Please upgrade your browser for the best possible experience.

Chrome Firefox Internet Explorer
×

"... nur noch mit euren Anzeigenamen anmelden..."

STAR WARS: The Old Republic > Deutsch (German) > Kundendienst (schreibgeschützt)
"... nur noch mit euren Anzeigenamen anmelden..."
 
First BioWare Post First BioWare Post

Unterlord's Avatar


Unterlord
03.06.2013 , 06:56 AM | #31
Quote: Originally Posted by Naugor View Post
Hallo zusammen,

Phillip Holmes (Senior Manager of Security bei Star Wars: The Old Republic) hat sich diesbezüglich ausführlich im englischen Forum hier und hier geäußert.

Kurze Zusammenfassung:
  • Er betont, dass wir die Sicherheit des Systems nicht am Anzeigenamen fest gemacht haben. Es gibt eine Reihe weiterer Systeme, die dafür Sorgen, dass kein Mißbrauch getrieben werden kann, nur weil jemand euren Anzeigenamen kennt. Zusätzlich werden in naher Zukunft noch weitere Methoden implementiert um eine Accountübernahme weiter zu erschweren, Neuigkeiten wird es dazu in ein paar Wochen geben. Um einen Account übernehmen zu können, müsste ein Angreifer auch euer Emailkonto kennen.

  • Er betont, dass das Wichtigste zum Schutz eures Account ein sicheres Passwort für eure Emailadresse ist. Dies sollte ebenso möglichst stark von eurem Star Wars: The Old Republic Accountpasswort abweichen. Idealerweise bietet euer Emailanbieter (wie zum Beispiel GMail) Dual-Factor-Authentication (bei GMail: "Bestätigung in zwei Schritten").

  • Wir haben uns inbesondere intensive damit beschäftigt, wie man das neue System noch sicherer gegen Hackversuche machen kann, insbesondere gegen "Brute-Force". Mehr dazu in den nächsten Wochen.

  • Auch wenn auf den ersten Blick die Emailadresse sicherer als der Anzeigename zu sein scheint, so gibt es einen Unsicherheitsfaktor - ihr habt sicherlich die gleiche Emailadresse auch für andere Webseiten genutzt und wir haben keinen Einfluss auf die Sicherheitsstandard von diesen anderen Webseiten. Das heißt, immer wenn eine solche Webseite gehackt wird und die Angreifer Zugriff auf eure Nutzerdaten auf dieser Webseite bekommen, so wissen sie automatisch auch, bei wem sie es mit einem Phishing-Versuch versuchen können. Bei dem Anzeigenamen ist dies anders (normalerweise benutzt nicht jeder exakt den gleichen auf jeder Webseite).

  • Ein Angreifer muss zum jetzigen Zeitpunkt nicht nur euer Passwort, sondern auch die Antworten auf eure Sicherheitsfragen kennen. In der Zukunft wird er ebenso das Passwort eurer Emailadresse kennen müssen. Mehr dazu in den nächsten Wochen. Ebenso überwachen wir ständig gegen Brute Force Angriffe und haben weitere Systeme um uns davor zu schützen.

  • Etwas ausführlicher zum Thema Sicherheit. In vielen Systemen (hauptsächlich bei Firmen und beim Militär) ist der Benutzername eine Information, auf die man als Angestellter keinen Einfluss hat. Oft wird dies automatisch aus einer Kombination von Vor- und Nachnamen erstellt.
    Aus diesem Grund gelten diese Namen nicht als relevant für die Sicherheit und können dementsprechend keine wichtige Rolle spielen. Wenn Sicherheitsexperten über die Bestätigung (Authentication) sprechen, wird meist über die Bestätigung in zwei Schritten (two-factor authentication) gesprochen. Das sicherste System ist jedoch eigentlich nicht das sicherste, da es für zwei von drei Faktoren steht. Diese Faktoren sind:
    • Etwas das ich weiß (z.B.: Passwort)
    • Etwas das ich bin (z.B.: Biometrie)
    • Etwas das ich habe (z.B.: Security Token)
    So gerne Phil auch den zweiten Faktor gesehen hätte, so gab es sonst keinen der sich für seinen Vorschlag von "ein Tropfen Blut um spielen zu können" begeistern konnte. Dementsprechend wird die Biometrie auch weiter außen vor bleiben.
    Der erste Faktor ist doppelt abgedeckt durch Passwort und Sicherheitsfragen. Den dritten Faktor haben wir derzeit nicht zwingend für alle Spieler, der Security Token ist weiterhin freiwillig, so gerne wir ihn auch bei unseren Spielern sehen. Um die Wahrheit zu sagen, machen wir keinen Gewinn mit dem physikalischen Security Token und absorbieren die Kosten für den Mobilen.
    Wir bemühen uns weiter darum auch allen europäischen Spielern die Möglichkeit zum Kauf eines physikalischen Sicherheitstokens zu ermöglichen

