2-Fach Authentifizierung für ESO

NirnTraveler · 7. Februar

Liebe Foren-Community

Bei vielen Online-Anwendungen gibt es schon länger die zweifache Authentifizierung.
Aktuell noch nicht bei ESO. Es gibt eine Abfrage für den Client, wahrscheinlich MAC-Basiert.
Eine MFA hätte den Vorteil, dass es unabhängig vom Endgerät funktioniert und sehr sicher ist.

Vorteile:
- Nur der Benutzer, und ausschliesslich der Benutzer kann sich anmelden, da die Abfrage auf ein von Ihm gewählten Authenticator läuft.
- Es kann ausgeschlossen werden, dass irgendjemand den Account übernimmt.
- Keine weiteren Abfragen über neue Computer (was aber auch zusätzlich ggf. gut ist)

Nachteile:
- Jeden Tag eine Authenticator-App für einen Code Fragen (beim jeweiligen Login)

Für mich persönlich wäre eine Code-Eingabe erträglich (falls man nicht alle 15min durch ZOS oder Internet getrennt wird)

Was meint Ihr?

Freue mich auf konstruktive Kritik und Anmerkungen.

Freundlich Grüsst der
Nirn-Traveler

golden_Chaos · 8. Februar

bin dagegen! mann mus sich in der welt schon genug doppelt verifizieren, das bedarf es in eso nicht auch noch

Protector1981 · 8. Februar

Ich würde sogar einen Schritt weitergehen und das Passwort einfach gänzlich abschaffen.

mareikeb16_ESO · 8. Februar

Ich bin dafür. Alles andere ist einfach zu unsicher.

Arcon2825 · 8. Februar

golden_Chaos schrieb: »

bin dagegen! mann mus sich in der welt schon genug doppelt verifizieren, das bedarf es in eso nicht auch noch

Es hat seinen Grund, wieso man das überall anders in der Welt macht. Und der ist, dass eine reine Passwortauthentifizierung heutigen Standards nicht mehr genügt. Aber egal wie sinnvoll so etwas wie eine 2FA ist, irgendjemand ist immer dagegen.

CURSIN_IT · 8. Februar

NirnTraveler schrieb: »

Nachteile:
- Jeden Tag eine Authenticator-App für einen Code Fragen (beim jeweiligen Login)

Bin mir unsicher ob es so ablaufen würde. Die XBox hat den Account-Login per Authenticator-App schon länger und hier wird man nur einmal abgefragt. Die muckt sich erst wieder, wenn man auf einem anderen Gerät angemeldet wurde.

Ansonsten vollste Zustimmung. Wird Zeit, dass sich das durchsetzt. Auch das passwortlose Einloggen. Kann man zudem nicht mit der alten 2FA per eMail oder SMS gleichsetzen - an die golden_Chaos wohl erinnert wurde.

Bitsqueezer · 8. Februar

Auch wenn ich als ITler die 2FA natürlich ebenfalls als viel sicherer einstufe, bin ich auch (für ESO) dagegen.

Es geht um ein Game, und nicht um mein Bankkonto...
Ein halbwegs sicheres Passwort genügt hier völlig, ein Brute-Force-Attack zum Heausfinden eines Kennwortes kann man simpel umgehen mit einer Maximalzahl an ungültigen Anmeldungen.

Darüber hinaus wird man von ESO per ID authentifiziert (die mindestens die IP-Adresse und wahrscheinlich MAC und mehr einschließt), ich kann mich nicht mal eben auf einem anderen Gerät anmelden, ohne daß ESO das merkt und will dann von mir eine Bestätigung per EMail, an die ein Angreifer auch nicht mal so eben kommt.
Für ein Game wohl mehr als ausreichend.

Wenn ESO sooo unsicher wäre, wären die Foren voll von Beschwerden über geknackte Konten. Für Hacker gibt es 100% mehr andere attraktivere Ziele, als 10 Chars eines Users zu übernehmen und damit dann was zu machen? Kronen gegen Gold zu tauschen?...;)
Einfach mal auf dem Teppich bleiben.

Protector1981 · 8. Februar

Es geht nicht darum, dass eine Anwendung unsicher ist. Es geht darum, dass, egal wie unwahrscheinlich es ist, man NICHT! an deine Privaten Daten kommen kann. Dazu zähle ich noch nicht mal das Spiel selbst, sondern dein Konto selbst.

CURSIN_IT · 8. Februar

Bitsqueezer schrieb: »

Ein halbwegs sicheres Passwort genügt hier völlig, ein Brute-Force-Attack zum Heausfinden eines Kennwortes kann man simpel umgehen mit einer Maximalzahl an ungültigen Anmeldungen.

