Dubiose Praktiken ?

loptrinho · May 2014

Vorgeschichte: Falscher Forenname (den hier habe ich mir sicher nicht ausgesucht), Post im Kundendienst-Forum, keine Reaktion, Ticket...

Aus der Antwort:

Elder Scrolls Support schrieb:

Zur Prüfung Deiner Anfrage muß Ich Dich bitten, zunächst folgende Sicherheitsfragen zu beantworten:
...
3. Wie lautet die Antwort auf Deine Sicherheitsfrage ?

Abgesehen davon, dass ich aus dem Kopf nichtmal wüsste, welche Frage mir gestellt würde:
Bin ich der einzige, der das für eine mehr als bedenkliche Vorgehensweise hält? Die Sicherheitsfrage ist ein automatisiertes Sicherheits-Feature, also quasi ein zweites Passwort! Seit wann werden Passwörter bzw. Sicherheits-Token per Mail abgefragt? Wenn dieser Pfad beschritten wird, öffnet der Publisher Phishing-Mails Tür und Tor!

Ich finde das absolut inakzeptabel. Aber ich bin nicht der Typ, der sich stur in Rage redet, darum hätte ich gerne mal andere (oder auch gleiche) Meinungen dazu...

Und ich bitte um eine Stellungnahme von offizieller Seite.

ZOS_CarolusS schrieb: »

Hallo @Dababba,

wir verstehen die Bedenken und es ist gut, vorsichtig zu sein.
Zur Verifizierung eures Benutzerkontos fragen wir nach den folgenden Informationen:
Die letzten 4 Ziffern eurer Kreditkarte, die PayPal-Transaktions-ID oder der komplette Spielzeitkartencode.

Die Antwort auf eure Sicherheitsfrage.

Dieses Ticket ist legitim und du kannst problemlos darauf antworten.

Baerenknuddlerb16_ESO · May 2014

Hab ich mir auch schon gedacht, daher hab ich auch immer noch den komischen Beta-Forumnamen.

In jedem anderen Spiel warnen sie dich, dass ein GM dich niemals nach deinem Passwort oder der Sicherheitsfrage fragen würde. Und das aus gutem Grund.

Tusnelda · May 2014

Ich glaube (und hoffe), hier hat der Support sich vertippt. Es sollte vielleicht heißen: Wie lautet Deine geheime Frage? Denn damit wäre nicht zuviel verraten.

Percles · May 2014

Denken manche Leute eigentlich auch mal logisch?

Sie fragen nach der Antwort und schreiben BEWUSST nicht, was für eine Frage, denn nur dann weißt du auch die richtige Antwort!
Und wenn du so vergesslich bist und die Frage auf deine Antwort nicht mehr weißt, schau in deinen Account! Nur dann kannst du auch die richtige Antwort geben.
Wer das aber irgend wie beantwortet hat und nicht mehr weiß, was es war, ist selber schuld!
Das ist eine simple doppelte Absicherung. Wer die Frage nicht kennt, kann auch die Antwort nicht kennen!

loptrinho · May 2014

Tusnelda schrieb: »

Ich glaube (und hoffe), hier hat der Support sich vertippt. Es sollte vielleicht heißen: Wie lautet Deine geheime Frage? Denn damit wäre nicht zuviel verraten.

Leider nicht. Such mal in den englischen Diskussionen nach dem Thema... Und auch in den deutschen Diskussionen ist das Thema schon ein paarmal aufgekommen (sorry, habe erst jetzt geschaut...)

Coma · May 2014

Percles schrieb: »

Denken manche Leute eigentlich auch mal logisch?

Sie fragen nach der Antwort und schreiben BEWUSST nicht, was für eine Frage, denn nur dann weißt du auch die richtige Antwort!
Und wenn du so vergesslich bist und die Frage auf deine Antwort nicht mehr weißt, schau in deinen Account! Nur dann kannst du auch die richtige Antwort geben.
Wer das aber irgend wie beantwortet hat und nicht mehr weiß, was es war, ist selber schuld!
Das ist eine simple doppelte Absicherung. Wer die Frage nicht kennt, kann auch die Antwort nicht kennen!

OK, und woher weiß ich dann genau dass es ein "offizieller" Zenimaxler ist und kein Phishing? Wenn er die Frage kennt weiß ich dass er "echt" ist, und wenn ich die Antwort dazu hab weiß er dass es mein Acc ist.

Elexil · May 2014

Bei meiner Email Änderungen wollten sie auch die Antwort auf die Geheimfrage wissen.

Halte das nun nicht für übermäßig fatal. Die Klamotten liegen alle in ner Datenbank. Denkst du das sonst so keiner da ran kommt? ..... denk drüber nach.

Das ist halt eins der Risiken in der digitalen Welt. Hier wirst du nach deiner "geheimen" Antwort gefragt, bei andern Online Spieleanbietern werden die Kreditkartendaten gehackt.

