2-Fach Authentifizierung für ESO

Wolfshade · 8. Februar

Ist doch vollkommen wumpe ob Authenticator, obiger Token, 3FA oder 8FA.

Sendet dein Authentifix keine Daten?
Greift der nicht auf irgendwas von dem jeweiligen Gerät zu?
Welche Berechtigung hatte denn z.B. der obige SW:TOD Authentitoken? Der war auch PASSWORTLOS, und?
Sendet der keine Daten in eine "unsichere Umgebung"?

Verknüpfung von Konten und Geräten dienen nicht der Datensicherheit, sondern sorgen dafür, dass noch mehr und noch einfacher gesammelt wird. Du kannst dein Handy, deine Telefonnummer, deine Kontakt, dein Fotos gerne mit ZOS/ESO/TWITCH oder was weiß ich verknüpfen um dich zweifelsfrei autentifizieren zu lassen und das jeweilige Gerät dir zweifelsfrei zuordnen lassen zu können.

Was machst du wenn dein Handy beim Karneval verloren geht. Da ist dein Token drauf, also kein Einloggen möglich. Dann schau mal wie viele Probleme es alleine mit dieser Art von digitalem Token gab. Dafür brauchte man auch wieder einen Sicherheitsschlüssel, selbst wenn man das Spiel auf dem PC neu installiert hat. Sicherer, benutzerfreundlicher, unkomplizierter war der physikalische Tangenerator/Token aus den 90`ern allemal.

Und alles schön und gut, wer sich heute Eso über Steam oder Epic lädt um ein paar Stündchen zu daddeln, der wird sich auch nicht so einen Token zulegen und schon gar nicht wird es das Spiel spielen wenn dies ausschließlich über so etwas funktioniert. Heißt, diejenigen werden das augenscheinliche Plus an Sichereheit eh nicht haben. Ein optinales externes und physikalisches Token, warum denn nicht?

CURSIN_IT · 8. Februar

Bitsqueezer schrieb: »

Ah ja. Also das EMail-Konto ist in Deiner Welt auch schon automatisch mit kompromittiert. Was spinnst Du Dir noch zusammen, um Andere als "Klugscheißer" zu bezeichnen? Mal an die eigene Nase fassen.

Mnoar! Wenn - wie in dem verlinkten Thread geschrieben - die eMail-Adresse geändert wurde (!!!) dann MUSS jemand Zugriff auf den Posteingang der alten Adresse haben um die Änderung zu bestätigen!

Und zu den Konsolen: Keine Ahnung was du mir mit den Links sagen möchtest ... aber ESO ist es egal von welcher Konsole aus du dich einloggst, weil ESO an den XBox-Account gekoppelt ist. Ich kann mich auf jeder Konsole weltweit mit meinem XBox-Account einloggen und könnte ESO spielen ohne, dass noch gegengecheckt wird ob ich das auf einem neuen Gerät versuche. Das checkt in meinem Fall nur die aktivierte 2FA per Authenticator-App von meinem Microsoft-Account gegen. OHNE diese App, könnte ein gemopster XBox-Account das problemlos von überall auf der Welt. Deswegen macht 2FA mit App zumindest auf den Konsolen Sinn. Es passiert hier kein MAC- oder IP-Check von ESOs Seite aus. Das sollte am PC anders sein.

Arcon2825 · 8. Februar

Bitsqueezer schrieb: »

Also für mich liest sich das nach dem genau gleichen Vorgang. Denn auch die Konsolen haben IP-Adressen, MAC-Adressen und andere Identifikationsmethoden, so daß man das Gerät beim Login identifizieren kann.

Es ist nicht der gleiche Vorgang. Man bestätigt ein einziges Mal per Mail, dass der Account mit dem Xbox-Live oder PSN-Account verknüpft wird. Danach wird ESO nie wieder nach einer Bestätigung fragen, auch wenn es einem neuen Gerät installiert wird.

CURSIN_IT · 8. Februar

Wolfshade schrieb: »

Ist doch vollkommen wumpe ob Authenticator, Token, 3FA oder 8FA.

Sendet dein Authentifix keine Daten?
Greift der nicht auf irgendwas von dem jeweiligen Gerät zu?
Welche Berechtigung hatte denn z.B. der obige SW:TOD Authentitoken? Der war auch PASSWORTLOS, und?
Sendet der keine Daten in eine "unsichere Umgebung"?