Und seit wie vielen Jahrzehnten mahnst du nun schon als über alles erhabener ITler deine Mitmenschen zu sicheren Passwörtern? Hast du den Eindruck, dass es was bringt und sie sich dran halten? Meinst du nicht auch, dass man es dem DAU mit 2FA per Authenticator viel einfacher machen würde? Ob man nun ein Passwort in eine Login-Maske schreibt oder aber einen Login-Versuch am Smartphone bestätigt - der Aufwand ist nahezu identisch.

Es geht auch nicht um Hacker die Geld aus ESO-Accounts zutschen. Natürlich haben die kein Interesse an ESO-Accounts. Kompromittierte ESO-Accounts sind in erster Linie von anderen ESO-Spielern übernommen worden. Der Shice passiert täglich und frustriert nicht wenige.

Bitsqueezer · 8. Februar

Was hast Du denn für ein Problem? "Über alles erhaben" - was soll das?

Ich möchte keine App, die im Hintergrund unbekannte Informationen z.B. über meine Handynr. an ESO übermittelt.

Und das passiert "täglich"? Weia...was für eine maßlose Übertreibung.

Arcon2825 · 8. Februar

Bitsqueezer schrieb: »

Ein halbwegs sicheres Passwort genügt hier völlig, ein Brute-Force-Attack zum Heausfinden eines Kennwortes kann man simpel umgehen mit einer Maximalzahl an ungültigen Anmeldungen.

Die F2A sichert deinen Account selbst dann noch, wenn der Angreifer bereits Dein Kennwort kennt. Sei es, weil Deine Zugangsdaten in irgendeinem Daten Leak aufgetaucht sind oder er Dein System kompromittiert hat. Jetzt wirst Du vermutlich fragen „Wieso Daten Leak und ausgerechnet ESO?“, aber Du würdest Dich wundern, wie viele Leute die gleichen Login Daten für alle ihre Accounts benutzen.

Bitsqueezer schrieb: »

Für Hacker gibt es 100% mehr andere attraktivere Ziele, als 10 Chars eines Users zu übernehmen und damit dann was zu machen? Kronen gegen Gold zu tauschen?...;)
Einfach mal auf dem Teppich bleiben.

Woher glaubst Du kommt das ganze Gold, das von Gold Sellern angeboten wird? Ich gebe Dir einen Tipp: sie farmen das nicht nebenbei in der Mittagspause. Der Großteil stammt von übernommenen Accounts und ja, das passiert täglich, auch wenn die Foren nicht voll damit sind. Schau einfach mal rüber in den anderen Thread zu dem Kumpel, der sich fünf Monate lang nicht gerührt hat obwohl er komische Aktivitäten auf seinem Account entdeckt hat.

Wolfshade · 8. Februar

CURSIN_IT schrieb: »

Kompromittierte ESO-Accounts sind in erster Linie von anderen ESO-Spielern übernommen worden.

Wie kann denn so etwas passieren bzw. sollte man sich Fragen wie kommen diese überhaupt an die Daten?

Kommt man über den Loginablauf bei Eso an die Daten oder über andere Wege?

Wie könnte diese 2FA hier verhindern das andere an deine Logindaten kommen?

Diese 2FA bringt keinen Mehrwert in Punkto Datensicherheit, sondern lediglich im Bezug darauf das mit den Daten weniger angefangen werden kann und ein Gefühl von mehr Sicherheit suggeriert wird. Das kausale (grundlegende) Problem, wo und wie kommt jemand an deine Daten, was tatsächliche Datensicherheit wäre, wird dadurch leider in keinster Weise behoben oder angepackt.

Sarim · 8. Februar

ESO hat eine 2FA...

MFA, oder im speziellen 2FA unterscheidet nur in der Anzahl der Faktoren und ist nicht gleichbedeutend mit einer Authenticator App.

Ein Kennwort kann ein Faktor sein, muss es aber nicht.
Genau so wie ein OTP (one time Passwort) ein Faktor sein kann, aber nicht muss.

Grundsätzlich muss ein Faktor "nur" einer der folgenden Arten entsprechen:

- Wissen (Kennwort, Sicherheitsfragen, Pin,...)
- Besitz (Keycard, Gerät, Zertifikat,...)
- Biometrie (Fingerabdruck, Iris, Sprache, Gesicht, Venenabbild der Hand..)
- Standort (IP-Geolokalität,...)

