Accountsicherheit in MMOs: So könnt Ihr Eure Daten besser schützen
Phisher, Keylogger, Trojaner - wer sich die Account-Daten von Internetnutzern illegal zu Eigen machen will, dem stehen allerhand Tricks zur Verfügung. Den Usern hingegen fällt es schwerer und schwerer, sich der Angriffe und hinterhältigen Taktiken auf ihre Daten und Accounts zu erwehren. In unserem Special geben wir Euch Tipps und Tricks an die Hand, mit denen Ihr Eure Spiel-Accounts besser schützen könnt.
Vor allem zum Start eines neuen Online-Rollenspiels kommt sie wieder auf, die Welle an Warnungen vor Phishern, Trojanern und Keyloggern, vor Lügnern und Betrügern. Zum Spielen eines MMOs benötigt Ihr in der Regel einen registrierten Account, den Ihr wie einen Augapfel behüten und schützen solltet, um am Ende nicht mit leeren Händen dazustehen. Vor kurzem erst ist Rift veröffentlicht worden, und in diesem Jahr werden wahrscheinlich noch allerhand weitere Online-Rollenspiele zumindest in die Beta-Phase starten. Aus dem Grund wollen wir noch einmal in Erinnerung rufen, welche Sicherheitsmaßnahmen Ihr ergreifen könnt, um Eure Daten und Accounts zu schützen. Dazu geben wir Euch gängige Sicherheitstipps zur Erstellung eines Accounts. Und wir verraten Euch, was die Entwickler unternehmen, um kriminellen Gestalten den Zugang zu Euren Daten zu erschweren.
Die goldenen Regeln der Internet-Sicherheit
Es gibt viele Tricks und Ratschläge, die ein Internet-Nutzer beherzigen sollte, um die Gefahren eines Angriffs auf seine Daten zu minimieren. Ein Allheilmittel sucht Ihr vergeblich, dennoch gibt es Hinweise, die Ihr Euch besonders zu Herzen nehmen solltet:
Bitte lest auch den umfangreichen Beitrag zur Account-Sicherheit von Ahramanyu in unserem Forum.
Account-Sicherheit – schon beim Anlegen
Nachfolgend geben wir Euch Tipps und Tricks, wie Ihr schon bei der Erstellung Eures Accounts auf Nummer Sicher geht, und es potentiellen Hackern oder anderen zwielichtigen Gestalten schwer macht, die Daten Eures Accounts herauszufinden. Wir orientieren uns für das Beispiel an der Erstellung für einen Battle.net-Account; unsere Tipps lassen sich aber natürlich auch auf jede andere Account-Erstellung übertragen. Für unser Beispiel nehmen wir an, Hans-Peter Marten will einen Account erstellen.
Schritt 1: Die E-Mail-Adresse
Schon von vornherein solltet Ihr einerseits keinem User auf die Nase binden, wie Ihr wirklich heißt – und auch keine E-Mail-Adresse verwenden, die Teile Eures Namens beinhaltet. Namen austauschen könnt Ihr immer dann, wenn Ihr es wollt, aber nicht jede Zufallsbekanntschaft auf dem Server muss Euren echten Namen wissen. Andererseits solltet Ihr keinen E-Mail-Account benutzen, den Ihr auch für andere Services eingetragen habt. Hackt beispielsweise jemand diesen einen E-Mail-Account, dann hat derjenige nicht nur Zugang zu Euren Spiel-Account-Daten, sondern womöglich auch zu Bankdaten, Social-Website-Infos und persönlichen Mails.
Aus dem Grund solltet Ihr bei einem kostenlosen Mail-Anbieter Eurer Wahl eine eigene Mail-Adresse für diesen Account anlegen. Bedenkt auch hier, dass Ihr Euch eine E-Mail-Adresse aussucht, die sich nicht in Verbindung mit Eurem richtigen Namen bringen lässt. Zusätzlich könntet Ihr eine Alternativ-Adresse angeben, an die eine Mail mit dem Passwort für den neu erstellten Mail-Account geschickt wird, falls Ihr mal das Passwort vergesst. Wer sicher gehen will, lässt die Finger davon. Denn im schlimmsten Fall befindet sich im Papierkorb des neuen Postfachs eine Bestätigung der Alternativ-Adresse – und schon haben findige Hacker einen weiteren Angriffspunkt gefunden.
Schritt 2: Das Passwort
Es gibt einige Regeln für die Erstellung sicherer Passwörter, oftmals verraten Euch die Betreiber einer Webseite schon selbst Tipps.
