch wenn auf den ersten Blick die Emailadresse sicherer als der Anzeigename zu sein scheint, so gibt es einen Unsicherheitsfaktor - ihr habt sicherlich die gleiche Emailadresse auch für andere Webseiten genutzt und wir haben keinen Einfluss auf die Sicherheitsstandard von diesen anderen Webseiten. Das heißt, immer wenn eine solche Webseite gehackt wird und die Angreifer Zugriff auf eure Nutzerdaten auf dieser Webseite bekommen, so wissen sie automatisch auch, bei wem sie es mit einem Phishing-Versuch versuchen können.

2. Bei dem Anzeigenamen ist dies anders (normalerweise benutzt nicht jeder exakt den gleichen auf jeder Webseite).

Zu 1.
Das mag bei vielen leichtsinnigen Usern durchaus der Fall sein. Jedoch bei mir wird eigens für ein Spiel eine einmalige nur für dieses Spiel verwendete Mailadresse generiert.

zu 2.
Genau da irrt ihr euch gewaltig: Ich bin Online soweit es geht immer mit dem gleichen Forennamen unterwegs, gehört zu meiner Identität. Viele meiner Bekannten verfahren ebenso.


Also aus meiner Sicht gesehen ist eure Begründung sowie die Bereinigung der Probleme, die unfähige Zeitgenossen mit ihrer "sicherheitstechnischen Gleichgültigkeit" selber verursacht haben, eine unausgereifte Katastrophe.
Ihr versucht hunderte von Löchern der unfähigen User zu stopfen, indem ihr allgemeingültige Regeln über Board werft und lieber bei Millionen Usern Teile der Login-Daten bekannt gebt...
In der Ruhe liegt die Kraft

Boremas's Avatar


Boremas
04.03.2013 , 06:31 AM | #88
Das kann ich so unterschreiben, Ich benutze ebenfalls an mehreren stellen den gleichen Anzeigenamen, da man sich damit Community-Übergreifend, bei anderen Spielern / Usern / Freunden idendifiziert. (Namestealing ma aussen vorgelassen )

Sollte nun wirklich jemand woanders meine E-Mailadresse und PW abgreifen, während ich, wie unterstellt, hier die gleichen Daten verwenden würde, wäre es völlig unerheblich ob nun hier meine E-Mailadresse oder mein Anzeigename verwendet wird, da dann eh beides übereinstimmen würde.

Das Verfahren mit dem Einmalpasswort ist auch nur solange sicher, wie sich niemand Zugang zu meinem E-Mail Account verschafft, (was tatsächlich schon vorkam, während sich jemand meinen WoW-Account untern Nagel reißen wollte ^^). zudem emfpinde ich es auch als unnötig umständlich.

Und genau hier finden wir den Grund zum Hacken, es geht natürlich nicht darum, gezielt eine Person zu hacken.
Bei MMOs liegt die Motivation nahezu immer darin, sich Zugang zu den Spielaccounts zu verschafffen, um deren "digitalen Güter" für echtes Geld weiterzuverkaufen.
Während das bei WoW fast regelmäßig vorkam (noch vorkommt ?), hab ich hier noch nich von auffällig hoher Anzahl solcher Fälle gehört, was eigendlich für die bisherigen Sicherheitsvorkehrungen spricht.
Nun warten mir mal ab, ob sich da jetz was dran ändert...
Alassera

Logathor's Avatar


Logathor
04.08.2013 , 06:20 AM | #89
Seht so aus, als wäre der Anzeigename das kleinere Problem.

2 von meinen Freunden haben ihr Abo aufgegeben, weil ihre Einmalpasswort-Mails immer mit über 15 min. Verspätung (T-Online) ankommen. Sie haben einfach genug von diesen Schikanen......
In der Ruhe liegt die Kraft

xAirbornerx's Avatar


xAirbornerx
04.08.2013 , 09:22 AM | #90
Quote: Originally Posted by Logathor View Post
Seht so aus, als wäre der Anzeigename das kleinere Problem.

2 von meinen Freunden haben ihr Abo aufgegeben, weil ihre Einmalpasswort-Mails immer mit über 15 min. Verspätung (T-Online) ankommen. Sie haben einfach genug von diesen Schikanen......
Bevor hier der erste kommt mit dem Standardspruch: "...wie kann man nur wegen sowas kündigen, man sind die dumm...", das habe ich so in einem anderen Threat gelesen... Kann ich nur sagen, ich verstehe deine Freunde, ich habe ein Glück nicht dieses Problem, es würde mich aber genauso ankotzen!