Demnach haben wir hier eine recht nutzerfreundliche MFA bereits aktiv.
Biometrische Merkmale sind nicht nur aus Datenschutzsicht bedenklich, sondern für eine derartige Anwendung schlichtweg übertrieben.

Ja, man könnte als weiteren Faktor sicherlich eine zeit-/eventbasierte Kennwortanfrage einbauen (E-Mail, SMS oder eben die Authenticator App), aber für den Anwendungsfall ist das eben absolut ausreichend.
Die maximalen Folgen können relativ entspannt vom Betreiber "rückgängig" gemacht werden.

Übrigens:
Wieso wurde mein Lebtag noch kein Account von mir "gehackt"?
Die absolute Ausnahme stellt ein Versagen des entsprechenden Betreibers da. Wenn beispielsweise, wie bereits passiert, Kennwörter im Klartext abgespeichert werden, hat man natürlich immer verloren. Da schützt dann aber der zweite Faktor und der Umstand, dass man kein Kennwort zweimal verwendet

Kennwörter bzw. Authentifizierungsprozesse sind nur in Ausnahmefällen ein technisches Problem, sondern vielmehr ein menschliches, wie @CURSIN_IT nennt.

Die Passwortrichtlinien, auch die vom BSI, orientieren sich stets danach, die Balance zwischen Sicherheit und Nutzerfreundlichkeit zu finden.

Während viele Leute ihre Häuser/Wohnungen mit Gitterstäben, Zäunen oder gar mehreren Schlössern sicher, gilt selbiges (leider) nicht für die digitale Welt.

NirnTraveler · 8. Februar

Vielleicht wäre die Möglichkeit einer F2A optional zu aktivieren für viele eine interessante Option?

Es gibt einige, die sehr viel Zeit und Geld in den Account gesteckt haben.

Freundlich Grüsst, der
Nirn-Traveler

Arcon2825 · 8. Februar

Wolfshade schrieb: »

Wie kann denn so etwas passieren bzw. sollte man sich Fragen wie kommen diese überhaupt an die Daten?

Kommt man über den Loginablauf bei Eso an die Daten oder über andere Wege?

Sarim schrieb: »

Die absolute Ausnahme stellt ein Versagen des entsprechenden Betreibers da. Wenn beispielsweise, wie bereits passiert, Kennwörter im Klartext abgespeichert werden, hat man natürlich immer verloren. Da schützt dann aber der zweite Faktor und der Umstand, dass man kein Kennwort zweimal verwendet

Viele Systeme verwenden heutzutage die E-Mail Adresse und ein Passwort zur Authentifizierung. Sofern der Benutzer nicht für jeden einzelnen Dienst ein separates Passwort vergibt, reicht also nur eine schwere Lücke in einem der verwendeten Dienste aus, um mit den erbeuteten Daten auf gut Glück auch andere Accounts zu übernehmen. Wenn ein Angreifer erst mal Zugriff auf den E-Mail Account hat, ergibt sich vieles von selbst. Denn dort finden sich häufig alle notwendigen Informationen, um weitere Konten zu übernehmen.

CURSIN_IT · 8. Februar

Bitsqueezer schrieb: »

Was hast Du denn für ein Problem? "Über alles erhaben" - was soll das?

Ich möchte keine App, die im Hintergrund unbekannte Informationen z.B. über meine Handynr. an ESO übermittelt.

Und das passiert "täglich"? Weia...was für eine maßlose Übertreibung.

Alles einfach mit dem Satz "Ein halbwegs sicheres Passwort genügt hier völlig" abtun, ist halt über-alles-erhaben und im Jahre 2024 mMn realitätsfern. Der Normalo kann das heutzutage überhaupt nicht mehr umsetzen ohne sich die Passwörter auf einen Zettel aufzuschreiben oder die Passwörter halbwegs gleich zu lassen (als dummes Beispiel 1234ESO, 1234AMAZON, 1234GMX). Beides ist unglücklich. Zumal bei halbwegs gleichbleibenden Passwörtern ein geleaktes Passwort reicht um auf andere schließen zu können. Gerade das passiert ständig und dieses Problem ist omnipräsent. Einem Kumpel ist gerade der komplette PS-Account deswegen abhanden gekommen. Sony sieht sich außer Stande da etwas zu unternehmen und rät zu einer Authenticator-App. In der ESO-Raid-Gruppe meiner Freundin wurde ebenfalls ein XBox-Account übernommen. Betroffener Spieler kam wochenlang nicht rein. Ewiges Hin-und-Her. Das meine ich mit "passiert täglich" und würde mit einem Authenticator nicht passieren. Wenn du nur bis zum Rand deines Untertassentellers gucken kannst, tut es mir leid.