Aso... und SSL ist sicher ...

loptrinho · May 2014

Percles schrieb: »

Denken manche Leute eigentlich auch mal logisch?

Das gebe ich dann gerne mal zurück:

1. Gehören solche Informationen in ein automatisiertes System! (fehlt nur noch, dass die Antwort in den Datenbanken noch in Plaintext abgespeichert ist)
2. Wenn der Account schon kompromittiert wurde, bietet das keinerlei Sicherheit, da der Angreifer die aktuelle Frage ganz einfach im Profil nachlesen kann. Das hat mit Vergesslichkeit nix zu tun. Und wie an anderer Stelle schon geschrieben wurde: Wenn jemand die Antwort auf meine Frage haben will, soll er sie bitte stellen.

Danke für den freundlichen Kommentar.

starshine123b16_ESO · May 2014

Ich bin ganz froh, den zu haben - somit steht zumindest mein Accountname nicht hier drin - ich finde es ja schon daneben, dass ich in Handelsgilden mit meinem Accountnamen schreiben muss - braucht man ja nur noch das Passwort rausfinden... Aber anderes Thema...

Diese Abfrage der Sicherheitsantwort dient - wie ja auch auf der Webseite - zur Bestätigung deiner Identität. Diesen Satz "Ein GM wird dich niemals nach deinem Passwort fragen" kenne ich auch aus diversen anderen Games, deshalb würde ich auch erst einmal erstaunt schauen.

An deiner Stelle würde ich - einfach auf Nummer sicher zu gehen - die hier anwesenden Admins drum bitten, deinen Namen zu ändern, wenn du das denn unbedingt möchtest....

Einen Beitrag dazu gibt es hier:
http://forums.elderscrollsonline.com/discussion/90826/usernamen-im-forum-aendern#latest

Percles · May 2014

esoeb17_ESO23 schrieb: »

Percles schrieb: »

Denken manche Leute eigentlich auch mal logisch?

Das gebe ich dann gerne mal zurück:

zu 1. gebe ich dir vielleicht noch Recht.
zu 2. - selbst wenn sie die Frage aus deinem Account wissen, wie sollen sie die korrekte Antwort wissen? ;-) Also müsste man raten und schon beim ersten mal würde das den Support darauf aufmerksam machen, dass du nicht der bist, der du vorgibst zu sein. Zumal dann auch dein Mail Account betroffen sein müsste, denn an diesen ging die Frage und kommt auch die Antwort zurück. Also müsste nicht nur dein Account, sondern auch deine Mail gehackt worden sein.
Was ich aber einräume ist die Tatsache, dass man es als Plaintext per Mail zurück schreiben muss und nicht über ein SSL gesichertes System.
In der Hinsicht hast du wohl Recht.

Und was die Antwort per Mail an geht. Heutzutage ist man selber schuld, wenn man per Mail keine Secure (sprich SSL) Verbindung nutzt. Z.B. T-Online hat komplett auf SSL umgestellt und dies sollten auch alle anderen seriösen Anbieter machen. Ich persönlich nutze Mail nur noch SSL-gesichert. Alles andere kann jeder Zeit per Spoofing gehackt werden.

loptrinho · May 2014

Fledermauswurst schrieb: »

Halte das nun nicht für übermäßig fatal.

Wer sagt denn was von fatal?

Ich finde das lediglich unglücklich und angesichts dessen, dass mittlerweile üblicherweise gesagt wird

Baerenknuddlerb16_ESO schrieb: »

..., dass ein GM dich niemals nach deinem Passwort oder der Sicherheitsfrage fragen würde.

ein wenig - zweifelhaft. Über den allgemeinen Sicherheitsaspekt des Netzes und der großen Firmen wollen wir hier ja gar nicht diskutieren (Sicherheit ist eh nur eine Illusion)...

Drog · May 2014

Naja die haben, das selbst eingeführte Sicherheitsfeature der geheimen Frage nicht verstanden. Was an sich schon arg peinlich ist.

Normalerweise ist das gedacht, dass der Service sich damit identifiziert. Ich kenne deine geheime Frage also kannst du davon aus gehen das ich wohl wirklich vom Service bin. Du wiederum gibst mir die Antwort und da du diese kennst, weis der Service das du wohl wirklich der Kunde bist.
Es wird in beide Richtungen die Identität verifiziert.
Ansonsten ist das halt nur ein Service Passwort wie bei der Telekom & Co. Da hat sich der Gegenüber aber meist schon damit identifiziert in dem man seine Telefonnummer gewählt hat.

Maokyel · May 2014

esoeb17_ESO23 schrieb: »

Und ich bitte um eine Stellungnahme von offizieller Seite.

Wer suchet der findet ... das hier:

ZOS_CarolusS schrieb: »

Hallo @Dababba,

wir verstehen die Bedenken und es ist gut, vorsichtig zu sein.
Zur Verifizierung eures Benutzerkontos fragen wir nach den folgenden Informationen:
Die letzten 4 Ziffern eurer Kreditkarte, die PayPal-Transaktions-ID oder der komplette Spielzeitkartencode.