Das sind an sich schon allerhand Tipps, mit denen sich ein anständiges Passwort erstellen lässt. Es gibt aber noch ein paar Ratschläge, die wir Euch an dieser Stelle nicht vorenthalten wollen.
Im Internet lassen sich jede Menge Passwort-Generatoren finden, einer ist beispielsweise auf pctools.com. Aktiviert dabei den Haken bei „Punctuation“, um ein noch sichereres Passwort zu erstellen.
Schritt 3: Die Geheimfrage
Vor allem bei der Geheimfrage fällt es Usern schwer, sich an Sicherheitsstandards zu halten. Oft nutzen sie Fragen und Antworten, die schnell mit ihnen in Verbindung gebracht werden können. Und im Internet hinterlässt jeder unvorsichtige Nutzer in Hülle und Fülle seine persönlichen Angaben. Also: Passt auf, dass Ihr im Netz so wenig wie möglich über Euch verratet. Und denkt Euch eine geheime Antwort aus, die sich nicht mit Euch in Verbindung bringen lässt.
Abfragesysteme der Entwickler
Entwickler von MMOs sind sich bewusst, dass sich Hacker die Account-Daten der Kunden aneignen wollen – und können. Aus dem Grund gibt es verschiedene Varianten von Sicherheitssystemen der Entwickler, über die die Accounts noch besser geschützt werden sollen. Wir erklären Euch hier einige Beispiele.
Das Token-System
Über bestimmte Applikationen für Mobilgeräte wie Handys und Smartphones und auch über Hardware-Lösungen – sogenannte Dongles – generiert Ihr einen temporär gültigen Code (Token), den Ihr für die Einwahl in Euren Account benötigt. Die Anfrage des Token findet in der Regel nach Eurer Eingabe des Passworts statt. Diese Token sind meist 30 Sekunden lang gültig. Wenn der Code in diesem Zeitraum nicht verwendet wird, dann verliert er automatisch seine Gültigkeit und Ihr müsst einen neuen Token erstellen. Spieler der Produkte von Blizzard Entertainment nutzen beispielsweise das Token-System mit ihrem Authenticator, auch Fans von Final Fantasy können ihren Account mit einem Dongle schützen.
Die Bestätigung des IP-Adressraums
In mehreren MMOs besteht eine Sicherheitsinstanz darin, dass Ihr bestätigt, von welchem IP-Adressraum Ihr Euch in das Spiel einloggt. Das funktioniert folgendermaßen: Loggt Ihr Euch beispielsweise von einem bestimmten Rechner aus zum ersten Mal in Euren Account ein, dann kann dieser Account gesperrt werden. Warum? Es kann nicht eindeutig verifiziert werden, ob sich wirklich der Account-Inhaber einloggt. Im selben Moment wird vom Spielbetreiber ein Code an Eure mit dem Account verbundene E-Mail-Adresse geschickt. Den Code müsst Ihr im Spiel oder in der Account-Verwaltung eingeben, um so Euren IP-Adressraum zu bestätigen. Andere Betreiber lassen Euch eine E-Mail mit einem Link zukommen. Klickt Ihr auf diesen, dann müsst Ihr Euer Passwort ändern, natürlich nicht ohne vorher das alte Passwort eingegeben zu haben. Auch auf diese Art wird bestätigt, dass dieser Account Eurer ist.
Es kann passieren, dass Ihr mehrmals einen Code eingeben oder das Passwort ändern müsst, bis Ihr auf einer White List des Betreibers landet. Auf dieser ist dann vermerkt, von welchen IP-Adressraum Ihr Euch einwählt, und dass von diesen keine Bestätigung mehr angefordert werden muss. Eine solche Sicherheitsvorkehrung gibt es beispielsweise in Rift und in World of Warcraft. Solltet Ihr übrigens einmal am Tag einen Code eingeben müssen, obwohl Ihr Euch jedes Mal vom gleichen Rechner aus einloggt, dann liegt das daran, dass der Spielbetreiber keinen IP-Adressbereich registriert, sondern nur eine IP-Adresse. Im Rahmen des üblicherweise täglich stattfindenden IP-Resets verändert sich dann Eure IP-Adresse und Ihr müsst abermals verifizieren, dass Ihr der Account-Besitzer seid.
