News Echtgeld-Auktionshaus in Diablo 3 nur mit Authenticator

[Magellan]

Sorry aber das ist hier einfach nicht angebracht.
Ich beschwer mich auch nicht dass ich beim Onlinebanking zusätzlich zu meiner Pin auch noch ein Tanverfahren benötige - ein normales Passwortverfahren ist eben a nicht sooo sicher und schützt b nicht vor dummen Usern.

Es ist durchaus berechtigt beim Umgang mit Realgeld eine zusätzliche Sicherheitsschicht zu verwenden.

 

[G3cko]

Es soll auch Leute geben die trotz Authenticator gehakt wurden.

Ich glaube auch nicht, dass die damit Profit machen, aber es hinterlässt einen faden Beigeschmack, wenn man auf zusätzliche Technik angewiesen ist um Blizzards Sicherheitsprobleme zu beheben.

Aus Erfahrung kann ich sagen, dass wenn man gehackt wurde man die Wahl hat ob einem der Account wieder hergestellt wird. Der Haken an der Sache: Möchte man das Auktionshaus weiterhin nutzen benötigt man einen Authenticator.

 

[Stormbilly]

Hätte es eine TAN Liste zum ausdrucken nicht auch getan Bli$$ard?

Gibts den Autenticator auch für PC ich hab kein Smartphone?

Schon drei mal vorher erwähnt, aber gehört auch noch in die News, weil dort behauptet wird, dass es nicht geht: http://code.google.com/p/winauth/

 

[Doom Squirrel]

Es soll auch Leute geben die trotz Authenticator gehakt wurden.

[...]

Quellen? Fakten? Bitte.

 

[birday]

es ist doch sinnlos, den authenticator auf dem selben PC auszuführen (der im fall der fälle ja eh schon kompromittiert ist). da müsste man schon zb ein altes notebook zur verfügung haben.
edit: mir geht es hier um "winauth", falls das jemand jetzt nicht verstanden hat.
das ist so toll, wie die ganzen leute mit onlinebanking am smartphone & gleichzeitig SMStan.
im übrigen bekommt blizzard provision für jede transaktion, da muss man sich eigentlich keine gedanken um die bezahlung des supports machen.

 

[qhil]

Der Verbraucher MUSS es nicht machen. Wie ich schon sagte mit Glück hat man die Kosten nach einer Auktion in D3 wieder drinne...

Doch muss er, wenn er ein Bestandteil des Spiels, welches er bereits bezahlt hat, nutzen möchte - und das auf seine Kosten. Leider wird das viel zu oft so gehandhabt, nicht nur bei Blizzard.

 

[Cool Master]

@qHiL

Wo hat er dafür bezahlt? Die Funktion war noch gar nicht seit Tag eins drinne also kann er rechtlich dafür auch nicht bezhalt haben. Das ist ein Content patch was da kommt und kein Update patch.

Aber ich sehe schon es bringt nichts mit dir darüber zu schreiben weil du schon das 2. mal mein 2. Satz ignoriert hast. Ich schreibe es noch mal:

MIt Glück hat man die Kosten nach einer Auktion drinne.

 

[Stormbilly]

es ist doch sinnlos, den authenticator auf dem selben PC auszuführen (der im fall der fälle ja eh schon kompromittiert ist). da müsste man schon zb ein altes notebook zur verfügung haben.

Sicher ist es besser auf nem andern PC, aber es ist immer noch sicherer als ohne. Weil wenn du ein lullipasswort hast, wird es auch mal erraten ohne dass du deinen PC infiziert hast. Oder eine Webseite oder ein Service (Sony PSN, Steam, etc.) wird gehackt und du hast dummerweise dort dasselbe Passwort mit derselben E-Mailadresse verknüpft.
Deswegen einfach sowas wie Keepass benutzen und überall zufallsgenerierte Passwörter verwenden.

 

[CB_KeinNameFrei]

Quellen? Fakten? Bitte.

Quelle habe ich gerade nicht, aber als die Authenticators damals neu eingeführt wurden gab es Spekulationen über mögliche Man-In-The-Middle Angriffe, die den Code abfangen können, wenn der User ihn in seinem Programm (damals WoW) eingibt.

Diese Art von Angriff ist allerdings extrem aufwändig und darüber hinaus so gut wie gar nicht zu automatisieren, so dass er sich zwar für das koste-es-was-wolle Knacken eines bestimmten Accounts eignen würde, aber nie für das breit angelegte passive "abfarmen" von Usern für Gold und Echtgeld, wie normale Keylogger das tun würden.

 

[G3cko]

Quellen? Fakten? Bitte.

