Sehe ich auch so. Ein Authenticator wie in anderen Spielen würde die Sicherheit nochmal für einige erhöhen und sei es nur gefühlt.
Ansonsten gilt halt die Grundregel, Passwort so schwer und undurchschaubar wie möglich zu machen. Evtl. auch regelmäßig wechseln. Gibt auch gute und sichere Freewareprogramme die einem helfen ein gutes Passwort zu erstellen.
Die beliebtesten Passwörter sind bis heute immer noch:
123456
Password
etc.
davon auch noch einige andere Abwandlungen/Kombinationen und wenn man so eins hat, dann sollte man sich Gedanken machen. ;-)

/sign
finde ich auch ein absolutes unding.

Prinzipiell ist es gut, dass es über den User und nicht den Charname läuft, aber ein zweites Feld "Anzeigename" wäre da sicher kein allzugroßer Aufwand für die Programmierer.

Prinzipiell ist es ja recht simpel: nimm ein starkes Passwort 12+ Zeichen mit Groß-/Kleinschreibung sowie Zahlen. Ausserdem macht ein Ausrufezeichen vor und/oder nach dem Passwort das ganze nochmal deutlich komplexer.

Ausserdem gibt es immer noch die PC/IP Authentifizierung per Mail ... Wenn du dir also deine E-Mail Adresse sowie deinen Account hacken lässt, hast du entweder keine vernünftigen Passwörter vergeben oder du hast dir was eingefangen (was dann auch meist dein Fehler ist).

Sicher ist es nicht super Glücklich den Acc Namen für viele im Spiel sichtbar zu machen, angesichts der zusätzlichen Sicherheitsmaßnahmen aber auch kein Weltuntergang.

Authenticator kann man immer noch nachträglich einbauen.
Das Problem ist, dass viele ein perfektes Spiel mit allen Features zum Release erwarten ... dann hätten sie aber noch 2-3 weitere Jahre warten müssen

Wozu Accountsicherheit?
Wenn mein Account geknackt wird, hab ich wenigstens einen Grund, mich hier über den schlechten ZOG-Support zu beschweren, der zuviel Zeit mit Botter sperren verbringt.

ja ist ein absoluter Fauxpas in sachen security... es gibt ja schon diese Farmer Gilden die Leute einladen nur um Usernamenfarmen zu haben...

f

ohne jetzt eigenwebung machen zu wollen. für das thema habe ich schon einmal ein thread erstellt da mit der account name im gilden chat tierisch aufn sack geht. scheint aber nur einer minderheit an spielern so zu gehn, denn beachtung wurde diesem thema nicht geschenkt:

http://forums.elderscrollsonline.com/discussion/81753/gebt-uns-einen-seperaten-anzeigenamen#latest

Bin sicher kein Sicherheitsfreak und es wurden schon Accounts von mir in anderen Spielen gehackt, trotz guter Passwörter und ohne Keylogger: ich war einfach mal 6 oder 12 Monate+ nicht on, das reicht dann für Brute Force Attacken.

ABER
hier ist der Umgang mit eMail Adressen / UserIDs schon wirklich sehr grenzwertig.

Der Accountname hat in keinem Spiel öffentlich irgendwas zu suchen.

Um mal ein anderes Konzept anzuregen.

Wenn es darum geht das Leute nur einmal eingeladen werden müssen, und dann mit allen chars in der Gilde sind kann man extra ID's dafür nutzen.

Accountname: Horst25
>>Spielname: Schmitti5<<(wird zusätzlich zum Charnamen in der Gilde angezeigt)
Charname: Wie gehabt.

Im Moment frage ich mich bei einigen Sachen ob da vorher wirklich im Team über die Aspekte gesprochen wurde.

Ohne jetzt fachkundiger Programmierer zu sein, dürfte es reichen, wenn in den Benutzerdaten ein zusätzliches Feld hinterlegt wird, für den "Spielnamen".
(Und natürlich eine Abfrage wie beim Accountnamen, ob der Spielname noch frei ist)

In den bisherigen Abfragen wird dann die Funktion die den Accountnamen abfragt und anzeigt, so angepasst dass diese jetzt den Spielnamen abfragt und damit wäre das Thema durch. Dann steht überall statt dem Acc. der Spielname.

Verwendet einfach ein sicheres PW und kein Kevin123 oder so. Ein kryptisches 26 Stellen Passwort ist auch bei einem Brute-Force Angriff so gut wie 100% sicher. Und selbst wenn das Passwort geknackt wird ist da noch die Sache mit der ID Zuweisung, um die zu bekommen bräuchten sie zusätzlich deine Mail Adresse und müssten auch dort mit einer Brute-Force Attacke erfolgreich sein. Bei ausreichend sicheren Passwörtern ist es somit eigentlich unmöglich einen Account zu knacken.

ja leider, Star Trek Online ist damals auch schon auf die glorreiche Idee gekommen die userid als ingame chat tag zu verwenden

Tusnelda schrieb: »

BuggeX schrieb: »

nicht vergesssen, viele andere plattformen verwenden die email als benutzernamen und die hat man auch recht schnell

Plattformen, für die man monatliche Gebühren zahlt, verwenden Emailadressen ihrer Nutzer öffentlich?