Die Charakter-Bestätigung
Die Charakter-Bestätigung wird beispielsweise beim Online-Rollenspiel Guild Wars eingesetzt. Ihr müsst zuerst Euer Passwort eingeben, um Euch einzuloggen. Obendrein wird auch jedes Mal beim Login von Euch verlangt, dass Ihr den Namen eines Charakters auf diesem Account eingebt. Auf diese Art und Weise wird sichergestellt, dass Ihr nicht nur Passwort sondern auch die Namen der Helden auf diesem Account kennt.
Die Ingame-Tastatur
Das Abgreifen der Tastatur-Aktivitäten durch Keylogging und damit das Auslesen der Passwörter wird von einigen Entwicklern durch den Einsatz einer Passwort-Abfrage mit einer virtuellen Tastatur erschwert. Ein aktuelles Beispiel ist das Hack’n-Slay-MMO Mythos, das über den Publisher Frogster IP vertrieben wird und im April erscheinen soll. Nach der üblichen Passwort-Abfrage werdet Ihr dazu aufgefordert, ein zweites Passwort über eine virtuelle Tastatur einzugeben. In diesem Fall handelt es sich um eine Ziffernfolge. Diese von Euch zuvor erdachte Nummer könnt Ihr ausschließlich über Mausklicks auf ein Nummerpad eingeben, das auf dem Bildschirm angezeigt wird. Bei diesem System schützt Ihr Euren Account also nicht nur mit zwei Passwörtern, sondern vermeidet zudem, dass ein eventueller Keylogger die Daten zu Eurem zweiten Passwort einfach abgreifen kann.
Es gibt viele Tricks und Ratschläge, die ein Internet-Nutzer beherzigen sollte, um die Gefahren eines Angriffs auf seine Daten zu minimieren. Ein Allheilmittel sucht Ihr vergeblich, dennoch gibt es Hinweise, die Ihr Euch besonders zu Herzen nehmen solltet:
1. Löscht E-Mails unbekannter Absender. Überprüft auch E-Mails bekannter Absender sehr genau, gern mal verbergen sich dahinter gefälschte Absender-Adressen.
2. Überprüft Links, bevor Ihr sie anklickt. Surft AUFMERKSAM, klickt also nicht jeden Link an, der Euch verlinkt wird, und füllt nicht jedes Gewinnspiel-Formular aus, das Euch angeboten wird. Kontrolliert vor allem sehr genau anhand der URL, ob Ihr Euch tatsächlich auf der Seite befindet, die Ihr aufrufen wolltet.
3. Nehmt Euch Zeit, den Browser zu konfigurieren und lest Euch Sicherheitsmeldungen gründlich durch.
4. Seid misstrauisch, wenn Euch unbekannte Personen über Instant Messenger wie zum Beispiel ICQ oder MSN kontaktieren.
5. Installiert Virenscanner und eine Firewall.
6. Haltet Eure Sicherheits-Software immer auf dem aktuellen Stand.
7. Nutzt automatische Windows-Updates.
8. Wählt Eure Passwörter mit Bedacht und verwendet sie nicht mehrfach.
9. Denkt genau darüber nach, auf welchen Computern Ihr Euch in Spiele oder Webseiten einloggt – im Idealfall nur auf Eurem eigenen PC.
10. Gebt Login-Daten niemals weiter.
11. Aktualisiert IMMER Flash, wenn Ihr es im Browser aktiviert habt und verwendet.
12. Wenn Ihr in irgendeinem Forum nach Hilfe sucht, ob eine E-Mail gefälscht sein könnte, und Euer E-Mail-Konto befindet sich bei GMX, Yahoo oder Web.de - dann NEHMT DIE LINKS AUS DEM TEXT, sonst kann sich jeder etwas betagtere Internet-User Euren E-Mail-Account unter den Nagel reißen. Denn in den Referer-Adressen der Links Eures kopierten E-Mail-Texts sind fast immer Informationen zur Login-Session zu Eurem GMX/Yahoo/Web.de-Account zu finden.
2. Überprüft Links, bevor Ihr sie anklickt. Surft AUFMERKSAM, klickt also nicht jeden Link an, der Euch verlinkt wird, und füllt nicht jedes Gewinnspiel-Formular aus, das Euch angeboten wird. Kontrolliert vor allem sehr genau anhand der URL, ob Ihr Euch tatsächlich auf der Seite befindet, die Ihr aufrufen wolltet.