KLICK

 

[GreyPrinceZote]

Es soll auch Leute geben die trotz Authenticator gehakt wurden.

Das ist ein unwahres Gerücht. Genauso wie die ganzen Newseiten (inklusive CB) das Gerücht verbreiten haben, dass man ingame durch spoofing gehackt werden kann.

Wie bei nem Interview mit nem Goldfarmer noch mal deutlich wurde gehen die Hacker so vor, dass sie nicht direkt auf Blizzards Seiten / Spielen ihre Scams etc. anbringen, weil diese Seiten sicher sind, sondern einfach auf den ganzen Fansites, Wikis, mit phishing mails und so weiter nach Passwörtern suchen, die se dann auch bei den BNet accounts ausprobieren.

Das geht nämlich viel einfacher und der Anteil der Leute, die für mehrere wichtige Services das gleiche Passwort benutzen ist ja leider viel zu hoch.
Neulich hat z.B. dieser Athene, der wohl nen MMORPG Pro oder so was ist und mit Streaming seine Mäuse verdient, außversehen sein passwort ins Feld vom Account Namen kopiert. Was passiert?
Neben seinem BNet account haben sich die Leute auch noch Zugriff auf Facebook und YouTube Account von ihm bekommen. Weil es eben Idioten gibt, die selbst wenn sie ihren Lebensunterhalt mit sowas verdienen zu faul sind, um mehrere Passwörter zu benutzen.

Neulich wurden die EU LoL Passwörter geklaut? Solche werden dann natürlich auch gleich bei D3 und anderen Spielen ausprobiert.

Nen Authenticator als Voraussetzung ist das einzig richtige.

 

[Daaron]

@wp7 diese entscheidung, ob man soetwas braucht oder nicht, sollte imo jeder benutzer auch selbst treffen.

Können die Leute doch. Blizzard sagen eben nur beim Thema "Echtgeld", dass hier ne Grenze erreicht wurde. Solange es nur um Gold und virtuelle Items geht kannst du nach einem Hack recht problemlos alles wiederherstellen. Da schickste n Admin für ne Stunde in die Serverlogs, der findets schon. Wenn dir aber n Hacker nicht nur deinen Acc leer macht sondern auch noch dein Echtgeld-Guthaben, dann ist das nicht mehr so leicht zu fixen. Hier können richtig hohe Schäden entstehen, bei denen User evtl. auf den Schwengel kommen könnten, dass sie eine Klage rechtfertigen. Über den Authenticator-Zwang umgehen sie das Problem ganz einfach.

Fakt ist: Ich hab noch nie von einem erfolgreichen Hack auf n Auth-User gehört. Leute ohne Auth hingegen wurden gern mal geplündert.

Hätte es eine TAN Liste zum ausdrucken nicht auch getan Bli$$ard?

Und was machst du mit Leuten ohne Drucker? Ich kenne Leute, die keinen Drucker haben, sehr wohl aber n Smartphone.
Und was die Authenticator-SOFTWARE angeht: Wenn dein PC kompromittiert wurde (Trojaner, Keylogger,...), dann wurde eine Windows-basierte Auth-Software gleich mit kompromittiert, zusammen mit heruntergeladenen TAN-PDFs. Einen Hardware-Token zu kompromittieren ist hingegen nahezu unmöglich, und auch wenn der Login auf dem PC und der Auth auf dem Handy liegt besteht keine nennenswerte Gefahr, dass beides verseucht ist.

 

[Cool Master]

@G3cko

Das sind alles Faker. Ein Auth kann aktuell nicht gehackt werden außer man hat Zugriff auf Ihn. Wie ich schon schrieb bitte knacke mir mal 100 Mio Kombinationen in 30 Sekunden.

 

[Zoldyck]

Quelle habe ich gerade nicht, aber als die Authenticators damals neu eingeführt wurden gab es Spekulationen über mögliche Man-In-The-Middle Angriffe, die den Code abfangen können, wenn der User ihn in seinem Programm (damals WoW) eingibt.

Diese Art von Angriff ist allerdings extrem aufwändig und so gut wie gar nicht zu automatisieren, so dass er sich zwar für das Knacken eines bestimmten Accounts eignen würde, aber nie für das breit angelegte "abfarmen" von Usern für Gold und Echtgeld, wie normale Keylogger das tun würden.

Das ist doch nicht durchführbar...selbst wenn man den Code so bekommt dann hat sich der Spieler gerade eingeloggt. Um den Code zu verwerten muss der der ihn erbeutet hat ihn sofort verwenden, da die Gültigkeit dessen Zeitabhängig ist. Versucht die Person sich jetzt in den Account einzuloggen in dem sich gerade der andere Spieler befinden, dann wird der Account automatisch gesperrt. (Hatte ich gerade letztens als ich mich bei einem Freund einloggen wollte, der aber gerade online war).

