Ubisoft Account gehackt

[der-junge]

Moin, habe heute Nacht eine E-Mail bekommen, dass sich jemand mit ner Südkoreanischen IP Adresse in meinen Ubisoft Account eingeloggt hat. Zugegeben, das Kennwort war echt schwach, hat mich nicht groß gejuckt da ich da eh nur ein Spiel habe und schon ewig nicht benutzt.

Natürlich habe ich das Kennwort nun gegen ein stärkeres ersetzt, aber ich Frage mich ob das reicht?
Der Hacker weiss ja nun das die E-Mail Adresse des Accounts existiert, ist es dann nicht fegährlich diese weiter zu nutzen? Wird dann nicht probiert diese als nächstes zu hacken?

 

[TorenAltair]

Das ist kein Hacking. Nutze vernünftige Passwörter/-phrasen, für jeden Dienst ein anderes und halte Deine Systeme sauber und schalte ggf 2FA an.

 

[BlubbsDE]

Du wurdest nicht gehackt. Lies mal nach, was hacken bedeutet.

Der Account hat erstmal nichts mit der Mailadresse / der Mailkonto zu tun. Aber wenn Du auch da schwache Passwörter nutzt, dann ändere das sofort. Und, überall wo es geht die 2 Faktor Autorisierung anschalten. Ubi bietet das auch an.

 

[Atkatla]

Hast du genau dieses alte, unsichere Passwort auch bei anderen Diensten genutzt? Dann solltest du auch dort ein anderes Passwort konfigurieren.

Welche email-adressen exisiteren, ist für die Spammerwelt ohnehin bekannt. Wichtig ist, unterschiedliche ausreichend sichere Passwörter bei unterschiedlichen Diensten zu nutzen.

 

[Rickmer]

Wenn du dasselbe schwache Passwort für deine email benutzt darfst du getrost davon ausgehen, dass diese auch 'gehackt' ist.

Insbesondere bei emails sollte jeder Account ein anderes komplexes Passwort haben.

Ja, da blickt keiner mehr durch - dafür nutzt man einen Passworttresor. Persönlich nutze ich Keepass.
Regelmäßige Backups der Passwortdatenbank nicht vergessen - wenn die Datei verloren geht sieht's schlecht aus.

Aber du hast ja sowieso ein regelmäßiges System-Backup laufen, richtig?

 

[der-junge]

nene, meine E-Mail hat schon nen anderes komplexeres PW.

Mein System ist eigentlich gut gebackupt, einmal alle wichtigen Daten auf der NAS und dann nochmal 1x im Monat alles auf ne externe HDD.
Vom PC habe ich nen Image, was ich normalerweise einmal im Monat zurücksetze. Dazu nutze ich ublock/umatrix im Firefox, von dem her sollte das eigentlich alles recht safe sein.

Ich denke ich werde das ganze mal zum Anlass nehmen meine Kennwörter für alle Accounts zu erneuern.

 

[UNDERESTIMATED]

Der Account hat erstmal nichts mit der Mailadresse / der Mailkonto zu tun.

Solange die Leets nicht anders herum "erworben" wurden magst du damit recht behalten.
Mailadressen+PW sind auf dem Schwarzmarkt gerade preislich immer noch äußerst beliebt, eben weil sich damit nahezu jeder Account von Sonstwo sofort zurücksetzen lässt wenn kein 2FA im Spiel ist und man aus der kriminellen Sicht dann am meisten verdient (wenn man diese Accounts dann halt verkauft)

Der Unterschied was kompromittiert wurde ist ja auch ziemlich einfach:
Passwort zurückgesetzt=Mail kompromittiert
Eingeloggt aus unbekanntem Ort=Accountname kompromittiert, oder Passwort

Ich denke ich werde das ganze mal zum Anlass nehmen meine Kennwörter für alle Accounts zu erneuern.

Natürlich aktivierst du dann wo es geht auch gleich 2FA. Sehr gut

Ja, da blickt keiner mehr durch - dafür nutzt man einen Passworttresor.