3. Nehmt Euch Zeit, den Browser zu konfigurieren und lest Euch Sicherheitsmeldungen gründlich durch.
4. Seid misstrauisch, wenn Euch unbekannte Personen über Instant Messenger wie zum Beispiel ICQ oder MSN kontaktieren.
5. Installiert Virenscanner und eine Firewall.
6. Haltet Eure Sicherheits-Software immer auf dem aktuellen Stand.
7. Nutzt automatische Windows-Updates.
8. Wählt Eure Passwörter mit Bedacht und verwendet sie nicht mehrfach.
9. Denkt genau darüber nach, auf welchen Computern Ihr Euch in Spiele oder Webseiten einloggt – im Idealfall nur auf Eurem eigenen PC.
10. Gebt Login-Daten niemals weiter.
11. Aktualisiert IMMER Flash, wenn Ihr es im Browser aktiviert habt und verwendet.
12. Wenn Ihr in irgendeinem Forum nach Hilfe sucht, ob eine E-Mail gefälscht sein könnte, und Euer E-Mail-Konto befindet sich bei GMX, Yahoo oder Web.de - dann NEHMT DIE LINKS AUS DEM TEXT, sonst kann sich jeder etwas betagtere Internet-User Euren E-Mail-Account unter den Nagel reißen. Denn in den Referer-Adressen der Links Eures kopierten E-Mail-Texts sind fast immer Informationen zur Login-Session zu Eurem GMX/Yahoo/Web.de-Account zu finden.
Bitte lest auch den umfangreichen Beitrag zur Account-Sicherheit von Ahramanyu in unserem Forum.
Account-Sicherheit – schon beim Anlegen
Nachfolgend geben wir Euch Tipps und Tricks, wie Ihr schon bei der Erstellung Eures Accounts auf Nummer Sicher geht, und es potentiellen Hackern oder anderen zwielichtigen Gestalten schwer macht, die Daten Eures Accounts herauszufinden. Wir orientieren uns für das Beispiel an der Erstellung für einen Battle.net-Account; unsere Tipps lassen sich aber natürlich auch auf jede andere Account-Erstellung übertragen. Für unser Beispiel nehmen wir an, Hans-Peter Marten will einen Account erstellen.
Schritt 1: Die E-Mail-Adresse
Schon von vornherein solltet Ihr einerseits keinem User auf die Nase binden, wie Ihr wirklich heißt – und auch keine E-Mail-Adresse verwenden, die Teile Eures Namens beinhaltet. Namen austauschen könnt Ihr immer dann, wenn Ihr es wollt, aber nicht jede Zufallsbekanntschaft auf dem Server muss Euren echten Namen wissen. Andererseits solltet Ihr keinen E-Mail-Account benutzen, den Ihr auch für andere Services eingetragen habt. Hackt beispielsweise jemand diesen einen E-Mail-Account, dann hat derjenige nicht nur Zugang zu Euren Spiel-Account-Daten, sondern womöglich auch zu Bankdaten, Social-Website-Infos und persönlichen Mails.Aus dem Grund solltet Ihr bei einem kostenlosen Mail-Anbieter Eurer Wahl eine eigene Mail-Adresse für diesen Account anlegen. Bedenkt auch hier, dass Ihr Euch eine E-Mail-Adresse aussucht, die sich nicht in Verbindung mit Eurem richtigen Namen bringen lässt. Zusätzlich könntet Ihr eine Alternativ-Adresse angeben, an die eine Mail mit dem Passwort für den neu erstellten Mail-Account geschickt wird, falls Ihr mal das Passwort vergesst. Wer sicher gehen will, lässt die Finger davon. Denn im schlimmsten Fall befindet sich im Papierkorb des neuen Postfachs eine Bestätigung der Alternativ-Adresse – und schon haben findige Hacker einen weiteren Angriffspunkt gefunden.
Schritt 2: Das Passwort
Es gibt einige Regeln für die Erstellung sicherer Passwörter, oftmals verraten Euch die Betreiber einer Webseite schon selbst Tipps.1. Für Passwörter könnt Ihr Buchstaben aus dem Alphabet und Ziffern verwenden. Oft sind auch Symbole und Satzzeichen möglich.
2. Meistens müssen Passwörter mindestens einen Buchstaben und eine Zahl beinhalten, um überhaupt vom System akzeptiert zu werden.
3. Der Account-Name kann nicht das Passwort sein.
4. Das Passwort muss zwischen acht und 16 Zeichen lang sein.
2. Meistens müssen Passwörter mindestens einen Buchstaben und eine Zahl beinhalten, um überhaupt vom System akzeptiert zu werden.
