Guild Wars 2: Mike O'Brien zur Sicherheit der Accounts

[Viashvaroth]

Guild Wars 2: Mike O'Brien zur Sicherheit der Accounts

Das Thema "Accountsicherheit" beschäftigt Spieler und ArenaNet seit dem Release von Guild Wars 2 gleichermaßen. Der anfragengeplagte Support wurde aufgestockt und die Entwickler durften sich neben der Bugbehebung im Spiel noch mit effektiven Abwehrmaßnahmen gegen Angriffe auf die Zugangsdaten der Spieler auseinandersetzen. Nun äußert sich ArenaNet Chef Mike O'Brien selber in einen zusammenfassenden Artikel zur Sicherheit der Accounts und weist nochmals dringlich darauf hin, wie wichtig es ist, ein einzigartiges Passwort für das Spiel zu verwenden, da die Angriffe hauptsächlich möglich sind, weil die Hacker bereits Daten von anderen Spielaccounts besitzen. Während die Empfehlungen früher dahin gingen, ein möglichst sicheres Passwort (Kombination von Buchstaben, Zahlen und Sonderzeichen) zu verwenden, genügt dieser Schutz heutzutage nicht mehr. O'Brien gibt ein wenig Einblick in die Vorgehensweise bei ArenaNet und schildert, dass es dort möglich ist, die Angriffe in Echtzeit mitzuverfolgen, was essentiell ist, um die Hackmechaniken und -methoden nachvollziehen zu können. Er betont, dass diese Angriffe in jüngster Zeit allgemein ein massives Ausmaß angenommen haben, wovon alle größeren Spielehersteller betroffen sind. Zum Schutz der Accounts wurde daher das System der E-Mail-Authentifizierung eingeführt, dennoch werden immer noch Spieler gehackt. Dies liegt aber auch daran, dass ein Drittel der Spieler ihre E-Mail-Adressen noch nicht bestätigt hat oder dass die Hacker auch die E-Mail-Zugänge selber besitzen. Daher sollte man für die Einlogg-E-Mail und den Guild Wars 2 Account auf keinen Fall das gleiche Passwort verwenden. Um die Sicherheitsmaßnahmen weiterhin zu verbessern, möchte ArenaNet die Spieler dazu bringen, die Zwei-Faktoren-Authentifizierung zu verwenden und hat eine schwarze Liste mit Passwörtern (die bereits 20 Mio. umfasst) angelegt, die von den Hackern bei ihren Angriffsversuchen bereits verwendet worden sind. Da es für ArenaNet aber nicht immer einfach ist, echte Einloggversuche von Spielern von denen der Hacker zu unterscheiden, werden in wenigen Wochen alle Spieler aufgefordert werden, ihr Passwort nochmals zu ändern, damit alle bisherigen auf die schwarze Liste gesetzt werden können. Im Netz herumgeisternde Gerüchte über einen Hack der Guild Wars 2-Datenbanken selber schließt O'Brien aus. Falls es ein derartiges Vorkommnis geben sollte, werden die Spieler auch sofort darüber informiert werden. Versuchen Hacker über gestohlene Accounts Edelsteine im Spiel zu kaufen, hat ArenaNet ebenfalls Maßnahmen ergriffen, dies zu verhindern. Sollte man dennoch berechtigte Forderungen nachweisen können, dass die Kreditkarte dadurch belastet worden ist, kann man sich an den Support wenden. Da Hacker in der Datenbeschaffung äußerst varianten- und ideenreich sind, erläutert O'Brien kurz die Gefahren des Phishings, Social Engineerings, von Trojanern, Spyware und E-Mail-Sicherheit. Zum Schluss weist er auf die lapidare Tatsache hin, dass es diese ganzen Angriffe in diesem Ausmaß nicht gäbe, wenn kein Markt vorhanden wäre, auf dem Spieler Ingame-Gold unter der Hand gegen echtes Geld einkaufen, womit wir wieder beim Thema Goldselling wären. Auch deshalb hat ArenaNet in Guild Wars 2 den Kauf von Gold legitimiert, was eigentlich über den Gemshop in geregelte Bahnen gelenkt werden soll. Vielen Dank auch an Skorbut für die Meldung der News. Quellen: Guild Wars 2 (offizielle Seite)