Diebesgut · 8. Februar

... ich habe eine email Adresse extra für Spiele und für jedes Spiel ein anderes Passwort. Dazu ein Buch und Bleistift, dort schreibe ich alles wichtige wie angegebene Antworten auf Sicherheitsabfragen hinein.

Meine Telefonnummer bekommt niemand und ich installiere auch keine datenaustauchenden apps auf meinem alten Handy.

Bei mir wird jetzt nicht soooo oft eingebrochen und das schlaue Buch geklaut, meine Playstation benutze nur ich.... für Spiele langt mir das so.

Wolfshade · 8. Februar

Danke @Arcon2825 , es waren hypothetische Fragen. Aber du sagst, es. Der reine Eso-Login ist vermutlich nicht das Problem.

E-Mail - Passwortgeschützt

Konto-Login - Passwortgeschützt

ID/Mac Überprüfung

...und trotzdem passiert es und daran wird auch eine vierte Methode vermutlich nichts ändern und auch nicht wenn ich noch mehr private Daten angebe wie z.B. eine Telefonnummer um eine SMS zu erhalten. IdR dienen solche Maßnahmen mehr den Betreibern welche sich selber rechtlich absichern (müssen) als der Einzelperson. Frag die betroffenen Kunden der Postbank aus dem letzten Jahr. Die haben/hatten auch alle diese, was hier als 2FA bezeichnet wird und haben natürlich auch keine datenaustauschenden Apps verwendet. Der reine Postbank-Login war auch da nicht das Problem und im Bezug auf ihre Datensicherheit und das vorhandenem Wertvermögen, hat sie dies auch nicht geschützt.

Im Nachhinein, es waren (natürlich) doch datenaustauschenden Apps, jede App tut dies. Die Betroffenen wussten nur nichts davon

nathamarath · 8. Februar

2FA - nope. Weil: 1) nein danke, ich verwende ein starkes Passwort und 2) eine daten-, finanz- oder sicherheitsrelevante authenticator-app auf einem android- oder apple-Gerät zu installieren, halte ich generell für paradox. Man könnte ja, wenn unbedingt gewünscht, weil trendy, einen TAN-Generator nebst Karte mit ESO-Logo anbieten, den man zuhause benutzen kann - sicherer geht's nicht, einen Wohnungseinbruch durch einen ESO-Süchtigen, der dein Passwort errät und Zugriff auf deinen TAN-Generatur sowie deine ESO-Card hat, außen vorgelassen.

Nachtrag: Bei letztgenannter Variante würde ich das Spiel natürlich aufgeben.

NirnTraveler · 8. Februar

TAN?
Das war doch mal was aus den 90ern für Bankgeschäfte :-)
idealerweise als Liste ausgedruckt.

Daneben möchte ich mich bei allen für die aufschlussreichen Kommentare und der Diskussion bedanken.

Freundlich Grüsst, der
Nirn-Traveler

CURSIN_IT · 8. Februar

Wolfshade schrieb: »

Diese 2FA bringt keinen Mehrwert in Punkto Datensicherheit, sondern lediglich im Bezug darauf das mit den Daten weniger angefangen werden kann und ein Gefühl von mehr Sicherheit suggeriert wird. Das kausale (grundlegende) Problem, wo und wie kommt jemand an deine Daten, was tatsächliche Datensicherheit wäre, wird dadurch leider in keinster Weise behoben oder angepackt.

Ich kann das Argument nicht nachvollziehen. Wenn ich mal in die Sicherheitsempfehlungen meines Smartphones schaue, wird mir angezeigt, dass meine Zugangsdaten von forums.elderscrollsonline.com und diversen anderen Seiten bei einem Datenleck gefunden wurden. Jede Webseite hatte nun ein anderes generiertes Passwort. Die Passwörter waren also sehr stark und verschieden. Geleaked worden sind die Zugangsdaten, weil die Betreiber der Webseiten gehackt worden sind und nicht weil ich sie auf meinem Gerät speichere. Hätte man nun auf diesen Webseiten eine 2FA per Authenticator könnte man mit diesen Zugangsdaten nichts anfangen. Man kann nun natürlich weiterhin denken ein sicheres Passwort zu haben - wenn der Betreiber gehackt wird, bei dem man die Zugangsdaten nutzt - hilft alles nichts. Ob man es auf nem Zettel aufgeschrieben hat oder aber ein übelst ausgefeiltes Passwort hatte. Prove me wrong!

