News Guild Wars 2: Hacker erraten mehr als 11.000 Zugangsdaten

[Luxuspur]

naja wenn wundert das?? Hallo, wenn man seine eMail verifiziertt hat muss man jedesmal wenn man sich einloggt ne Bestätigungsmail aktzeptieren um ins Spiel zu kommen, nur sind die so blöd und verbinden das Ganze anstatt mit der MAC mit der IP, klar wo es in good Old Germany ja so viele statische IP gibt ... da bestätigst du schnell mal aus versehen die falsche Einloggbestätigungsmail .... zumal diese zumindest Anfangs ziemlich verzögert kamen und man schonmal ein Zweites mal anforderte
und dann nach Stunden mehrere im Posteingang waren, da fällt die eines Hackerversuchs dann kaum auf oder wenn du auf diesen Standort merken klickst ... ist nen ganzer IP Range deines Anbieters freigeschaltet ...bzw. wer auch immer nach 24h Zwangstrennung deine "alte" IP bekommt ist aktzeptiert ...

ich mein das Game ist spitze mit wenig bugs, aber so bescheuert hat sich schon lange kein
MMOPRG Betreiber mehr angestellt.

 

[Chepre]

@Luxuspur
dann ist ehe alles zuspät,wenn es soweit gekommen ist,dass die Mail Besteigung ankommt,denn da haben diejenigen den PW und E-Mail Adresse und könne weiter vorgehen.

nicht A-Net sollte für deinen bzw. den betroffenen Schutz sorgen,sondern man selbst.
A-Net sollte nur auf ihre Server aufpassen.(das mit der IP einlogg Bestätigung ist mehr oder weniger für sich selbst um zuschauen ob man schon gehackt wurde oder die Daten auf anderem Wege erbeutet wurden.)

 

[Luxuspur]

mit der IP verknüpft ist das trotzdem Schwachsinn ...sowas verknüpft man mit dem Rechner sprich MAC ... loggt sich nen anderer Rechner ein muss der erst bestätigt werden ... aber nicht per IP! Die ändert sich ja in Deutschland bei den meisten nach 24h ...

macht ja Steam & Co. auch nicht anders ... nen neuen Rechner muss ich erst bestätigen, den Alten aber nicht jedesmal neu ...

schau mal genau hin was du bei "Standort merken" bestätigst ... die derzeitige IP ... die gehört dir nach 24h aber gar nicht mehr (wenn du nicht gerade zu den seltenen Anwendern mit ner FestIP gehörst)

und wenn du ne "gefakte" Betsätigungsmail hast ... haben die mitnichten deine Anmeldedaten ... aber ausversehen die falsche angeklickt dann schon ... und das kann durchaus schnell passieren wenn du durch die Anfangsprobleme mehrere echte im Posteingang hast ... da fällt ne gefakte dazwischen nicht unbedingt auf. (Die Zeiten wo man falsche noch an schlechtem Deutsch erkennen konnte sind definitiv vorbei)

 

[Senephar]

Man kann bei der Bestätigung seinen Standort speichern lassen, dh solange man immer eine IP des selben Knotens bekommt, kriegt man auch keine weitere Abfragen.

Allerdings wär die Steamvariante, mit PC speichern auch mir lieber.

da schreibt aber PCGames was anderes zur den Verkaufszahlen.

PS. diese Meldung kam schon am 31.08.12 raus

Die VGCharts Zahlen sind wohl ohne Verkäufer.

Aktuell sieht es hier in Deutschland wohl so aus das GW2 fast überall ausverkauft ist.

 

[Point'n'Click]

Was ich nicht ganz verstehe ist, was diese Typen sich damit erhoffen? Welche Motivation haben die? Ich kann mir nicht vorstellen, dass Goldseller da viel Geld machen werden- gibt ja legales RWT- Accounts weitervk funktioniert auch nur bei Inaktiven...

 

[Chepre]

das ändert aber nichts daran dass die meisten selber nicht aufpassen oder 123456 als PW verwenden.
IP hin oder her.

und wenn man auf den "Standort merken" klickt,dann gibt es keine Mails bis einer von einem anderen Ort sich einloggt wird ja nicht nur die IP gespeichert sondern auch der ca. Wohnort.

damit man keine fälschliche Mails bekommt,sollte man das ganze auch schon vorher vorbeugen.

edit.
@Point'n'Click
es geht nur ums Geld.
lass einen Acc 1€ kosten,bei 11.000,sind es schon 11.000€.