[Florimel]

Wie jetzt? Jeder soll in ein paar Wochen sein PW nochmals ändern, weil es einzigartig sein soll, man aber gezwungen ist, das gleiche in GW1 zu nutzen?
Ist denn das mittlerweile mal von GW1 entkoppelt? Ich hab nämlich ehrlich gesagt keine Lust, micht dann irgendwann nicht mehr in GW1 einloggen zu können, weil da auch Passwortänderungen übernommen wurden, das PW aber irgendwie nicht komplett, weil andere Zeichenlängen oder ähnliches.

Für diese Sicherheitslücke können die Spieler wohl am allerwenigsten. Das kann doch wirklich nicht so schwierig sein.

[LoRd_Spawn]

Ob du jetzt dein sicheres neues nirgendwo anders (Email Amazon, usw.. ) benutztes PW, für GW2 und für GW1 (warscheinlich ganz selten) nutzt, ist doch wohl egal. Hauptsache ist doch das es nur für Guildwars verwendet wird.

[YxTerWd]

Mich würde die erwähnten Hackermechaniken interessieren um mein Passwort sicherer machen zu können.
Abgesehen davon halte ich derzeitge maximale Längebeschränkungen bei Passwörter für sehr schlecht.

[Todeswalzer]

Mein GW2 Passwort hab ich schon geändert, bei GW1 würde er auch übernommen. Mit der PW länge dachte ich das es schon behoben ist und somit bei GW1 auch einen längeren PW möglich ist... bin mir aber nicht mehr ganz sicher. War aber das Problem nicht ungekehrt? GW1 Passworter die zulang für GW2 waren und somit man nur die ersten 13-15 Zeichen eingeben sollte?

jedenfalls sollten wir diese Acc-Diebstahl austrocknen lassen indem wir nichts bei Goldseller kaufen.

[Suemi]

Ich bin immernoch der Meinung ein Authentificator ala Generator oder Mobile App wäre doch sehr sinnvoll.
2 voneinander Unabhängige Systeme sind immer besser. Deshalb sollte man auch kein Mobiles Banking mit SMS-TAN Verfahren machen.
Da hab ich auch nen TAN Generator daheim liegen.

[ANGELofPAIN]

nee das mit der max. pw länge von 15 zeichen war gw1 und die wurde mit gw2 release auf 100 zeichen geändert

schön zu lesen das es dann demnächst den Authenticator via handy für gw2 gibt ... ich weiß auch das ist keine 100%ige sicherheit ... aber trotzdem ein schritt in die richtige richtung

Zitat:

---

Ich bin immernoch der Meinung ein Authentificator ala Generator oder Mobile App wäre doch sehr sinnvoll.
2 voneinander Unabhängige Systeme sind immer besser. Deshalb sollte man auch kein Mobiles Banking mit SMS-TAN Verfahren machen.
Da hab ich auch nen TAN Generator daheim liegen.

---

Authentificator per Mobile App wird es in paar wochen geben (google-authenticator) ... steht im vollständigen artikel drinne

[I Cr@zy I]

Zitat:

---

eine schwarze Liste mit Passwörtern (die bereits 20 Mio. umfasst) veröffentlichen, die von den Hackern bei ihren Angriffsversuchen bereits verwendet worden sind.

Da es für ArenaNet aber nicht immer einfach ist, echte Einloggversuche von Spielern von denen der Hacker zu unterscheiden, werden in wenigen Wochen alle Spieler aufgefordert werden, ihr Passwort nochmals zu ändern, damit alle bisherigen auf die schwarze Liste gesetzt werden können.

---

Ja ne ist klar alle von Hackern benutzten und alle aktuellen. Ist ja überhaupt nicht übertrieben oder so. Sicherheit ist schon wichtig aber dieser Schritt schränkt die Sicherheit ja schon wieder ein.