Klar sendet der Daten, aber diese wären in einer unsicheren Umgebung irrelevant für einen erfolgreichen Login Außenstehender. Und vor einer unsicheren Umgebung habt ihr doch Angst oder warum wollt ihr die nicht auf dem Smartphone? Also das Smartphone wäre doch dann die unsichere Umgebung oder? Der MS-Authenticator kennt keinen Benutzernamen und kein Passwort von der Seite auf der ich mich versuche einzuloggen. Der checkt nur gegen ob ich der bin, der die App autorisiert hat. Selbst Keylogger oder was weiß ich für Zeug gucken in die Röhre. Nun kann ich zwar ansatzweise nachvollziehen, dass Bitsqueezer Bedenken hat diese App zu installieren und ihr somit Zugriff auf Daten auf seinem Phone zu geben ... aber ich empfinde das in Zeiten wo Amazon und Microsoft über 50% aller Webseiten hosten als übertrieben. Wer davor Angst hat, sollte sich lieber nicht mehr im Netz bewegen. Das meinte ich mit "unsichere Umgebung". Angst haben Microsoft was zu erlauben, während man jeden Tag auf Webseiten surft die von Microsoft gehostet sind. Strange. Darf man aber gern auch anderer Meinung sein.

Sarim · 8. Februar

Arcon2825 schrieb: »

Sarim schrieb: »

Die absolute Ausnahme stellt ein Versagen des entsprechenden Betreibers da. Wenn beispielsweise, wie bereits passiert, Kennwörter im Klartext abgespeichert werden, hat man natürlich immer verloren. Da schützt dann aber der zweite Faktor und der Umstand, dass man kein Kennwort zweimal verwendet

Viele Systeme verwenden heutzutage die E-Mail Adresse und ein Passwort zur Authentifizierung. Sofern der Benutzer nicht für jeden einzelnen Dienst ein separates Passwort vergibt, reicht also nur eine schwere Lücke in einem der verwendeten Dienste aus, um mit den erbeuteten Daten auf gut Glück auch andere Accounts zu übernehmen. Wenn ein Angreifer erst mal Zugriff auf den E-Mail Account hat, ergibt sich vieles von selbst. Denn dort finden sich häufig alle notwendigen Informationen, um weitere Konten zu übernehmen.

Und genau das ist ja der Knackpunkt!
Wer überall dasselbe Kennwort nutzt, ist selbst die größte Schwachstelle.
Eine mehr als vermeidbare im Übrigen...

Der Fehler ist also nicht ESO, sondern schon viel früher passiert! Und das ist eine der goldenen Regeln - kein Kennwort mehrfach verwenden!
(Prinzipiell sollte auch keine Logik ableitbar sein).

Dazu passt auch die Aussage von @CURSIN_IT, wonach das Mail Postfach betroffen ist.

Dieses liegt auserhalb des Machtbereiches von ESO und betrifft dann so ziemlich viel.

Ich mein, wenn ich meine Haustüre offen stehen lasse, ist dann wirklich der Verkäufer meiner teuren Elektronik schuld, wenn diese geklaut wird?

Spinnen wir das doch mal weiter.
Du erwartet einen 3. bzw. alternativen Faktor für ESO, um zu verhindern, den Account bei Verlust des Zugriffs auf das Postfach zu verlieren.

Das kritischere Postfach allerdings angemessen abzusichern ist da natürlich keine valide Option, oder?
Das Postfach, und das mag offensichtlich vielen nicht bewusst sein, ist eben eine sensitivere Anwendung als ESO. Demnach müssen hier auch stärkere Schutzregeln gelten, oder nicht?

Bitte nicht falsch verstehen, ich möchte mich nicht gegen den optionalen 3.Faktor wehren. Ich wehre mich nur gegen die Aussage, dass ESO keine 2FA hat, die de facto nämlich vorhanden ist.

Der Einwand mit den Konsolen ist berechtigt, meines Wissens nach sollte das dort auch so sein, falls nicht möchte ich mich für meine Unwissenheit hier entschuldigen.

Pea1950 · 8. Februar

Nein!! Schlicht und ergreifend nein. Wenn dieser Schritt freiwillig ist, dann wegen mir. Bei verschiedenen Accounts ist das eine Freiwilligkeit.

Protector1981 · 8. Februar

Wie schon mal erwähnt, ist die Passwortlose Navigation einfach die sicherste. Allerdings ist das nicht ganz so einfach umzusetzen.

Dann nutzt man dafür einen Dongle am PC bspw. Wenn der nicht am PC angeschlossen ist: Keine Chance. Ist mMn einfach die beste Option. Und das sollte absoluter Standard werden und zwar für ALLES.

Wolfshade · 8. Februar

CURSIN_IT schrieb: »

Und vor einer unsicheren Umgebung habt ihr doch Angst oder warum wollt ihr die nicht auf dem Smartphone?

Ne, ich habe das nur aufgegriffen da es von dir in einem Beitrag kam, wenn man in einer unsicheren Umgebung ein Passwort eingibt. Was soll/könnte denn eine "unsichere Umgebung" sein. Das kann ja nun alles sein.

Mir geht es lediglich darum, dass ich nicht bereit bin mit jedem Betreiber von irgendwas im Internet sowohl meine Daten am PC wie auf dem Smartphone, meiner Armbanduhr, einem Herzschrittmacher, einem Blutdruck-/Zuckermessgerät mit **** zu teilen. Dies hat nichts mit einem Mehr an Sicherheit/Schutz der Nutzer und ihrer Daten zu tun.