Als Nachtrag noch: die geleakten Zugangsdaten vom ESO-Forum sind über zwei Jahre alt und von mir längst auch ohne Wissen des Leaks geändert worden.

Zabagad · 8. Februar

CURSIN_IT schrieb: »

Wolfshade schrieb: »

Diese 2FA bringt keinen Mehrwert in Punkto Datensicherheit, sondern lediglich im Bezug darauf das mit den Daten weniger angefangen werden kann und ein Gefühl von mehr Sicherheit suggeriert wird. Das kausale (grundlegende) Problem, wo und wie kommt jemand an deine Daten, was tatsächliche Datensicherheit wäre, wird dadurch leider in keinster Weise behoben oder angepackt.

Ich kann das Argument nicht nachvollziehen. Wenn ich mal in die Sicherheitsempfehlungen meines Smartphones schaue, wird mir angezeigt, dass meine Zugangsdaten von forums.elderscrollsonline.com und diversen anderen Seiten bei einem Datenleck gefunden wurden. Jede Webseite hatte nun ein anderes generiertes Passwort. Die Passwörter waren also sehr stark und verschieden. Geleaked worden sind die Zugangsdaten, weil die Betreiber der Webseiten gehackt worden sind und nicht weil ich sie auf meinem Gerät speichere. Hätte man nun auf diesen Webseiten eine 2FA per Authenticator könnte man mit diesen Zugangsdaten nichts anfangen. Man kann nun natürlich weiterhin denken ein sicheres Passwort zu haben - wenn der Betreiber gehackt wird, bei dem man die Zugangsdaten nutzt - hilft alles nichts. Ob man es auf nem Zettel aufgeschrieben hat oder aber ein übelst ausgefeiltes Passwort hatte. Prove me wrong!

Als Nachtrag noch: die geleakten Zugangsdaten vom ESO-Forum sind über zwei Jahre alt und von mir längst auch ohne Wissen des Leaks geändert worden.

Vielleicht habe ich ja einen Denkfehler, denn ich gehe bisher davon aus, dass selbst wenn jemand mein eso-Passwort kennt (wie auch immer er das geschafft hat - von mir aus durch den Leak den du beschreibst UND ich das selbe Passwort im Forum und Eso hätte), dass er damit nix anfangen kann, solange er nicht gleichzeitig Zugriff auf meine emails oder Rechner hat. Ist das falsch?
Denn dann sollte ich mein bisher eher mittelstarkes PW mal auf meinen Bank/email etc. Standard anheben

Wenn man natürlich die selben PW im Forum und in Eso und beim email-acc und und und hat, ja dann...

Nachtrag noch - ich glaube ja, dass das Aufschreiben von PW deutlich sicherer ist, als zu viele Sachen gleichzeitig auf dem Smartphone zu machen.

Wolfshade · 8. Februar

Solange etwas nicht auf digitalen Geräten mit digitalem Datentransfer ausgetauscht wird, würde ich persönlich es als die sicherste Methode ansehen.

Token ?

Könnte auch eine Möglichkeit sein. In Form eines schönen Folianten mit Eso-Logo, kann man den Leuten bestimmt verkaufen. Das Risiko Endgerät und Datentransfer bleiben halt auch dort (wie im Link) erhalten. Wenn ich mich recht erinnere war es beim Beispiel Postbank eine App aus dem offiziellen Appstore (welche mit der Postbank rein gar nichts zu tun hatte).

Wie wäre ein physikalischer Token bei dem vom Hersteller aus, für 2000?? Logins jeweils eine Tan gespeichert wird und welches zur Benutzung beim Endverbraucher keinerlei Datenverbindung benötigt. Die Tans sind mit deinem Konto bei ZOS verknüpft, du öffnest den "Folianten des sehenden Auges", eine Tan wird dir angezeigt, du gibst sie ein -> Login

Bitsqueezer · 8. Februar

@CURSIN_IT :
Was sollen diese ständigen, unterschwelligen Angriffe?
"Wenn du nur bis zum Rand deines Untertassentellers gucken kannst, tut es mir leid. " und " ist halt über-alles-erhaben und im Jahre 2024 mMn realitätsfern"

Man muß nicht mit Kanonen auf Spatzen schießen, und nicht absolut jedes System, das einen Login benötigt, muß hochsicherheitsmäßig behandelt werden.
Und ESO gehört dazu, wie jedes andere Spiel.