 

[geislpxs]

Trotzdem würds eine Rolle spielen, ob dein Passwort jetzt Blume oder adVW24+ySd00 (am besten irgendeine ZahlenBuchstabenFolge die mit etwas in Verbindung steht) heisst.

Ich glaube hakunamapepsi ist etwas sicherer als das kryptische Passwort, dass du vorgleschlagen hast und viel leichter zu merken (und wehe, irgendwer kommt hier jetzt mit 26^13 !)

 

[Deleo]

Das ist normal in einem MMo, das passierte mir 2006 in WoW auch mal, aber man bekommt ja alles zurück.

 

[vander]

@BuffyYasha: Im alltäglichen Verständnis ist hacken das ausnutzen von Sicherheitslücken.

Der Titel suggeriert also GuildWars 2 hätte eine Sicherheitslücke - was schlichtweg falsch ist.

Daraus resultieren dann Kommentare hier wie:


Aber klar, ein Title wie "Guild Wars 2: Über 11.000 Passwörter von Benutzerkonten erraten" erzeugt natürlich deutlich weniger Klicks und Werbevolumen

Um dem Inhalt treu zu bleiben und trotzdem interessant und proffessioniell zu klingen, "GW2 Accounts kompromittiert, über 10k bekannte Fälle, AN reagierte bereits".

Oh Mann. Die Leute werden immer dümmer. Ich wünsche jedem, dessen Account auf diese Weise „gehackt“ wurde, möglichst viel Schaden.
Gut, dass ich ein Hirn im Schädel habe, also habe ich auch keine Sorgen mit sowas.
...

Ja klar, das ist das schöne am Verstand, die faire Verteilung. Jeder meint genug davon zu haben

 

[Türknauf]

Ich glaube hakunamapepsi ist etwas sicherer als das kryptische Passwort, dass du vorgleschlagen hast und viel leichter zu merken (und wehe, irgendwer kommt hier jetzt mit 26^13 !)

Ist das Ironie? Passwörter aus Wörtern die existieren sind niemals sicherer als Kombinationen aus Buchstaben, Zahlen und Zeichen.

 

[Xkeks]

wirklich niemals? Die Sicherheit eines Passwortes hängt viel mehr von der Länge als von der Anzahl möglicher Zeichen ab.

 

[Hellbend]

Anstatt so Arrogant zu sein, sollte man eher den Usern helfen.

Nee, so seh ich das nicht!
Wer einen, fast HighEnd, Rechner sein Eigen nennt und Internetanschluß hat, der wird das Thema Sicherheit mal beleuchten, falls es ihm nicht sowieso jeden Tag aufs Butterbrot geschmiert wird.

Leute die sich einen super Rechner für BF3 etc. hinstellen, den Provider um Dämpfung und Werte anraunzen, damit das Game lagfrei gedaddelt werden kann aber zum Thema Sicherheit mein Name ist Hase sagen, muß nicht geholfen werden.
Da gebe ich @Zehkul völlig recht - das muß nur mal richtig wehtun und zukünftig wird diesem Thema Beachtung geschenkt.

Ich frage mich immer wieder was so schwer daran ist, die eigene Postleitzahl, den Namen des Haustieres, das Geburtsdatum und ein paar Sonderzeichen miteinander zu kombinieren, in zig Varianten bei Bedarf.
Es liegt wohl eher daran, das die Leute Tippfaul sind und die Brain.exe nur auf mittleres Verstehen gestellt ist (auch aus Faulheit und dem Spruch mir passiert sowas einfach nicht).

Jeder hat sich als Kind mit dem Fahrad oder den Rollschuhen xmal auf die Schnute gelegt.
Das ist im Netz nicht anders, nur das einem da wirklich täglich auf Sicherheit in jenem Selben hingewiesen wird.

 

[geislpxs]

der wird das Thema Sicherheit mal beleuchten, falls es ihm nicht sowieso jeden Tag aufs Butterbrot geschmiert wird.