Egal wo, es sind und waren ausschließlich Sichereheitsbehörden mit mehr als paranoiden Zügen, welche massiv versuchen überall und durch allen poilitischen Gremien (aktuell EU), noch mehr Daten zu erheben und nutzen zu dürfen. Weder ein Handelshaus, noch einen Softwarekonzern gehen meine persönlischen Daten etwas an. Wenn sie die schützen wöllten, würden sie sie nicht sammeln.

Wer alle Daten von jedem sammeln und für jeden Sicherheitsaffen zugänglich machen will, tja der darf auch passwortlose Methoden bewerben die noch leichter noch mehr Daten sammeln und sie teilen. Der jenige sollte dann aber niemals mit Passwörtern oder Hackern versuchen zu argumentieren.

Die Bauern verstehen den Begriff "Brandmauer" nicht? Doch, sehr viele verstehen den Begriff sehr gut und es überfordert auch keinen Menschen seine Passwörter zu benutzen oder zu ändern. Was deine Vorschläge und Argumentation zeigt, du schaffst damit jegliche selbstbestimmte Sicherheit ab, ebenso wie die Datensicherheit. Anderes passiert aber täglich, jaja.

CURSIN_IT · 8. Februar

Wolfshade schrieb: »

Was deine Vorschläge und Argumentation zeigt, du schaffst damit jegliche selbstbestimmte Sicherheit ab, ebenso wie die Datensicherheit. Anderes passiert aber täglich, jaja.

Kannst du das mal am ESO-Beispiel konkretisieren? Ich sitz jetzt hier und hab meinen Microsoft-Account mit der MS-Auth-App verknüpft. Wenn ich mich nun mit meinem Benutzername auf irgendeiner Konsole oder irgendeinem Browser einloggen möchte (ohne Passwort), dann bekomme ich in der App ne Meldung und muss das freigeben. Anschließend bin ich ohne Passwort drin.

Du findest nun, dass ohne MS-Auth-App meine Sicherheit selbstbestimmter wäre? Ohne App bedeutet: wer den Benutzernamen und das Passwort hat, kommt rein. Gegebenenfalls prüft MS nun noch IP- und/oder MAC-Adresse und stellt ein anderes Gerät fest. Diese Daten werden also sowieso ausgetauscht und gegengecheckt um das zu gewährleisten. Inwiefern ist das nun besser und selbstbestimmter als das was das passwortlose Einloggen per App angeht? Für mich fühlt es sich mit App selbstbestimmter an.

Bitsqueezer · 8. Februar

@CURSIN_IT :
Du erstellst Dir Deine Welt, wie sie am besten zu Deiner Argumentation paßt, hm?

aber ich empfinde das in Zeiten wo Amazon und Microsoft über 50% aller Webseiten hosten als übertrieben.

Was ist das wieder für ein Unsinn? Wo holst Du solche Zahlen her? Es gibt etliche Websitehoster, auch wenn Amazon/MS das gerne hätten. Hier z.B von 2022:
https://www.hosttest.de/artikel/groesste-webhostinganbieter-in-deutschland

Da ist AWS (Amazon) gerade mal 5% und MS nicht mal erwähnt...

Nun kann ich zwar ansatzweise nachvollziehen, dass Bitsqueezer Bedenken hat diese App zu installieren und ihr somit Zugriff auf Daten auf seinem Phone zu geben

Ich muß hiermit meine Telefonnummer dem Anbieter (Microsoft im Beispiel) bekanntmachen, was etliche Zusatzinformationen über mich ermittelbar macht, die ich nicht, beginnend mit der Telefonnummer, an ZOS oder sonstwen weitergeben will. Den MS-Authentificator habe ich ausschließlich auf meinem Firmenhandy, weil ich dort gezwungen werde, ihn für Outlook/Teams zu benutzen. Ansonsten würde ich den ebensowenig verwenden.
Aber in heutiger Zeit ist ja jeder bereit, seine Daten bedenkenlos durch die Gegend zu schleudern. Muß jeder selbst wissen - und ich weiß, daß ich das nicht will.

@Wolfshade :

Mir geht es lediglich darum, dass ich nicht bereit bin mit jedem Betreiber von irgendwas im Internet sowohl meine Daten am PC wie auf dem Smartphone, meiner Armbanduhr, einem Herzschrittmacher, einem Blutdruck-/Zuckermessgerät mit **** zu teilen. Dies hat nichts mit einem Mehr an Sicherheit/Schutz der Nutzer und ihrer Daten zu tun.