Und wie Sarim schon schrieb: ESO hat eine 2FA, was ich ja auch zuvor schon geschrieben habe, nämlich die Identifikation des Gerätes beim ersten Zugang bzw. bei jedem Wechsel des Gerätes.
Selbst wenn also jemand mein Kennwort herausgefunden hat, nützt es ihm genau - nichts. Er würde sich auf seinem Gerät anmelden und ESO meldet dann, daß das nicht der bisherigen ID entspricht und schickt MIR eine Mail mit dem Code, den ich dann eingeben muß. Das ist bereits 2FA.
Ohne den Code kommt der Angreifer nicht weiter und ich weiß über die Mail automatisch, daß es jemand anders versucht hat.
Wieviel Sicherheit brauchst Du darüber hinaus noch für die ach so wertvollen Daten des ESO-Accounts?

@Arcon2825 :
Auch an Dich, schön, wenn man Andere kritisiert und selbst einfach nur leere Behauptungen von sich gibt.

Woher glaubst Du kommt das ganze Gold, das von Gold Sellern angeboten wird? Ich gebe Dir einen Tipp: sie farmen das nicht nebenbei in der Mittagspause. Der Großteil stammt von übernommenen Accounts und ja, das passiert täglich, auch wenn die Foren nicht voll damit sind. Schau einfach mal rüber in den anderen Thread zu dem Kumpel, der sich fünf Monate lang nicht gerührt hat obwohl er komische Aktivitäten auf seinem Account entdeckt hat.

Echt? Die machen das täglich und niemand beschwert sich darüber hier oder in anderen Foren? Glaubst Du doch selbst nicht, wo hier wegen jedem Popelproblem gleich jeder eine Riesenwelle macht. Und den anderen Thread habe ich gelesen, auch darin geantwortet, wenn Du selbst gelesen hast. Was da das genaue Problem ist, kann man eh nicht sagen, aber wahrscheinlicher ist etwa ein Keylogger-Virus o.Ä. Und das ist genau EIN Fall, bei dem nicht gesichert ist, was da wirklich passiert ist.
Gold Seller können sich Gold einfach z.B. über Bots erarbeiten, da muß kein Account gehackt werden. Automatisches Farmen von Ressourcen etwa. Habe selbst so einen mal im Public Dungeon von Rift gesehen, der an einem Schürfplatz von Rubediterz stand und nur alle paar Minuten das respawnte Erz automatisch ausgegraben hat. Wenn man davon genug platziert, bekommt man schnell Gold zusammen. Und das ist VIEL einfacher, als einen Account zu hacken, bei dem man u.U. sehr schnell erwischt wird.
Mancher bietet das gar offiziell an - angeblich natürlich von einer Horde echter Spieler zusammengetragen...hüstel...:
https://armadaboost.com/buy/gold-farming-eso#tab-details
Oder noch aus den Anfängen von ESO:
https://www.elderscrollsportal.de/themen/eso-die-nervigen-gold-seller.49470/
Oder sowas:
https://mein-mmo.de/goldseller-botten-burnot/

Gut programmierte Bots sind viel einfacher/effektiver im Goldsammeln.

CURSIN_IT · 8. Februar

Zabagad schrieb: »

Vielleicht habe ich ja einen Denkfehler, denn ich gehe bisher davon aus, dass selbst wenn jemand mein eso-Passwort kennt (wie auch immer er das geschafft hat - von mir aus durch den Leak den du beschreibst UND ich das selbe Passwort im Forum und Eso hätte), dass er damit nix anfangen kann, solange er nicht gleichzeitig Zugriff auf meine emails oder Rechner hat. Ist das falsch?
Denn dann sollte ich mein bisher eher mittelstarkes PW mal auf meinen Bank/email etc. Standard anheben

Wenn man natürlich die selben PW im Forum und in Eso und beim email-acc und und und hat, ja dann...

Nachtrag noch - ich glaube ja, dass das Aufschreiben von PW deutlich sicherer ist, als zu viele Sachen gleichzeitig auf dem Smartphone zu machen.