[Angelus.Nox]

Zitat:

---

Authentificator per Mobile App wird es in paar wochen geben (google-authenticator) ... steht im vollständigen artikel drinne

---

halte ich für unnötig. ich hab eine eMailadresse für GW2 die sonst nirgendwo verwendet wird, und ein einzigartiges passwort.

das einzige was ich für unsicher halte ist die verwendung der login daten im forum - da gibt es zu viele denkbare möglichkeiten was abzufangen https hin oder her.

[ANGELofPAIN]

Zitat:

---

Ja ne ist klar alle von Hackern benutzten und alle aktuellen. Ist ja überhaupt nicht übertrieben oder so. Sicherheit ist schon wichtig aber dieser Schritt schränkt die Sicherheit ja schon wieder ein.

---

hä? wieso schränkt das die sicherheit ein? ... ich finde das ist ein guter schritt, auch wenn das bedeutet wieder nen neues pw ausdenken

in dem zusammenhang wird im originalen post auf diesen Comic verlinkt
des weiteren wird auch die einführung eines pw-generators angekündigt der solche 4-wort passwörter generiert

[fwehning]

Ich bin schockiert, dass die erstens uns zwingen das Passwort nochmal zu ändern und zweitens das alte Passwort auch noch veröffentlichen! Frechheit sowas. Sicherheitstechnisch bringt es gar nichts und eine Veröffentlichung von Passwörtern wird die Sicherheit noch weiter aushöhlen. Ich ändere mein Passwort, wenn ich die Wahl habe, jedenfalls ganz sicher nicht. Es ist einzigartig für GW und für mich selbst schon kaum noch zu merken. Irgendwann reichts auch mal mit dem ewigen Sicherheitsgewäsch.

Sie sollten lieber mal das AH in Ordnung halten als diesen dauerenden Blödsinn noch mehr auf die Spitze zu treiben...

[ANGELofPAIN]

Zitat:

---

Ich bin schockiert, dass die erstens uns zwingen das Passwort nochmal zu ändern und zweitens das alte Passwort auch noch veröffentlichen! Frechheit sowas. Sicherheitstechnisch bringt es gar nichts und eine Veröffentlichung von Passwörtern wird die Sicherheit noch weiter aushöhlen. Ich ändere mein Passwort, wenn ich die Wahl habe, jedenfalls ganz sicher nicht. Es ist einzigartig für GW und für mich selbst schon kaum noch zu merken. Irgendwann reichts auch mal mit dem ewigen Sicherheitsgewäsch.

Sie sollten lieber mal das AH in Ordnung halten als diesen dauerenden Blödsinn noch mehr auf die Spitze zu treiben...

---

also ich hab den abschnitt mit der blacklist im orginal post gelesen und da steht nichts von veröffentlichen, ka wo der newsersteller diese information her hat ... das sollte eventuell editiert werden

ansonsten sind gamer schon ein merkwürdiges völkchen ... erst werden accs gestohlen und überall hört man "mimimi macht was für die sicherheit" ... dann wird was gemacht und wieder kann man mimimi lesen "das ist jetzt aber zu viel des guten" ... eventuell sollten einige mal den original post lesen und nicht nur die verkürzte wartowernews ... dann würde man auch nicht zu dem schluß kommen das diese blacklist und die erzwungene pw-änderung nichts bringt

und bzgl. schwer zu merkende passworte solltest du dir mal den im original verlinkten comic ansehen

[illoyon finwe]

Zitat:

---

Ich bin schockiert, dass die erstens uns zwingen das Passwort nochmal zu ändern und zweitens das alte Passwort auch noch veröffentlichen! Frechheit sowas.

---

Gaaaaaanz ruhig...erstmal richtig lesen was da steht, ok?
Dein Pw wird nicht veröffentlicht! Es werden nur Passwörter aufgelistet die von Hackern bereits benutzt werden/worden.

[Viashvaroth]

Wird nicht veröffentlicht, hab's in der News geändert. Cool down.

[Chew]

Also ich glaube, dass die Passwortlänge in GW2 kein großes Problem ist, mein aktuelles hat jedenfalls bereits über 20 Zeichen.
Und von wegen "zwingen, das PW zu ändern" - also erstens ist das nicht schlimm und zweitens sollte man sein PW sowieso immer mal ändern.