Du sprichst mir aus der Seele. In jedem blöden Pillepallegerät muß mittlerweile eine Verbindung zu einer App eingebaut werden. Zahnbürste, Insulinspritze, Atemgerät - weia. Sogar der Tastaturtreiber erstellt online eine Heatmap, welche Tasten ich am häufigsten verwende (wenn ich ihm den Onlinezugang genehmigen würde). Es ist einfach nur noch krank - und die Leute machen alles mit. ("Ich habe doch nichts zu verbergen" - das übliche Weia-Argument.)

@CURSIN_IT :

Wenn - wie in dem verlinkten Thread geschrieben - die eMail-Adresse geändert wurde (!!!) dann MUSS jemand Zugriff auf den Posteingang der alten Adresse haben um die Änderung zu bestätigen!

Und wer sagt, daß das wirklich der Fall war? Von möglichen Bugs abgesehen, Accountsperrungen werden auch manuell durchgeführt und die Begründung einer Fehlermeldung sagt mal so gar nix. Hier kann ausschließlich der Support den Fall aufklären (was sie nicht öffentlich machen werden) und damit ist alles weitere Spekulation. Aber so entstehen Gerüchte über gehackte Accounts.

@Arcon2825 :

Es ist nicht der gleiche Vorgang. Man bestätigt ein einziges Mal per Mail, dass der Account mit dem Xbox-Live oder PSN-Account verknüpft wird. Danach wird ESO nie wieder nach einer Bestätigung fragen, auch wenn es einem neuen Gerät installiert wird.

Das ist ja schön, dann ist es eher eine Schwachstelle der Konsolen, dann können die Konsoleros ja gern eine 2FA-Authentifizierung einfordern. Aber ich bin sicher, daß die Konsolenhersteller für diese Art Accounts ihre eigenen Sicherungen haben:
Z.B. hier: https://support.xbox.com/de-DE/help/family-online-safety/shared-consoles/concurrent-signin

Notiz Wenn Sie versuchen, Spiele auf mehreren Geräten gleichzeitig zu starten, können Sie in den meisten Fällen aus Ihrer Spielsitzung ausgeschlossen werden. Dies schließt Spielesitzungen zwischen Xbox One- und Xbox Series X|S-Titeln ein.

Daneben hat der XBox-Account eine 2FA-Authentifizierung:
https://www.purexbox.com/news/2023/11/guide-how-to-enable-2fa-for-added-security-on-xbox
Ebenso das PSN:
https://www.playstation.com/de-de/playstation-network/two-step-verification/

@Protector1981 :

Dann nutzt man dafür einen Dongle am PC bspw. Wenn der nicht am PC angeschlossen ist: Keine Chance. Ist mMn einfach die beste Option. Und das sollte absoluter Standard werden und zwar für ALLES.

Ich bin froh, daß Dongles heutzutage mehr oder weniger ausgestorben sind. Die Idee war ja gut, aber da jeder Hersteller da was Eigenes macht, hat man am Ende (würde es jede Anwendung so machen) einen Dongle-Haufen rumliegen, nicht zu vergessen all die Probleme, die die Dinger immer wieder gemacht haben. Mit USB heute zum Glück wohl nicht mehr so, aber wer hat schon genug USB-Anschlüsse frei, wenn ich 5 Anwendungen benutzen will und am besten gleichzeitig, dann viel Spaß, wenn jeder Dongle eingesteckt sein muß...neeeee...:)

NirnTraveler · 8. Februar

Hallo zusammen

Eine Frage in die Runde: Wäre nicht ein optionaler zusätzlicher Schutz via Authenticator für Euch vorstellbar?
Natürlich müsste ZOS das noch implementieren, aber einen gewissen Mehrwehrt hätte es.

Was meint Ihr?

Freundlich grüßt, der
Nirn-Traveler

Wolfshade · 8. Februar

CURSIN_IT schrieb: »

Für mich fühlt es sich mit App selbstbestimmter an.

Bequemlichkeit ist für dich Selbststimmt, interessanter Ansatz der viele erfreuen dürfte. Ganz zu schweigen das du dies jetzt natürlich genau anders rum sehen musst, les dir mal die Nutzungsbedingungen aller verwendeter Software durch.

Nachdem du die Nutzungsbedingungen gelesen hast, MS ist da ein wirklich super Beispiel. Dann empfehle ich dir als nächstes, dich damit zu beschäftigen: Data-Privacy-Framework . Cool oder, die Beschäftigen sich sogar mit deiner Privatsphäre und sorgen sich sehr um deinen geschützen Datentransfer (naja zumindest nennen sie es so, denn eigentlich geht es um etwas anderes).