3. Der Account-Name kann nicht das Passwort sein.
4. Das Passwort muss zwischen acht und 16 Zeichen lang sein.
Das sind an sich schon allerhand Tipps, mit denen sich ein anständiges Passwort erstellen lässt. Es gibt aber noch ein paar Ratschläge, die wir Euch an dieser Stelle nicht vorenthalten wollen.
1. Benutzt niemals Wörter, die in einem Wörterbuch gefunden werden können.
2. Benutzt niemals Zeichenfolgen auf der Tastatur wie „QWERTZUIOP“
3. Macht Gebrauch von $ymb0l3n und Numm3rn.
4. WeChSeLt ZwIsChEn Groß- UnD Kleinschreibung.
5. Benutzt niemals ein und dasselbe Passwort für mehrere Accounts.
6. Merkt Euch Eure Passwörter – schreibt sie beispielsweise auf einen kleinen Zettel, den Ihr nicht verlieren solltet. Wenn Ihr das macht, dann notiert auf keinen Fall die zugehörigen Account-Namen.
2. Benutzt niemals Zeichenfolgen auf der Tastatur wie „QWERTZUIOP“
3. Macht Gebrauch von $ymb0l3n und Numm3rn.
4. WeChSeLt ZwIsChEn Groß- UnD Kleinschreibung.
5. Benutzt niemals ein und dasselbe Passwort für mehrere Accounts.
6. Merkt Euch Eure Passwörter – schreibt sie beispielsweise auf einen kleinen Zettel, den Ihr nicht verlieren solltet. Wenn Ihr das macht, dann notiert auf keinen Fall die zugehörigen Account-Namen.
Im Internet lassen sich jede Menge Passwort-Generatoren finden, einer ist beispielsweise auf pctools.com. Aktiviert dabei den Haken bei „Punctuation“, um ein noch sichereres Passwort zu erstellen.
Schritt 3: Die Geheimfrage
Vor allem bei der Geheimfrage fällt es Usern schwer, sich an Sicherheitsstandards zu halten. Oft nutzen sie Fragen und Antworten, die schnell mit ihnen in Verbindung gebracht werden können. Und im Internet hinterlässt jeder unvorsichtige Nutzer in Hülle und Fülle seine persönlichen Angaben. Also: Passt auf, dass Ihr im Netz so wenig wie möglich über Euch verratet. Und denkt Euch eine geheime Antwort aus, die sich nicht mit Euch in Verbindung bringen lässt.Abfragesysteme der Entwickler
Entwickler von MMOs sind sich bewusst, dass sich Hacker die Account-Daten der Kunden aneignen wollen – und können. Aus dem Grund gibt es verschiedene Varianten von Sicherheitssystemen der Entwickler, über die die Accounts noch besser geschützt werden sollen. Wir erklären Euch hier einige Beispiele.
Das Token-System
Über bestimmte Applikationen für Mobilgeräte wie Handys und Smartphones und auch über Hardware-Lösungen – sogenannte Dongles – generiert Ihr einen temporär gültigen Code (Token), den Ihr für die Einwahl in Euren Account benötigt. Die Anfrage des Token findet in der Regel nach Eurer Eingabe des Passworts statt. Diese Token sind meist 30 Sekunden lang gültig. Wenn der Code in diesem Zeitraum nicht verwendet wird, dann verliert er automatisch seine Gültigkeit und Ihr müsst einen neuen Token erstellen. Spieler der Produkte von Blizzard Entertainment nutzen beispielsweise das Token-System mit ihrem Authenticator, auch Fans von Final Fantasy können ihren Account mit einem Dongle schützen.
Die Bestätigung des IP-Adressraums
In mehreren MMOs besteht eine Sicherheitsinstanz darin, dass Ihr bestätigt, von welchem IP-Adressraum Ihr Euch in das Spiel einloggt. Das funktioniert folgendermaßen: Loggt Ihr Euch beispielsweise von einem bestimmten Rechner aus zum ersten Mal in Euren Account ein, dann kann dieser Account gesperrt werden. Warum? Es kann nicht eindeutig verifiziert werden, ob sich wirklich der Account-Inhaber einloggt. Im selben Moment wird vom Spielbetreiber ein Code an Eure mit dem Account verbundene E-Mail-Adresse geschickt. Den Code müsst Ihr im Spiel oder in der Account-Verwaltung eingeben, um so Euren IP-Adressraum zu bestätigen. Andere Betreiber lassen Euch eine E-Mail mit einem Link zukommen. Klickt Ihr auf diesen, dann müsst Ihr Euer Passwort ändern, natürlich nicht ohne vorher das alte Passwort eingegeben zu haben. Auch auf diese Art wird bestätigt, dass dieser Account Eurer ist.