 

[qhil]

Wo hat er dafür bezahlt? Die Funktion war noch gar nicht seit Tag eins drinne also kann er rechtlich dafür auch nicht bezhalt haben. Das ist ein Content patch was da kommt und kein Update patch.

Aber ich sehe schon es bringt nichts mit dir darüber zu schreiben weil du schon das 2. mal mein 2. Satz ignoriert hast. Ich schreibe es noch mal:

MIt Glück hat man die Kosten nach einer Auktion drinne.

Du möchtest das jetzt nicht wirklich mit dem Argument "Bei Release gab es das RMAH noch nicht." rechtfertigen, oder? Es war von Anfang an klar, dass es das geben wird. Nicht umsonst gab es einen solchen Wirbel darum. Aber wie auch immer, lassen wir das lieber

Im dem Punkt, den ich ignoriert / übersehen habe, gebe ich dir Recht. Es ist theoretisch möglich, aber eben nicht sicher. Das macht für mich einen Unterschied.

 

[Cool Master]

Im dem Punkt, den ich ignoriert / übersehen habe, gebe ich dir Recht. Es ist theoretisch möglich, aber eben nicht sicher. Das macht für mich einen Unterschied.

Ok wird es halt nach der 10. Auktion für ein € der Break Even Point erreicht... Auf lange sicht wird man das Geld wieder bekommen.

 

[Yakusio]

...

Ich glaube eher,dass du dich informieren solltest...das war ein Scherz von Athene, man hat einen feuchten Dreck von ihm gehackt...

 

[hrafnagaldr]

Edit: Ziemlich unfair, den Authenticator auch separat zu verkaufen. Der Umsatz aus dem AH sollte doch genug Gewinn bringen...Gier frist Hirn. Hirn nix mache mehr gute Spiele.

Ich habs schon in anderen Beiträgen zum Thema geschrieben: das Token ist optisch ein Vasco Digipass Go 6. Wenn ich als Händler das für das Systemhaus einkaufe, in dem ich arbeite, zahle ich für so ein Token 20€ exkl. Mwst. Wenn Blizzard das für 9,99e inkl. Versand anbietet, ist das zum Selbstkostenpreis (natürlich haben die entsprechend bessere Einkaufskonditionen). Immerhin müssen dafür auch noch die entsprechenden Lizenzen und Hardware zum Betrieb der Authentifizierungsserver erworben werden, die App programmiert werden und alles was da noch mit dran hängt.

Da es hier im echtes geld geht finde ich die Maßnahme aboslut in Ordnung (ich nutze zwar den Auth, aber das RMAH werde ich nicht nutzen).

 

[Doom Squirrel]

Quelle habe ich gerade nicht, aber als die Authenticators damals neu eingeführt wurden gab es Spekulationen über mögliche Man-In-The-Middle Angriffe, die den Code abfangen können, wenn der User ihn in seinem Programm (damals WoW) eingibt.
[...]

Aha. Damals. Und das hat genau was mit der aktuellen Situation zu tun? Lass' mich für Dich nachdenken: Nichts.

Nichts für ungut, aber in der aktuellen Situation wie schon Na_Dann_Ma_GoGo und Cool Master schrieben ist es noch nicht vorgekommen und wird auch nicht vorkommen. Es gibt sogar CB-User die, nachdem ihre Accounts gehackt worden sind, nun einen Auth. einsetzen und seitdem "sicher" sind.

KLICK

Da biste stolz auf Dich, dass Du Google benutzen kannst. Tolle Leistung. Hier hast Du ein Fleisskärtchen.

 

[hrafnagaldr]

Es soll auch Leute geben die trotz Authenticator gehakt wurden.

Dazu gibt es nicht einen bestätigten oder mir bekannten Fall. Alle die wirklich gehackt wurden (auch mein Bruder) haben den nicht verwendet.
Es gab aber genug Fälle, bei denen Fake-Kommentare die Sicherheit des Authenticators herunterspielen sollten, um Leute davon abzubringen, diesen einzusetzen.

Ansonsten müsste da eine Man-in-the-middle Attacke mit sehr begrenztem Zeitfenster stattfinden. Machbar, aber für einen Bnet-Account nicht lohnenswert. Und selbst dann wird Blizz den Doppelloging von zwei versch. IPs innerhalb eines kurzen Zeitraums evtl. noch erkennen und den Acc sperren.

KLICK

Wurde leider von noscript geblockt