Dann suchst du mal das Gerichtsurteil des EUGH Rechtssache C-311/18 und liest dies bitte (es regelt den Datenverkehr und hat für alle Internetfreunde und Tätige Gültigkeit und bildet die Rechtsgrundlage auch für die DSVGO). Um es kurz zu machen:

https://www.dsgvo-portal.de/news/eugh_schrems_ii_c-311_18.php

Falls du weiter Fragen zu dem Urteil hast:

https://edpb.europa.eu/sites/default/files/files/file1/20200724_edpb_faqoncjeuc31118_de.pdf

Aber jetzt überlegst du mal warum wohl ausgerechnet MS die Prinzipien des Dataprivacynetzwerkes auf Grundlage eben jenes Gerichturteils nicht als legale Basis für den Datentransfer ihrer "Dienste/Services" in die USA oder eines Drittlandes anerkennt und sich einfach nicht dran hält. MS spicht diesem Gerichtsurteil einfach die Legalität ab.

Du magst hier etwas von "ungeschützen Umgebungen" erzählen und bist mit MS, deinem Smartphone und App mittendrin, hast keinerlei Rechte (also ungeschützt) und das Urteil, welches die EU Verordnung mit der US Verordnung gleichstellt, woraus sich natürlich Rechte und Pflichten für MS ergeben würden, erkennt MS einfach nicht an. Nicht böse gemeint, aber dann setzt du dem ganzen noch die Krone auf, in dem du meinst du wärst damit Selbstbestimmter.

Ich komme mit Benutzername und Passwort auch von überall an mein Konto und brauche dafür noch nicht ein mal eine App oder ein zweites Gerät. Es überfordert mich auch nicht wenn nötig jede Woche mein Passwort zu ändert, aber diese Bequemlichkeit.

Edith: Ach ja, ich hoffe natürlich du hast dies vorher schon alles gelesen hast. Du hättest ja auch das Recht dem zu Widersprechen. Kurzer Nachtrag: Du musst dem natürlich ausdrücklich zustimmt haben. Nicht einfach nur so weil da "weiter" steht. Sondern ausdrücklich! Das Wichtigste: Deine ausdrückliche Einwilligung zur Nutzung und den Nutzbedingungen, beruht (sollte zumindest), nein muss sogar auf Kenntnis dieser Sachlage passieren. Die hattest du ja, vielleicht auch nicht, was im weiteren auch eigentllich shiceegal ist denn du könntest ja Widerspruch einlegen oder gar Klagen. Ach ne, MS ist dieses Gesetz und deine Rechte ja shicegal, somit auch dein Datenschutz, denn es geht ja eigentlich um die nationale Sicherheit der größten und paranoidesten Militärmacht auf dem Globe.

CURSIN_IT · 8. Februar

@Wolfshade

Ich krieg Kopf. Ich wollte wissen warum es deiner Meinung nach selbstbestimmter ist es ZOS ohne Rückfrage checken zu lassen ob sich die MAC-Adresse geändert hat. Weil das passiert ja aktuell wenn PC-User die besagte Meldung bekommen. Das alles ist mMn weniger selbstbestimmt als das Beispiel der App-Variante. Auf der Konsole gibt es diesen Check nicht. Die App ist da der einzige Weg es zumindest für X-Konsoleros sicherer zu machen. Der ESO-Account ist im XBox-Account. XBox-Accounts werden gerne gehackt und schnell verkauft. Dann stehen sich zwei User gegenüber die eigentlich nur zocken wollen. Der eine hat mehr oder weniger illegal einen Account gekauft und der andere mit seinen Zugangsdaten geschludert. Das passiert ständig. Nicht mir. Nicht dir. Aber sehr sehr vielen anderen. Wenn man das einfach mal so hinnimmt, erkennt man, dass ne Auth-App sinnvoll ist. Es spricht nicht viel dagegen. Warum sollte man auch einer App von MS mißtrauen, wenn man auf einer Konsole von MS spielt. Mit so einer App verlieren die Schludrians dieser Welt nicht mehr ihre Accounts.

Es ging hier darum dem ESO-User Möglichkeiten an die Hand zu geben den eigenen Account sicherer zu machen. Statt da mal anzusetzen und Argumente auszutauschen wird hier lieber Bequemlichkeit reframed ohne mal zu erläutern warum man es für bequem erachtet. Was ein Nonsens! Dass der Bedarf an besserem Schutz da ist, zeigt dieses Forum mit diversen Threads doch immer wieder. Ich höre und lese täglich von Spielern denen der Account hops genommen wurde und empfehle da mittlerweile immer wieder den Authenticator, denn mein Standardhinweis-Hinweis "Mach dir einfach ein starkes Passwort, vergebe es nur einmal und ändere es alle drei Monate!" hat schon die letzten zehn Jahre nicht gefruchtet. Warum sollte es jetzt anders sein? Sollte auch @Bitsqueezer insgeheim so sehen. Nur ist er wahrscheinlich noch nicht müde geworden weiterhin den uralten Tipp zu geben. Über alles erhabenes Sitzfleisch halt. Der Blame kam bei dir härter an als er von mir gemeint war. Für mich war das eher ein neidvolles Lob.