Kann man machen; als Alternativ zu immergleichen Passwörtern überall andere an einem einzigen Ort zu sichern ist aber auch nur Security by Obscurity. Es verhindert zwar die Direktverbindung, sollte dein Keepass Account aber kompromittiert werden und du hast darauf keinen Zugriff mehr, warum auch immer, möchte ich jedenfalls nicht in deiner Haut stecken ;-)

 

[Rickmer]

sollte dein Keepass Account aber kompromittiert werden und du hast darauf keinen Zugriff mehr, warum auch immer, möchte ich jedenfalls nicht in deiner Haut stecken ;-)

Keepass hat keine Accounts. Das ist nicht Dashlane oder irgendeiner der dutzenden Services.

Das ist ein Offline-Programm (open source) mit einer geschützten Datenbank, von der sich problemlos Kopien erzeugen und vervielfältigen lassen.

Für meinen Teil repliziere ich die Datenbank zwischen meinen Geräten über OneDrive - das ist und bleibt sicher weil die Datenbankdatei verschlüsselt ist. (ChaCha20 256-Bit, das KW selbst ist 14 Zeichen im größten Zeichenraum - viel Spaß mit Brute Force)

 

[mitch-dk]

Wenn ein Gerät kompromittiert wird (Keylogger etc.) kann das unter Umständen auch den Keypass Schlüssel offen legen. Und bei einer Datei hast Du keine Übersicht, wer diese letztendlich hat und daran "arbeitet". Das ist auch nur in Sicherheit wägen..
Ideal wäre eine Methode wie ein zusätzlichen Hardwaretoken zum Passwort oder nur ein Teilpasswort das in Keypass hinterlegt wird oder zusätzliche 2FAs..
Evtl. auch ein Passwort wo der zweite Teil mit einer Codekarte "verschleiert" ist.. (Google: Passwortkarte)

 

[Rickmer]

Alles kann irgendwie von irgendwem kompromittiert werden...
Das einzige System das 100% sicher ist ist eins, an das du selbst auch nicht mehr dran kommst.

Man muss immer einen für sich akzeptablen Kompromiss von Sicherheit und Usability finden.

 

[UNDERESTIMATED]

Das einzige System das 100% sicher ist ist eins, an das du selbst auch nicht mehr dran kommst.

Ne, nicht mal das. Schließfächer in Banken haben und die Schlüssel wegschmeißen nutzt dir halt auch nichts wenn einer einbricht und die Dinger einfach aufbohrt. :-)
Oder anders: Sparpläne mit Fixsummen die einfach für 20 Jahre gesperrt werden um konstante Renditen zu erwirtschaften. Sichert auch nicht gegen Totalverlust ab.

Hier: Keepass auf dem Laptop mit dem 2FA Schlüssel auf einem USB-Stick in derselben Tasche mit in den Urlaub zu nehmen und dann beim einkaufen im Auto liegen zu lassen wäre noch so was. Das würde mich sehr belasten - zumal: Viel Spass dann deine Kennwörter schnell zu ändern.

Sicherheit ist eben relativ, danke aber für die Erklärung wie Keepass funktioniert, habe selbst einige Zeit mal Lastpass benutzt, gerade weil ich zig Accounts in irgendwelchen Sat- oder Hififoren angelegt habe um dort bspw. Bilder oder Downloads nutzen zu können. Das war gelinde gesagt nur für eben sowas brauchbar, sensible Accountdaten mit wirklichem Personenbezug hätte ich da nie eingetragen.

 

[brianmolko]

Keypass

KeePass

Es lässt sich zusätzlich zum Passwort noch ein Keyfile, welcher Art ist beliebig, als 2. Faktor einstellen.

 

[mitch-dk]

Ja, nur brauchst Du die Keydatei auch auf allen Endgeräten. Gegen Keylogger "könnte" das OK sein, wenn die Integrität der Datei gegeben bleibt. Aber das Fass nun aufmachen möchte ich jetzt auch nicht. Ist halt Glaubensfrage: Manche glauben auch das das Verstecken der WLAN-SSID schützt.

Im Endeffekt sollte man sich in die Techniken einlesen und das raussuchen was einen guten Schnitt zwischen Sicherheit und Usability hat. Letztendlich geben die meisten Dienstanbieter die Parameter vor, da nützt ein 20Zeichen-Passwort auch nichts wenn nur 8 Zeichen angenommen werden. Oder der Anwender fällt in "typische" Muster zurück wenn er zum 3ten Mal im Monat das Passwort ändern soll.