Die Antwort auf eure Sicherheitsfrage.

Dieses Ticket ist legitim und du kannst problemlos darauf antworten.

aus:

http://forums.elderscrollsonline.com/discussion/comment/737507#Comment_737507

loptrinho · May 2014

starshine123b16_ESO schrieb: »

An deiner Stelle würde ich ... die hier anwesenden Admins drum bitten, deinen Namen zu ändern, wenn du das denn unbedingt möchtest

Danke für den Tipp zu meinem ursprünglichen Problem. Sobald PMs wieder möglich sind, werd ich das mal versuchen

loptrinho · May 2014

Maokyel schrieb: »

Wer suchet der findet ... das hier

Danke, hatte ich mittlerweile auch gefunden. Ich hatte in einem späteren Post geschrieben, dass ich erst später gesucht hatte, werde den Ursprungs-Post ändern.

Hope0042 · May 2014

Percles schrieb: »

Denken manche Leute eigentlich auch mal logisch?

Sie fragen nach der Antwort und schreiben BEWUSST nicht, was für eine Frage, denn nur dann weißt du auch die richtige Antwort!
Und wenn du so vergesslich bist und die Frage auf deine Antwort nicht mehr weißt, schau in deinen Account! Nur dann kannst du auch die richtige Antwort geben.
Wer das aber irgend wie beantwortet hat und nicht mehr weiß, was es war, ist selber schuld!
Das ist eine simple doppelte Absicherung. Wer die Frage nicht kennt, kann auch die Antwort nicht kennen!

Wichtig ist, jemandem der einen Thread eröffnet zu helfen und nicht mit Phrasen um sich zu werfen lol.

Dubios ist die Sache nicht. Deine sicherheitsantwort wird kein GM oder Mitarbeiter von Zenimax Ingame von dir verlangen oder per unaufgeforderter Mail. Das soll der Satz beinhalten der da steht bei Zenimax.

Wenn du aber ein Konto verifizieren musst per Mail dann ist es usus das dies über die antwort auf deine geheime Frage geschieht. Das ist eine zusätzliche Absicherung für Zenimax denn sie können ja nicht wissen ob deine Email auch wirklich von dir kommt oder irgendwer dein Mail konto gehijackt hat.

Wenn du dir nicht sicher bist ob die Mail von Zenimax kommt, dann antworte nicht direkt darauf sondern ruf da an. Per Ticket ID kann das verifiziert werden ODER. Erstelle eine neue Mail und schreib den Empfänger ( in dem falle support Mail von Zenimax ) direkt manuell rein.

Paranoia ftw sag ich immer nur im Internet

.

Was allerdings dubios ist, aber leider auch normal mittlerweile.. ist der Umstand das seit einigen Jahren Spieleanbieter die Sicherheit deines Accounts um 50% reduziert haben weil man die Account Namen direkt INGAME als Spielernamen sieht wenn man ihn added, in der Gilde ist etc.
Das ist mir nicht begreiflich. Als ob account und anzeigename nicht zwei dinge sein könnten .. das ging ja vorher auch und wer deinen account Namen nicht kennt, kann auch dein Passwort nicht durch reines testen rausfinden

Percles · May 2014

esoeb17_ESO23 schrieb: »

starshine123b16_ESO schrieb: »

An deiner Stelle würde ich ... die hier anwesenden Admins drum bitten, deinen Namen zu ändern, wenn du das denn unbedingt möchtest

Danke für den Tipp zu meinem ursprünglichen Problem. Sobald PMs wieder möglich sind, werd ich das mal versuchen

Ich wünsche dir viel Glück! Ich habe das durch gemacht, da mein Real-Name im Forum-Name stand.
Es hat ÜBER 4 Wochen gedauert, bis sie endlich mal ordentlich darauf reagiert haben und den Forum Namen auch geändert haben.
Leider kann man dies über das Profil nicht automatisch machen, wie es am Anfang der Fall war (aber bei mir nicht funktioniert hat).

Wenn sie dir nur Standard-Antworten schreiben, sofort antworten und DRINGEND darum bitten, das Problem zu lösen!

Percles · May 2014

bloodywingsb16_ESO schrieb: »

OK, und woher weiß ich dann genau dass es ein "offizieller" Zenimaxler ist und kein Phishing? Wenn er die Frage kennt weiß ich dass er "echt" ist, und wenn ich die Antwort dazu hab weiß er dass es mein Acc ist.

Ja, das ist wohl ein Risiko. Ich behaupte auch nicht, dass das Support-System optimal ist. Besser wäre es, wenn so etwas nur über eine SSL Verbindung laufen würde.

Allerdings gibt es heutzutage auch viele Möglichkeiten sich vor Phishing zu schützen. Klar, 100% sicher wird es nie sein und wer denkt, Mail ist sicher, der sollte es besser wissen.