Von PC-Zeitschriften, die dir vorgaukeln, dass für jedes Passwort Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen notwendig sind, um ein sicheres Passwort zu generieren.
Bruteforce weiß nicht, welche Zeichen du benutzt! Bruteforce weiß nicht, wie lang dein Passwort ist! Nicht die Sicherheit von Passwörtern ist das Problem, sondern dass man an die Passwörter kommen kann, ohne sie zu knacken

Ich frage mich immer wieder was so schwer daran ist, die eigene Postleitzahl, den Namen des Haustieres, das Geburtsdatum und ein paar Sonderzeichen miteinander zu kombinieren, in zig Varianten bei Bedarf.
Es liegt wohl eher daran, das die Leute Tippfaul sind und die Brain.exe nur auf mittleres Verstehen gestellt ist (auch aus Faulheit und dem Spruch mir passiert sowas einfach nicht).

Es ist wichtig, dass Sonderzeichen, Zahlen, Groß- und Kleinschreibung beim Erstellen des Passwortes erlaubt sind! Ob man die benutzt spielt eigentlich gar keine Rolle, solange man kein 0815 pw oder irgendwas direkt aus dem Wörterbuch nimmt.

glaubst du wirklich, Bruteforce etc. testet joghurtmitraviolipastete vor #0?nH:§
Dann würde ja # als Passwort schon reichen, da Bruteforce jahrzehntelang x-stellige Passwörter aus Kleinbuchstaben testet...
Das was du für Brain.exe hälst ist Selbstbetrug (edit3: das hört sich hoffentlich netter an als: "mit deiner brain.exe wär ich nur noch im debuggingmode)

edit: perfektes Beispiel:
https://review.datenschutz.ch/passwortcheck/check.php

Das von Ihnen eingegebene Passwort ("correcthorsebatterystaple") ist schwach.
Das von Ihnen eingegebene Passwort ("#*a7Bv89a") ist stark.

Ohne Worte
edit2: bei http://passwortcheck.pc-feuerwehr.de/ sitzen wohl die selben DAUs. Nur das Interface ist anders.

 

[Tkohr]

Einige User sind einfach nur wiederlich hier, anstatt erstmal die eigentlichen schadensverursacher, nämlich die "Hacker" anzuprangern, hacken sie auf andere User ein die Pech gehabt haben und Kompromitiert wurden, und schreien hier "selber schuld, bist halt nen dummer Vollidiot und hast es nicht anders verdient".

Wenn ich sowas Lese wird mir einfach nur schlecht, das zeugt von unglaublicher unreife und Schadenfreude. Sicher gibt es genug Hinweisse im Netzt bezüglich Account Sicherheit, und immer wieder die Ermahnung verschiedene Passwörter zu benutzen, und sicherlich gibt es etliche denen es einfach zu anstregend ist, oder nicht nachdenken e.t.c ständig neue Passwörter e.t.c. zu machen, aber diese Leute werden hoffentlich Lernen, das letzte was mann aber macht, ist die geschädigten zu Verurteilen, anstatt die Verursacher, was ist denn das bitte für eine Logik, wie kaputt muss mann sein, solche anschuldigungen in ein Forum zu schreiben ?

Ich kann solche Posts in Zukunft wohl nur noch als Troll posts verstehen, denn kein normaler Mensch, mit Grips und Menschenliebe, würde anderen Menschen etwas schlechtes wünschen, sowas tun nur Psychisch gestörte Menschen, den alles egal ist, und die an erster Stelle nur sich selber sehen, ich sags nochmal, Eckelhaft und Wiederlich ist sowas.

 

[Point'n'Click]

Wer nicht hören will muss fühlen.

Natürlich sind die Datendiebe schuld, doch bin ich der Meinung, dass Spieler nur aus ihrem Fehlverhalten lernen, wenn sie die Konsequenzen tragen müssen.

 

[geislpxs]

Wer nicht hören will muss fühlen.