Bitte beachtet, dass dies nur eine Zusammenfassung seiner Beiträge im englischen Forum ist. Wie angedeutet wird es in Zukunft weitere Kommunikation diesbezüglich geben.

Ich hoffe wir konnten damit erfolgreich euren Zweifeln entgegentreten.
Das ist auch mein Meinung, das sind gleichbar, E-Mail muss geheim, das ist privat.
--> Kylo Ren <--
(█)(█)(███)(█)=|▰▰▰▰▰▰▰▰▰▰▰▰▰▰▰▰▰▶
--> Unterlord <--

Han_Salo's Avatar


Han_Salo
03.06.2013 , 07:14 AM | #32
Quote: Originally Posted by FWSWBN View Post
...
Was hat eigentlich eine GTC mit dem einloggen zu tun?
...
Naja, kommt einer irgendwie auf einen Account, hat er ggf. Kontodaten, Kreditkartendaten, PayPal-Accounts usw. alle hinterlegt. Mit GTC hat er keine weiteren Angaben ...
Handmaidens of Atris (R.I.P.) > The Jedi Tower (R.I.P.) > T3-M4
Spoiler

FWSWBN's Avatar


FWSWBN
03.06.2013 , 07:28 AM | #33
Quote: Originally Posted by Han_Salo View Post
Naja, kommt einer irgendwie auf einen Account, hat er ggf. Kontodaten, Kreditkartendaten, PayPal-Accounts usw. alle hinterlegt. Mit GTC hat er keine weiteren Angaben ...
Ok, dass kann / könnte man akzeptieren,
nur....
Paypal = weiteres Passwort (wäre natürlich dumm das gleiche zu nutzen ^^) wenn man eine Zahlung tätigen möchte.
KK Daten = teilweise ausgeblendet (alles bis auf die letzten 4 Ziffern, das bedeutet er müsste 12 Ziffern raten )
Kontodaten = denke mal das gleiche wie bei KK zudem man auch da immer noch ein Passwort zum einloggen braucht, die Kundenkarte fürs eBanking sowie das Lesegerät für die Kundenkarte die danach die TAN generiert.
Selbst wenn er fast alles zusammen bekommt, eines bekommt er nicht...meine Kundenkarte

Logathor's Avatar


Logathor
03.06.2013 , 07:36 AM | #34
Ich diskutiere mit der Facebook-Generation definitiv nicht weiter über Sicherheit!
Da könnte ich mich genausogut mit Ameisen über Raumfahrt austauschen

Ich mag veraltete Ansichten haben, aber die haben mich bisher auch sehr erfolgreich geschützt.
In der Ruhe liegt die Kraft

Loreanus's Avatar


Loreanus
03.06.2013 , 07:39 AM | #35
Sorry aber Sicherheit sieht für mich anders aus...und ich bleibe dabei wie auch schon von andern erwähnt, es stellt einem jeden die Haare auf wenn man sieht das Forumname und Loginname der gleiche sind...das macht man einfach nicht das bietet eine Angriffsfläche und dient nicht der Sicherheit sondern lediglich der Vereinfachung...

Es ist ganz klar das man den Loginnamen genauso geheimhalten muss wie das PW!!! Das ist eine Grundregel in Punkto Accountsicherheit!

Und tut mir leid wenn ich mir bei dem derzeitigen Personalabbau kaum vorstellen kann das da genug Mitarbeiter sind die Brutforce Attacken überwachen...