Wolfshade · 8. Februar

Ok, ich wollte nichts reframen. Als ich deine Beiträge durchgelesen habe, ist mir dies nur aufgefallen, das dieser Vorschlag und die Argumentation hin zu einer solchen Authentiapp alles andere sind als selbstbestimmte Eigenverantwortung. Damit überlässt man des Thema Sicherheit nämlich Dritten deren rechtlicher Aspekt, einfach nicht vorhanden ist.

CURSIN_IT schrieb: »

Ich wollte wissen warum es deiner Meinung nach selbstbestimmter ist es ZOS ohne Rückfrage checken zu lassen ob sich die MAC-Adresse geändert hat.

Ich kann jetzt nicht rauslesen wo das Thema Selbstbestimmtheit im Bezug auf die MAC-Adresse/deren Abfrage kam, sry. Damit wollte ich es auch nicht in Verbinbung bringen. Aber auch dies ist in meinen Augen ein Weg/Methode, bei dem eben um den eh nicht/ vielleicht auch genau darum nicht vorhanden Datenschutz herum gebastelt wird und auch nur deshalb eine solche App sinnvoll sein kann.

Ich habe nichts gegen die MAC-Adressen Überprüfung. Finde sie auch nicht stören etc. Aber diese MAC_Abfrage dient halt schon in keinster Weise der Sicherheit, sondern einzig und alleine ZOS und deren Sichereheits"bedenken"/Nachverfolgung von Einlogg****, etc. Loggt sich mein Account mit einer anderen MAC Adresse und IP-Range/Kennung ein, ist es bei mir bereits zu spät und der Datenschutz/Account/Kontoschutz hat bei mir schon versagt. Im schlimmsten Fall nach Togo verkauft. Alles weiter wäre halt übliche und schnellstmögliche Schadensbegrenzung.

Meinen Vorschlag hast du ja sicherlich gelesen, aber diesen konsequenten und effektiven Weg des Datenschutz/Accountsicherheit wird ja wohl weder ZOS noch MS umsetzten. Sonst hätte man das bewährte TAN Verfahren ja nicht schon bei fast jedem Bankverfahren abgeschafft und es gibt ja auch im Bezug auf Spieleaccounts/-markt genannte Nachteile.

Persönlich: Mir geht die jetzige, wo vorhanden "2FA" schon überall tierisch auf die Nerven. Logge ich mich bei meinem Account mit meinen Anmeldedaten ein brauche ich nicht überall eine Nachfrage ob ich es wirklich war. Ich möchte auch nicht von dem Betreiber jedesmal behelligt werden mit einem Code, Benachrichtigung, etc. Es ist nicht meine Aufgabe, Benutzerunfreundlich und nimmt Formen an wie im teifroten Z-Land, dessen Oberarsch jede Form von Verschlüsselung und VPN untersagt hat und versucht die Menschen an deren Benutzung zu hindern damit man ja alles direkt Nachverfolgen kann.

nathamarath · 8. Februar

Content, ich vermeide bewusst das Wort Information, wird nicht wahrer oder falscher wird, wenn er oft genug wiederholt wird. Er wird nur besser erinnert und wir alle fahren gemeinsam im Karussell Richtung fragil. Wir alle heißt das Dreieck aus user, misuser und guard (wobei die Grenzen und Westen nicht so klar oder sauber sind wie gern dargestellt) - die Spielentwickler, also die, die meine Telefonnummer haben dürfen, mal ausnahmsweise außen vorgelassen. Die Frage wäre also weiterhin nicht, wie schütze ich meinen account -das sollte inzwischen klar sein*- sondern, wie kann man Missbrauch vorbeugen. Was wäre also Missbrauch und wo/wie findet er statt? Für Karussellfahrer: Selbst Zahlungen sind per paysafe möglich, so wichtig scheint die Identität also nicht zu sein. Wozu also eine zuordenbare Identifikation des users, die bei auth-apps immer gegeben ist durch das Gerät/Mobilnummer (letztere darf in D nur in Verbindung mit einem Personalausweis erworben werden)? *karussellticket knipst*

*Was user tun kann, ist klar (Passwortsicherheit, Treiberupdates, Routerkonfiguration, kein physischer Fremdzugriff auf die game-Plattform, persönliche Daten aus dem online-account entfernen, Kontenverknüpfungen minimieren, persönlich zuordenbare Athentikatoren bannen, etc.), was der Provider, ebenfalls (anti-leaking und getrennte DB-Verwaltung von Nutzer- und Spielerdaten, sichere Verbindung, etc.).