Das war nicht der sinn darin, ich meinte eher das email-adressen an alles mögliche gebunden werden, steam - paypal - foren etctec, so an manchen (keine kostenpflichtigen - kenne auf die schnelle keine) kannst die frei einsehen. Da mann sicher keine neue Email für jeden dienst anlegt, würde ich mir von dem mehr sorgen machen als ein Username

Zur Abwehr eines Brute-Force-Angriffs mit gängiger Hardware (privat verfügbarer) sollte ein Passwort heute mind. 8 Stellen haben, wenn mit zufällig ausgewählten Kombinatiuonen aus Groß- und Kleinbuchstaben sowie Ziffern gearbeitet wird (62 Zeichen = 62^8 = 218.340.105.584.896 Kombinationen). 6 Stellen ergeben viel weniger Kombinationen und sind 4000 mal so schnell gehackt. Wird beim PW nicht zw. Groß- und Kleinbuchstaben unterschieden, so sollten es mind. 10 Stellen sein.

Und mit der Anzahl an Stellen ist nicht gemeint, ein beliebiges Wort mit 8 Buchstaben (z.B. Agitator) zu nehmen, da ist man bei einem Wörterbuchangriff rasch gehackt.

Was auch vermieden werden MUSS ist bei jedem Spiel und jedem Forum und jedem Blog und jedem Sonstwas, das man im Internet aufsucht, das gleiche PW zu verwenden. Wenn eine Seite nämlich einmal gehackt wird und sie die PW ihrer User im Klartext gespeichert haben und nicht als Hashes - wie es schon mehrfach in den letzten Jahren vorkam! - dann finden diese PW den Weg in spezielle Wörterbücher, die bei einem Angriff gerne verwendet werden. Und auch wenn ihr nichts davon wisst, dass ein von euch genutztes PW von irgendeiner Seite gestohlen wurde, so gibt das keine Sicherheit.

Es bleibt dabei, Sicherheit erfordert immer Aufwand. Je mehr Sicherheit man will, desto mehr Aufwand wird es sein.

Nichtsdestotrotz müssen die Hersteller von Spielen ihren Teil dazu beitragen. Und da reihe ich mich in die Kritiker hier ein: Den Accountnamen anderen Nutzern anzuzeigen ist nicht nur unnötig, es erleichtert Hacks. Auch etwas, was gerne falsch gemacht wird sind gleicher Accountname und gleiches PW für Spiel und offizielles Forum. Da die Foren nicht per SSL-gesichertem Zugang betrieben werden, können die übermittelten Anmeldeinformationen problemlos durch einen Man-in-the-middle-Angriff abgefangen werden, was bei End-to-End-Verwschlüsselung nur sehr schwer zu bewerkstelligen wäre.

On that note: Warum ist der Zugang zu den Foren über ungesichertes HTTP möglich? Ein Zertifikat einer kompetenten CA zu teuer für Zenimax? Peinlich! Aber immerhin kann man nicht vom Heartbleed-Bug betroffen werden, wenn man nicht SSL-verschlüsselt. Wahrscheinlich klopfen sich die Zenimax-IT-Spezis deswegen gerade gegenseitig auf die Schultern ...

Tusnelda schrieb: »

Die Userid=Accountname hat in einem Online-Rollenspiel nix zu suchen. Da erwartet man, sich über Charnamen gegenseitig zu identifizieren. Warum das hier nicht so ist, wundert mich angesichts der vielzitierten "Immersion" und den liebevoll designten animierten Emotes total. Also ich empfinde null "Immersion" und der Zauber der Spielwelt ist komplett hinüber, wenn ich in der Gilde mit @userids kommunizieren muss.

so und nicht anders ist es. userids passen einfach nicht in ein mmoRpg, besonders nicht zu eso.

BuggeX schrieb: »

Graogrimm schrieb: »

Das ist ein 6-stelliges Passwort ohne Sonderzeichen. Das geht so fix und hat auch keine Begrenzung der Eingabehäufigkeit.

gilt aber nur 15min oder so was, es ist sehr gering in 15min einen 6 Stelligen alphanumerischen wert zu brutforcen

Um alle Variationen eines 6-Zeichen Passworts zu errechnen brauchst Du heutzutage nicht mal 1 Sek, denn die Zugangscodes sind nur Großbuchstaben. Das einzige, was dies verlängert ist die Eingabe und das Wegklicken der Fehlermeldung durch das Programm.

Tusnelda schrieb: »

Die Userid=Accountname hat in einem Online-Rollenspiel nix zu suchen. Da erwartet man, sich über Charnamen gegenseitig zu identifizieren. Warum das hier nicht so ist, wundert mich angesichts der vielzitierten "Immersion" und den liebevoll designten animierten Emotes total. Also ich empfinde null "Immersion" und der Zauber der Spielwelt ist komplett hinüber, wenn ich in der Gilde mit @userids kommunizieren muss.

Dem stimme ich ebenfalls zu. Ich hoffe, das wird in einem zukünftigen Patch geändert. Besser spät als nie.