Elbartoab's Avatar


Elbartoab
03.06.2013 , 08:26 AM | #36
naja, die Entlassungen betreffen ja nicht die Abteilung, die für die Accountsicherheit verantwortlich ist, zumindest hört man davon nichts.
Aber die Accountsicherheit sollte weiterhin gegeben sein, wie schon in der Erklärung im englischen forum gesagt wurde.
Aktuell ist es ja so, das wenn die Email zur Anmeldung genommen wird, ein Hacker sich "nur" Zugriff auf deinen Email-Betreiber verschaffen muss, und so auf deinen SWTor Account kommt.
Mit der dann verpflichtenden Anmeldung hat ein "Angtreifer" zwar deinen Accountnamen, wenn du hier im Forum postest, er kann im ersten Moment allerdings nichts damit anfangen, da man das PW ja unendlich oft falsch eingeben kann, ohne das der Account gesperrt wird. Wäre das der Fall, so bräuchte man keine Sicherheitsfragen als Zwang.
Mit der Anmeldung per Anzeigename, bräuchte ein "Angreifer" nun die Hilfe vom User, da er nun nichtmehr dessen Email Adresse automatisch kennt, um damit schabernack zu treiben. Diese Hilfe wären zum Beispiel externe Programme, die dein PW mitschneiden. Oder eben ein Angriff über das Brute Force, was aktuell möglich ist, da man das PW unendlich oft testen kann. Hat der User nun keinen Token, so kommt dann die Sicherheitsfrage, welche im Normalfall nicht so ohne weiteres von einem "Angreifer" beantwortet werden kann, auch wenn diese Standardisiert sind. ( ausser man benutzt bei dem Anmeldenamen seinen richtigen 'Namen, was über Social Media die Tür weit offen lässt für "Angreifer" ) Ohne Informationen über den User hinter dem Anzeigenamen, kann niemand die mindestens 3 Sicherheitsfragen beantworten ohne das dabei der Account gesperrt wird, wo die Entsperrung durch ein Persönliches Gespräch eine sehr hohe Sicherheit bietet, auch wenn sie lästig werden kann, wenn man vorher das Opfer eines Brute Force Angriffes wurde. Nun der Fakt mit dem Token...dieser ist keine zusätzliche Schutzmaßnahme zum PW und zur Sicherheitsabfrage, sondern der Token ersetzt die Sicherheitsfrage. Dies ist allerdings unproblemtatisch, da so ein Token ein sehr sicheres System ist, denn ein "Angreifer" weiß niemals die nächste Zahl, und kann diese auch nicht anhand der voher eingetippten Tokens ermitteln. Ein "Angreifer" kommt nur an deinen Account, wenn er dich überfällt und dir den Token wegnimmt, und dazu noch dein PW hat. Man sieht also, so einfach, wie es teilweise dargstellt wird, ist es nicht, das dein Acccount hier angegriffen und / oder gesperrt wird, ohne das man was dafür kann.
Die Daten selbst werden auf dem BW / EA Sicherheitsserver wohl kräftig gesalzen sein, so das ein Angriff auf diese keine Auswirkungen zeigen würde. ( Sollte es nicht so sein, Liebes Sicherheitsteam, holt den Salzstreuer raus und fangt an zu salzen )

Sollte ein Account trotzdem mal angegriffen werden, und "Angreifer" sind dann auf diesem unterwegs, so war es in 90% der Fälle, der User vor dem PC, der versagt hat, sei es wegen externen Programmen, die er benutzt ( Addons gibt es zum Glück nicht bei SWTor, wo schnell mal keylogger auf den PC kommen könnten ), überall der selbe Name und das selbe PW ( sollte niemals der Fall sein....am besten wäre es sogar Programme zur PW generierung zu nutzen, da diese vom technischen "Zufall" abhängen) oder die unbedachte Weitergabe seiner Accountdaten ( ob nun mit oder ohne Alkohol als Ausrede^^ )

Allistai's Avatar


Allistai
03.06.2013 , 08:30 AM | #37
@Naugor
ein ganz dickes Danke an dich das du dir die Mühe gemacht hast und den Beitrag von Herrn Holmes in Deutsche übersetzt hast und hier reingestellt hast .

Server: Vanjervalis Chain und PTS

Logathor's Avatar


Logathor
03.06.2013 , 09:20 AM | #38
Quote: Originally Posted by Allistai View Post
@Naugor
ein ganz dickes Danke an dich das du dir die Mühe gemacht hast und den Beitrag von Herrn Holmes in Deutsche übersetzt hast und hier reingestellt hast .