Arcon2825 · 8. Februar

nathamarath schrieb: »

Content, ich vermeide bewusst das Wort Information, wird nicht wahrer oder falscher wird, wenn er oft genug wiederholt wird. Er wird nur besser erinnert und wir alle fahren gemeinsam im Karussell Richtung fragil. Wir alle heißt das Dreieck aus user, misuser und guard (wobei die Grenzen und Westen nicht so klar oder sauber sind wie gern dargestellt) - die Spielentwickler, also die, die meine Telefonnummer haben dürfen, mal ausnahmsweise außen vorgelassen. Die Frage wäre also weiterhin nicht, wie schütze ich meinen account -das sollte inzwischen klar sein*- sondern, wie kann man Missbrauch vorbeugen. Was wäre also Missbrauch und wo/wie findet er statt? Für Karussellfahrer: Selbst Zahlungen sind per paysafe möglich, so wichtig scheint die Identität also nicht zu sein. Wozu also eine zuordenbare Identifikation des users, die bei auth-apps immer gegeben ist durch das Gerät/Mobilnummer (letztere darf in D nur in Verbindung mit einem Personalausweis erworben werden)? *karussellticket knipst*

*Was user tun kann, ist klar (Passwortsicherheit, Treiberupdates, Routerkonfiguration, kein physischer Fremdzugriff auf die game-Plattform, persönliche Daten aus dem online-account entfernen, Kontenverknüpfungen minimieren, persönlich zuordenbare Athentikatoren bannen, etc.), was der Provider, ebenfalls (anti-leaking und getrennte DB-Verwaltung von Nutzer- und Spielerdaten, sichere Verbindung, etc.).

Meine Zehennägel sagen "Nein". Viel mehr können sie sich gar nicht aufrollen als nach dem Lesen Deines Texts. Da scheint viel Veschwörungs-Karussel dabei zu sein. Unterschiedlicher Meinung kann man ja bei dem Thema sein, aber das wird mir dann doch zu wirr...

Arcon2825 · 8. Februar

Wolfshade schrieb: »

Mir geht die jetzige, wo vorhanden "2FA" schon überall tierisch auf die Nerven. Logge ich mich bei meinem Account mit meinen Anmeldedaten ein brauche ich nicht überall eine Nachfrage ob ich es wirklich war.

Ich kann Deinen Ansatz schon verstehen, eine 2FA muss sich genauso in den Alltag einfügen wie andere Dinge auch. Bei Battle.net weiß ich z.B. ganz genau, wann ich den Authenticator brauche. Nämlich einmal, wenn ich mich darüber neu anmelde. Das passiert genau dann, wenn ich die Software neu einrichte und nicht die Einstellungen übernehme. Kein Gedöns wegen anderer IP, anderem BIOS, neuem Betriebssystem oder sonst was.

Bodeus · 9. Februar

Mehr Sicherheit ist eigentlich immer gut, es kann ja von mir aus auch optional Angeboten werden. Einen 2. Code einzugeben ist nun wirklich nix wildes. Und auch hier könnte man die Endgerät für eine Zeit vormerken, wie auch schon bei der vorhandenen E Mail Abfrage.

nathamarath · 9. Februar

Arcon2825 schrieb: »

nathamarath schrieb: »

Content, ich vermeide bewusst das Wort Information, wird nicht wahrer oder falscher wird, wenn er oft genug wiederholt wird. Er wird nur besser erinnert und wir alle fahren gemeinsam im Karussell Richtung fragil. Wir alle heißt das Dreieck aus user, misuser und guard (wobei die Grenzen und Westen nicht so klar oder sauber sind wie gern dargestellt) - die Spielentwickler, also die, die meine Telefonnummer haben dürfen, mal ausnahmsweise außen vorgelassen. Die Frage wäre also weiterhin nicht, wie schütze ich meinen account -das sollte inzwischen klar sein*- sondern, wie kann man Missbrauch vorbeugen. Was wäre also Missbrauch und wo/wie findet er statt? Für Karussellfahrer: Selbst Zahlungen sind per paysafe möglich, so wichtig scheint die Identität also nicht zu sein. Wozu also eine zuordenbare Identifikation des users, die bei auth-apps immer gegeben ist durch das Gerät/Mobilnummer (letztere darf in D nur in Verbindung mit einem Personalausweis erworben werden)? *karussellticket knipst*

*Was user tun kann, ist klar (Passwortsicherheit, Treiberupdates, Routerkonfiguration, kein physischer Fremdzugriff auf die game-Plattform, persönliche Daten aus dem online-account entfernen, Kontenverknüpfungen minimieren, persönlich zuordenbare Athentikatoren bannen, etc.), was der Provider, ebenfalls (anti-leaking und getrennte DB-Verwaltung von Nutzer- und Spielerdaten, sichere Verbindung, etc.).

Meine Zehennägel sagen "Nein". Viel mehr können sie sich gar nicht aufrollen als nach dem Lesen Deines Texts. Da scheint viel Veschwörungs-Karussel dabei zu sein. Unterschiedlicher Meinung kann man ja bei dem Thema sein, aber das wird mir dann doch zu wirr...