Kommt der Spruch nicht aus ner Zeit, zu ders noch cool war eigene und fremde Kinder zu verprügeln (mit dem Spruch: das tut mir mehr weh als dir)?
Es gibt keine Sicherheit. Weder im Internet noch sonst irgendwo. Man kann aber Freiheit/Komfort opfern, um sich ein klitzekleines bisschen sicherer zu fühlen.
Und man kann natürlich auf jedes bisschen Vorsicht sch.....
Ist wie mit dem Kondom. Das schützt vor Schwangerschaften (auch nur zu 99,...%) und diversen Krankheiten (auch nur .. 99,...%) und kostet dabei erheblich Komfort. Wenn man aufpasst, mit wem man ins Bett steigt, hat man trotzdem 99,...% Schutz vor Schwangerschaften, 99,...% Schutz vor Krankheiten und vollen Komfort :x

Meine Güte, kann Tkohrs Wut schon etwas verstehen

 

[Beatmaster A.C.]

Naja IMMER die Schuld am User geben sollte man aber auch nicht.
Viele Programme und Anwendungen lassen es mit der "erhöhten Sicherheit" einfach mal gar nicht zu. Z.B. ICQ. Bei ICQ muss das Passwort mindestens 6 und darf nicht mehr als 8 Zeichen enthalten. Da kann man tippen soviel man will, sobald man bei 8 Zeichen angelangt ist schreibt man nicht mehr weiter. Da hat der Entwickler z.B. die Schuld. Bei Skype hört es schon bei 12 Zeichen auf. Auch bei Arena net ist bei 16 Zeichen Schluss. Da ist nichts mit ichgehan1mschönenSonntagala1337Spazieren!_Undfühlmichgut#. langen Passwort

Bei manchen Anwendungen kann man keine Sonderzeichen als Passwort Benutzen oder bei manchen kann man nicht einmal die Groß-und Kleinschreibung verwenden.

 

[Creeed]

Was nutzt aber die tollste Mechanik für Passwörter wenn ein Großteil der benutzten Passwörter noch nicht mal den Sicherheitsanforderungen von vor 10 Jahren genügen. Hier wird so tief im Teller gedacht dass es teilweise weh tut. Wir, damit meine ich die Leute die hier posten, sind in der Regel in der IT fortgeschritten. Sei es durch Beruf, Hobby oder Studium. Aber wir sind nun mal nicht die Masse sondern nur eine Vocal Minority. Der Großteil der Computernutzer da draußen ist nicht so gebildet in der Richtung. Hier muss die Aufklärung und auch ein Wissensgewinn für diese Leute geschehen bevor sich was ändert.

 

[givens]

Um dem Inhalt treu zu bleiben und trotzdem interessant und proffessioniell zu klingen, "GW2 Accounts kompromittiert, über 10k bekannte Fälle, AN reagierte bereits".

Das wurde eher klingen wie von Gulli geklaut

glaubst du wirklich, Bruteforce etc. testet joghurtmitraviolipastete vor #0?nH:§

Bin ich mir sogar ziemlich sicher. Das sind gerade mal 4 Wörter. Und Wörterbuch-Abgleich ist ziemlich üblich, wenn man bedenkt dass zum Beispiel die Passwörter des Sony-Hacks zu 2/3 eben durch Wörterbuch-Bruteforce-Attacken innerhalb von kürzester Zeit entschlüsselt hätten werden können ...

 

[SamSoNight]

Auf der einen Seite sind die User echt selber schuld, wenn sie "Universal"-PW und -Mail benutzen.

Aber, jetzt kommt das aber

Die Sicherheitsvorkehrungen von GW2 sind höchstens ausreichend, also Note 4. Denn sobald ein Hacker/Dieb Login-PW hat, dann kann er sofort ALLES verändern. Zum Beispiel konnten die Hacker/Diebe die Mailadresse sofort ändern und die Opfer des Diebstahls bekamen diese, fast schon zynische Mail:

Someone -hopefully you!- has requested to change the email address associated with your Guild Wars account.

Need help or have questions about your Guild Wars account? Visit our support site: http://support.guildwars2.com/.

Thanks!

-The ArenaNet Team

Das -hopefully you!- ist echt ein schlechter Scherz. Es sollte schon fast selbstverständlich sein, dass man Mail oder PW nicht ohne Bestätigung an die alte Mail wechseln kann. Dazu kommt noch, dass fortgeschrittenere Systeme wie Authenticator, Handy-TAN, Charakterpin, etc. nicht implementiert sind.
Das heißt, im Falle eines richtigen Hackerangriff auf Arenanets Systeme, sähe es richtig schlecht aus.