Ja, das kann ich auf alle Fälle erst mal unterschreiben!
Danke für die Übersetzung.



Nun nochmal zum Thema:

Eine "Sicherheitsexperte", der sich hier öffentlich hinstellt, und behauptet, die nachträgliche und ohne meine Zustimmung gemachte Bekanntgabe meiner Zugangskennung (denn nichts anderes ist diese Änderung jetzt ) sei nicht Sicherheitsrelevant, da BW die Sicherheit nie an der Zugangskennung festgemacht hätten, ist in meinen Augen untragbar.
Dieser "Sicherheitsexperte" hat offensichtlich den falschen Beruf gewählt. Und ich bin heilfroh, dass meine persönliche Sicherheit nicht in dessen Händen liegt.

Der will uns hier wohl allen Ernstes für dumm verkaufen...... es mag ja Menschen geben, die seinen Worten ohne weiteres glauben, aber der gesunde Menschenverstand sollte hier alle Alarmglocken läuten lassen!


In der Ruhe liegt die Kraft

Justbee's Avatar


Justbee
03.06.2013 , 09:33 AM | #39
Quote: Originally Posted by Elbartoab View Post
Aktuell ist es ja so, das wenn die Email zur Anmeldung genommen wird, ein Hacker sich "nur" Zugriff auf deinen Email-Betreiber verschaffen muss, und so auf deinen SWTor Account kommt.
Soweit denken die meisten hier nicht, und je Mail-Anbieter is die Sicherheit da wirklich nicht weit. Zumal viele gerade für ihr Mail-Konto ein PW nehmen das man sich gut merken kann, das kurz und schnell einzugeben ist.

Das man jetzt den anzeigenamen nimmt ist zwar nicht Optimal, besser waere es wirklich eine eigene Kennung zu haben, unabhängig von anzeigenamen und E-Mail aber gegenüber der Mail Adresse ist es eine Verbesserung auch wenn die wenigsten das glauben.
Wer aber wirklich Sicherheitsbedenken hat, sollte die 2 fuffzich oder was das Biest kostet für ein Sicherheitstoken ausgeben. Ist zwar auch nicht 100 Prozent perfekt, aber steigert die Acc Sicherheit nochmals enorm und man bekommt sogar paar Kartellmünzen pro Monat so das man ihn irgendwann auch wieder "drin" hat.

Und bevors moniert wirdweil ich ka hab was das Ding kostet, war halt in der CE dabei.

Was dieser Thread abr sehr schön zeigt, ist der Zustand der SWTOR-Com. Erstmal meckern, auch wenn man nicht wirklich Ahnung hat, meckern, dann mal weitersehen. BW könnte verkünden das sie die Formel für den Weltfrieden haben, und das sie ab nächsten Monat für weltfreiden sorgen und 50% der folgenden Post s wären Gemecker das BW Arbeitsplätze in der Rüstungsindustrie vernichtet....

Bei manchem Meckerkopp hofft man wirklich das er schnell weiterzieht...lieber gebe ich bissl mehr fürs Abo aus...
Gemüse schmeckt am besten, wenn man es kurz vor dem Verzehr durch ein Schnitzel ersetzt!

Boremas's Avatar


Boremas
03.06.2013 , 10:07 AM | #40
eh, jo gut also....
wenn das kein Aprilscherz sein sollte, ist es schlicht und ergreifend eine simple Methode mir den Kauf eines Sicherheitstokens aufzuzwingen. .. da dies bis dahin eine optionale zusätzliche Sicherung war, ab da aber fast die einzige Sicherung überhaupt sein wird.
Ja wirklich ne gaaanz clevere Methode nochmal extra Kohle abzuzocken. (Sarkasmus is hier gratis ;P)

Und ja sicher, ne E-Mailadresse is nich soo schwer rauszufinden, aber hey;
Wer der Meinung ist, der Anzeigename wäre sicherer, beantworte mir die Fragen:
Wie lautet meine E-Mailadresse?
Wie lautet mein Anzeigename?
Was war da schwerer rauszufinden?

also so dämlich kann man doch gar nicht sein...

letzlich bin ich der Meinung: als Aprilscherz wirklich schlecht, ernst gemeint: absoluter Fail.
Alassera