Ich bin mir unsicher, aber die Zugangsdaten fürs Forum hier sollten unabhängig von denen im Spiel sein. Wobei das zumindest für die XBox sehr merkwürdig verknüpft ist. Mit deinem Nachtrag zum Smartphone hast du natürlich Recht. Ich speichere auf meinem Smartphone auch nur weniger relevante Zugangsdaten. Aber auch hier gilt: es ist unerheblich ob das Gerät das PW gespeichert hat - der Leak passiert beim Betreiber der Seite und schützen kann da nur mindestens 2FA. Letztendlich macht das Smartphone auch nichts anderes als die Webseite "have I been pwned". Dort kann man checken ob man von einem Leak betroffen ist. Auch wenn "Experten" und selbst das BSI meinen, dass diese Webseite bedenkenlos genutzt werden kann, fühlt es sich natürlich falsch an dort ne eMail oder gar Telefonnummer anzugeben und nachzuschauen. Man kann sich nun auch gar nicht darum scheren, aber in den Leaks steht man trotzdem drin. Da die Leaks meist recht alt sind, hat man idealerweise eh schon das PW geändert. Und da sind wir wieder bei dem Punkt: welcher normale User kann das denn heutzutage noch alle drei Monate ändern und dabei Passwörter erstellen die ohne Rückschlüsse auf andere PWs sind die er sich unaufgeschrieben merken kann? Die allerwenigsten.

Von daher sehe ich gerade in den neuen passwortlosen Login-Möglichkeiten a la Authenticator eine sinnvolle Sache für die Zukunft. Wie man sagen kann "ne App kommt mir nicht aufs Gerät" während man sein PW aber in einer Umgebung eingibt die viel systemfremder und somit unsicherer als der App-Hersteller ist ... begreif ich nicht.

Wolfshade · 8. Februar

CURSIN_IT schrieb: »

Wolfshade schrieb: »

Diese 2FA bringt keinen Mehrwert in Punkto Datensicherheit, sondern lediglich im Bezug darauf das mit den Daten weniger angefangen werden kann und ein Gefühl von mehr Sicherheit suggeriert wird. Das kausale (grundlegende) Problem, wo und wie kommt jemand an deine Daten, was tatsächliche Datensicherheit wäre, wird dadurch leider in keinster Weise behoben oder angepackt.

Ich kann das Argument nicht nachvollziehen...Hätte man nun auf diesen Webseiten eine 2FA per Authenticator könnte man mit diesen Zugangsdaten nichts anfangen.

Was kannst du daran nicht verstehen wenn du zwei Sätze weiter genau das gleiche schreibst?

Vielleicht habe ich mich schlecht ausgedrückt: Du als Nutzer/Endkunde könntest auch 17FA haben und benutzen müssen. Ein mehr an Sicherheit/Datensicherheit (wo kommen die Daten her) hättest du als Nutzer deshalb nicht. Denn die Daten kommen ja irgendwo her, egal wie oft du dich irgendwo authentifizierst.

Genau deshalb habe ich geschrieben "...lediglich im Bezug darauf das mit den Daten weniger angefangen werden kann."

CURSIN_IT schrieb: »

Wie man sagen kann "ne App kommt mir nicht aufs Gerät" während man sein PW aber in einer Umgebung eingibt die viel systemfremder und somit unsicherer als der App-Hersteller ist ... begreif ich nicht.

...wie war des , Keylogger = 1 Fall?

Hast du heute schlecht geschlafen oder was ist los? Dann nutz doch die verdammte Bildschirmtastatur und hoffe mal das die keine Daten irgendwo in eine vollkommen fremde Umgebung sendet, dein Arbeitsspeicher oder irgendein hardcoded-Sicherheitschip ausgelesen wird, Addons, welche deine Daten auslesen und in eine unsichere Umgebung schicken oder nutze einfach weiter TTC oder andere Combat-Tracking Dinger die deine Daten in einer deiner für dich garantiert sicheren Umgebung nutzen. Kannst auch deinen Account mit den Schatzsuchern verbinden, ist auch sicher vor allem in einer ganz sicheren Umgebung für dich. Versprochen, garantiert sicher und diskret, heute ist die Schatzsucher-Seite ein Linkportal für Online Glücksspiel, aber deine Daten sind in einer gartantiert sicheren Umgebung (gewesen), garantiert, versprochen, 100% sicher! Wurden die Datenbanken gelöscht? In einer sicheren Umgebung? Garantiert! 100% denn mein Handy zeigt mir genau wann und wo meine Daten mal aufgetaucht sind und alles andere ist Popanz.

Nur weil Daten in einem Leak auftauchen, weiß du noch lange nicht wo und wie die Daten alles gesammelt wurden.

Man Man Man...

CURSIN_IT · 8. Februar

Bitsqueezer schrieb: »

Man muß nicht mit Kanonen auf Spatzen schießen, und nicht absolut jedes System, das einen Login benötigt, muß hochsicherheitsmäßig behandelt werden.
Und ESO gehört dazu, wie jedes andere Spiel.

