Änderungsvorschlag zum Thema Account Löschung

[Aischylos]

Kommt mal wieder runter.

Was die Malware angeht ist der Authenticator nutzlos, wenn man zum Beispiel einen Keylogger auf dem PC hat. Sobald du dich in deinem Google-Konto einloggst ist dieses Passwort dem Angreifer bekannt. Jedoch müsstest du dich dann auch öfters in dieses Konto einloggen, sonst hilft des Keylogger auch nix. Smartphones sind recht leicht zu hacken(mangelhafter Virenschutz, viele Apps mit Netzzugang und schlechter Sicherheit), aber auch dafür bräuchte der Angreifer erstmal ne Angriffsfläche über die er das Smartphone mit dem Spielaccount in Verbindung bringt, das passiert wohl am ehesten über einen Facebook-Account oder ähnliches. Die Daten für das Google-Konto sind auf dem Smartphone meist gespeichert(Google Playstore usw.). Trotzdem sind das viele wenns und abers.

Ach und nur der Korrektheit halber: Es ist keine Zufallszahl, absolut nicht. Eher das das genaue Gegenteil. Ein Authenticator hat einen internen einmaligen Algorithmus der aus verfügbaren veränderlichen Daten, meist Datum, Uhrzeit,... einen Code erstellt. Ein Zufallscode wäre völlig nutzlos, weil der Authenticator keine Internetverbindung benutzt. Wie sollte der Code denn verifiziert werden? Der Code muss für Google nachvollziehbar sein, sonst können die ihn auch nicht überprüfen.

[Xandro]

Guten Morgen Leute,

ich freue mich ja, wenn mein Vorschlag eine so rege Diskussion angeregt hat, doch glaube ich verrennt ihr Euch da gerade.

Ich darf auch mal als absoluter Laie auf dem Gebiet des Hackings etc. dazu sagen, dass ich glaube das der Aufwand, der betrieben werden muss um ein Smartphone / PC / Google Account zu hacken nur um die Zugangsdaten für einen (sorry Uiqua) "doofen" DOE Account zu kommen, doch sehr aufwendig ist. Außerdem kann ein Hacker hier keinen Euro Gewinn mit dem Account machen wie bei WOW. Von daher sehe ich das Risiko sehr gering.

Ich gehe vielmehr davon aus, dass eine Nachlässigkeit beim Passwort schuld war und zum Angriff geführt hat. Sprich das Passwort war 123456 oder aber ein alter Sitter hatte das Passwort noch und der Nutzer hat es nach dem Sitting nicht geändert.

Ich denke mit meinen Vorschlägen oben sollte genügend Sicherheit gegeben sein, wenn die Spieler sich auch mal ein wenig bemühen und ab und an mal das Passwort wechseln und es entsprechend sicher gestalten.

Schönen Gruß

Xani

[Aischylos]

Eine weitere recht einfache Methode wäre das Loginname und Spielername unterschiedlich seien müssen, dann müsste nicht nur das Passwort sondern auch der Loginname erraten werden.

[BARsaufbiene]

es sind per bruteforce die angriffe gewesen
hab mich im tor netzwerk wo die hacker community war umgehört
es sind russen die momentan einiges am hacken sind

ziel ist soviel schaden azurichten wie möglich
lösungsvorschlag der hackker ist ein sogenannter log in schutz heißt
nach 5 mal flaschem pw
15 minuten bis 30 minuten kein log in möglich somit werden bruteforce angriffe nutzlos

[Xandro]

Gute Idee, ich geb dann alle paar Minuten bis halbe Stunde blödsinn bei deinem User als Passwort ein und sperre dich vom Spiel aus

Der Vorschlag von Aischylos ist aber wirklich gut

[BARsaufbiene]

xandro ip bezogen
^^
und bei den kklern kommt dann eine warnmeldung ^^

[Xandro]

Dir ist schon klar, dass du es hier nicht mit 24 Stunden Vollzeit Programmieren und Spieleadmins zu tun hast und dass die beiden auch noch neben einem realen Leben da draußen auch noch eine Firma zu führen haben ? Also bringt eine Warnmeldung in dem Sinne gar nix.... So ein System mit Warnung auf die dann auch reagiert wird, kannst du bei einem Anbieter auf WOW Größe machen, aber hier macht es wenig Sinn.

Bin zwar kein Experte in solchen Sachen und im Gegensatz zu anderen stehe ich auch dazu, aber selbst ich weiß, dass es Programme zum Wechseln / Verschleiern der IP gibt

[Kuhbaner]

Tja, sollte es denn Bruteforce gewesen sein, kann man sich auf viele Arten wehren. Zum Beispiel meine vorgeschlagene Einführung einer 2-Faktor Authentisierung mittels Google Authenticator.
Alternativ könnte man auch eine Handynummer hinterlegen, auf die dann eine mTAN geschickt wird. Soll heißen, jedesmal wenn ich mich einlogge bekomme ich eine mTAN geschickt die ich im nächsten Feld eingeben muss und dann erst "reinkomme".

Aber natürlich gäbe es auch andere Mechanismen, Teergruben, Captchas die nach einer zweiten oder dritten PW-Fehleingabe auftauchen, eine E-Mail nach dem fünfmal das falsche PW eingegeben wurde an den E-Mail Account der registriert wurde (mit einem Onetime-Link zum draufklicken) und wie schon erwähnt die Sperre des Accounts nach xy Fehleingabe.

[Aischylos]

Die Captcha Idee ist recht gut. Es stört den Spieler nur wenig und macht Bruteforce-Angriffe nutzlos. Theoretisch kann auch ein PC sie lösen, aber das bremst den Bruteforce Algorithmus so massive aus das man pro Passwort ein paar Millionen Jahre braucht^^.

[Xandro]

Captcha wäre wirklich eine sinnvolle - und denke ich auch einfach einzubauende - Lösung.