Ja, das kann man so verstehen. So war es jedoch nicht gemeint. Wenn man Sicherheit im Netz als Grundlage nimmt, interessante Diskussion. Ich fand, dass etwas als sicherheitsrelevant aufgebracht wurde, es aber nicht ist bzw. die user-Sicherheit mit bestehenden Mitteln ausreichend abgedeckt ist. Das 'Karussell' ist eine Metapher.

Coerfroid · 9. Februar

Ich spiele seit fünf Jahren ESO, habe in der Zeit mehrfach mein Passwort gewechselt, hatte keine Probleme.
Habe in der Zeit mehrfach das Handy gewechselt (verloren, gestohlen, plötzlich kaputt...). Wenn so etws unvorhergesehen passiert, will man nicht auch noch auf sein Lieblingsspiel verzichten.
OTC-Token nutze ich beruflich, die müssen auch mal ausgewechselt werden, wenn die Batterie alle ist. Gut, wenn sich der Arbeitgeber darum kümmert, im Hobby-Bereich sind das im Zweifel auch wieder ein paar Tage Wartezeit.
Nein, ich habe wenig Lust auf Zusatzaufwand für ein Spiel.

NightravenG · 9. Februar

Hi, ich bin mir nicht sicher, ob das notwendig ist. Es gibt ja noch die Überprüfung per Mail. Und die ist so scharf, dass sie sogar ansprang, als ich lediglich das Netzteil tauschen musste.
Ich weiß nicht, wie ein Hacker dieses Sicherheitsfeature umgehen will, wenn man nicht gerade für ESo und seinen Mailaccount das gleiche Passwort hat.

NirnTraveler · 10. Februar

Hallo an alle

die Thematik der Mehrfachauthentifizierung ist wohl sehr schwierig - gleichwohl sehr interessant.

Nach der Diskussionen hier, danke ich allen für diese konstruktive Auseinandersetzung.

Die Pros zum Beispiel mit einem optionalen 3FA, nach dem Mac und dem PW, hat einen Charme.
Auch die Argumente dagegen kann ich gut nachvollziehen - es ist ein Game, keine Bankverbindung.

Danke an alle Forenteilnehmer, die Ihren Standpunkt gut erläutert und erklärt haben.

Freundlich Grüsst, der
Nirn-Traveler

Ratpack · 12. Februar

CURSIN_IT schrieb: »

@Wolfshade

Dass der Bedarf an besserem Schutz da ist, zeigt dieses Forum mit diversen Threads doch immer wieder. Ich höre und lese täglich von Spielern denen der Account hops genommen wurde ...

Ich lese es nicht täglich. Und habe noch nie von unverschuldeten Fällen gehört. Trotz Hunderten von Spielstunden.
Teile doch bitte mal ein paar der Beitrage aus den letzten Tagen. Wenn es die denn gibt. Hier wird mal wieder heißer Diskutiert als die Sache eigentlich ist.

ucctriphaneb17_ESO · 12. Februar

Wie viele Eurer Accounts wurden den hier schon gehackt?

Ihr nutzt Addons ohne darüber nach zu denken was man zum Beispiel über solche kleinen Programme alles in Euren Account einspielen und einbringen könnte wenn man euch böses wollte, und das was vielleicht schon vorhanden ist wollt ihr dann mit besseren Passwörtern, neuen Abfrage Systemen schützen, wozu?

Alles was ihr in eurem Account habt kann Euch niemand nehmen, es sei den Ihr gebt es Ihm, werdet Ihr gehackt kann man das durchaus feststellen und ich gehe mal davon aus, das Ihr alles was euch dann nachweislich verloren geht auch ersetzt werden kann, ihr müsst dann halt nur den Anspruch geltend machen.

Ich spiele ein Online Game, ich habe keine Datenträger, alles was ich kaufe ist Online, bleibt Online und wenn ich aufhöre zu spielen bekomme ich nicht das Game, nicht mein Geld zurück das ich investiert habe und ich kann mir die Häuser die ich eingerichtet habe auch nicht ins Regal stellen... wozu also sollte ich da ein besseres Passwort brauchen?

Und wegen sowas fahren einige dann ihre Emotionen hoch und gehen sich sogar in Foren an... da kann man nur mit dem Kopf schütteln.

Arcon2825 · 13. Februar

ucctriphaneb17_ESO schrieb: »

Ihr nutzt Addons ohne darüber nach zu denken was man zum Beispiel über solche kleinen Programme alles in Euren Account einspielen und einbringen könnte wenn man euch böses wollte, und das was vielleicht schon vorhanden ist wollt ihr dann mit besseren Passwörtern, neuen Abfrage Systemen schützen, wozu?

Addons nutzen über die LUA-API nur Funktionen, die ZOS explizit zur öffentlichen Nutzung freigegeben hat. Auch wenn nicht hundertprozentig ausgeschlossen werden kann, dass eine solche Funktion auch mal missbräuchlich verwendet werden könnte, ist die ausgehende Gefahr von Addons unterhalb der Wahrnehmungsschwelle.