Und wie Sarim schon schrieb: ESO hat eine 2FA, was ich ja auch zuvor schon geschrieben habe, nämlich die Identifikation des Gerätes beim ersten Zugang bzw. bei jedem Wechsel des Gerätes.
Selbst wenn also jemand mein Kennwort herausgefunden hat, nützt es ihm genau - nichts.

Und wieder bestätigst du, dass du nur deinen Tellerrand kennst. ESO hat diese 2FA schon nicht auf den Konsolen. Und wenn mit ESO-PC-Account selbst das eMail-Postfach kompromittiert ist, hilft diese Argumentation auch nicht weiter. Oder wie erklärst du dir das Problem in dem erst vor zwei Tagen eröffneten Thread hier:
https://forums.elderscrollsonline.com/de/discussion/651990/account-gebannt-und-anscheinend-email-adresse-geaendert
Da wurde selbst die hinterlegte eMail-Adresse geändert. Da kann man nun mit "Oh mein Gott! Selbst Schuld!" daneben stehen und klugscheißen oder aber mal Dinge wie 2FA mit Authenticator zumindest optional ermöglichen und nicht noch dagegen anreden.

CURSIN_IT · 8. Februar

Wolfshade schrieb: »

...wie war des , Keylogger = 1 Fall?

Okay. Du hast du den Authenticator noch nicht verstanden.

Wolfshade · 8. Februar

...und du immer noch nicht/schon wieder nicht gelesen...

Bitsqueezer schrieb: »

aber wahrscheinlicher ist etwa ein Keylogger-Virus o.Ä. Und das ist genau EIN Fall, bei dem nicht gesichert ist, was da wirklich passiert ist.

CURSIN_IT · 8. Februar

Wolfshade schrieb: »

...und du immer noch nicht/schon wieder nicht gelesen...

Bitsqueezer schrieb: »

aber wahrscheinlicher ist etwa ein Keylogger-Virus o.Ä. Und das ist genau EIN Fall, bei dem nicht gesichert ist, was da wirklich passiert ist.

Wahrscheinlich
Keylogger-Virus
EIN Fall
der ZUFÄLLIG vor zwei Tagen war
Und sonst ist NIE etwas
Aha!
So so!

Und ein paar Stunden vorher schreiben, dass doch kein Hacker Interesse an ESO-Accounts hat. Na was denn nun? Das ist das was ich meine. Wie soll man das noch ernst nehmen und überhaupt drauf eingehen? Da wird sich doch wie ein Aal gewunden.

Ein Authenticator wäre PASSWORTLOS. Da solltet ihr mal drüber nachdenken und erklären warum ihr trotzdem noch an Passwörtern festhalten wollt. Da lese ich keinerlei Argumente. Ich such ja für mich selber auch Gegenargumente gegen dieses System.

Bitsqueezer · 8. Februar

@CURSIN_IT : Du willst mir sagen, daß bei Konsolen keine Mailadresse bei der Anmeldung erforderlich ist?

Dann erkläre mal das hier:
https://help.elderscrollsonline.com/#de/answer/29470
https://help.elderscrollsonline.com/#de/answer/25275

Ich lese hier:

Wichtig: Nachdem Sie Ihr ESO-Konto über die Konsole erstellt haben, haben Sie 72 Stunden Zeit, um es zu verifizieren. Eine Bestätigungs-E-Mail wird an die mit Ihrem Konto verknüpfte E-Mail-Adresse gesendet.

und

Verwenden Sie bitte eine E-Mail-Adresse, unter der Sie den Bestätigungscode erhalten können, der anschließend an Sie versendet wird. Sie müssen auf den Link in dieser E-Mail klicken, um Ihr Konto zu verifizieren und die Erstellung Ihres ESO-Kontos abzuschließen.

Also für mich liest sich das nach dem genau gleichen Vorgang. Denn auch die Konsolen haben IP-Adressen, MAC-Adressen und andere Identifikationsmethoden, so daß man das Gerät beim Login identifizieren kann.

Auch bei Playstation:
https://help.elderscrollsonline.com/#de/answer/28529

Ist ja seltsam, auch bei Konsolen wird nur mit Wasser gekocht.

Und wenn mit ESO-PC-Account selbst das eMail-Postfach kompromittiert ist, hilft diese Argumentation auch nicht weiter.

Ah ja. Also das EMail-Konto ist in Deiner Welt auch schon automatisch mit kompromittiert. Was spinnst Du Dir noch zusammen, um Andere als "Klugscheißer" zu bezeichnen? Mal an die eigene Nase fassen.