Es kann passieren, dass Ihr mehrmals einen Code eingeben oder das Passwort ändern müsst, bis Ihr auf einer White List des Betreibers landet. Auf dieser ist dann vermerkt, von welchen IP-Adressraum Ihr Euch einwählt, und dass von diesen keine Bestätigung mehr angefordert werden muss. Eine solche Sicherheitsvorkehrung gibt es beispielsweise in Rift und in World of Warcraft. Solltet Ihr übrigens einmal am Tag einen Code eingeben müssen, obwohl Ihr Euch jedes Mal vom gleichen Rechner aus einloggt, dann liegt das daran, dass der Spielbetreiber keinen IP-Adressbereich registriert, sondern nur eine IP-Adresse. Im Rahmen des üblicherweise täglich stattfindenden IP-Resets verändert sich dann Eure IP-Adresse und Ihr müsst abermals verifizieren, dass Ihr der Account-Besitzer seid.
Die Charakter-Bestätigung
Die Charakter-Bestätigung wird beispielsweise beim Online-Rollenspiel Guild Wars eingesetzt. Ihr müsst zuerst Euer Passwort eingeben, um Euch einzuloggen. Obendrein wird auch jedes Mal beim Login von Euch verlangt, dass Ihr den Namen eines Charakters auf diesem Account eingebt. Auf diese Art und Weise wird sichergestellt, dass Ihr nicht nur Passwort sondern auch die Namen der Helden auf diesem Account kennt.
Die Ingame-Tastatur
Das Abgreifen der Tastatur-Aktivitäten durch Keylogging und damit das Auslesen der Passwörter wird von einigen Entwicklern durch den Einsatz einer Passwort-Abfrage mit einer virtuellen Tastatur erschwert. Ein aktuelles Beispiel ist das Hack’n-Slay-MMO Mythos, das über den Publisher Frogster IP vertrieben wird und im April erscheinen soll. Nach der üblichen Passwort-Abfrage werdet Ihr dazu aufgefordert, ein zweites Passwort über eine virtuelle Tastatur einzugeben. In diesem Fall handelt es sich um eine Ziffernfolge. Diese von Euch zuvor erdachte Nummer könnt Ihr ausschließlich über Mausklicks auf ein Nummerpad eingeben, das auf dem Bildschirm angezeigt wird. Bei diesem System schützt Ihr Euren Account also nicht nur mit zwei Passwörtern, sondern vermeidet zudem, dass ein eventueller Keylogger die Daten zu Eurem zweiten Passwort einfach abgreifen kann.
Verwandte Artikel
547°
-
533°
-
480°
-
470°
-
459°
-
sehr sinnvoller Beitrag. Ich will ihn dennoch um einige Dinge ergänzen, die du vergessen hast:
1. Die goldenen Regeln der Internet-Sicherheit
Speichere dein Passwort nicht im Browser. Synchronisier deine Passwörter
nicht mit irgendwelchen Accounts (Google, Hotmail usw). Sowas kannst du mit
nicht-kritischen Daten machen wen du faul bist (Forenaccounts usw) aber in jedem
Fall nicht bei Seiten die dein Geld oder deine persönlichen Daten verarbeiten.
-
Haltet plugins und addons auf kleinstmöglicher Menge. Sind allesamt zusätzliche
Angriffsfläche für eure Sicherheit.
2. Schritt 2: Das Passwort
Passwörter merken ist vorbei. Auf wievielen Seiten hast du denn unique passwords die du
dir gemerkt hast?
Accounts (Altes eepad, vollverschlüsselt) und kritische Daten). Die allgemeingültige
Regel lautet:
Wenn du Passwörter physikalisch speicherst(Zettel etc), sorg dafür das die Daten
physikalisch abgeschottet sind (zb. eine verschlossene Schublade), idealerweise
kodiert und/oder versteckt.
Wenn du deine Passwörter elektronisch speicherst, sorg dafür das die sicherheit
dieser Daten nicht von der Sicherheit deines eigendlichen PCs abhängt. Beispiele:
sdkarte, vollverschlüsselt -> nur sicher, wenn du sie an einem offline-pc betrachtest
passwords.zip, verschlüsselt auf deinem pc -> nicht sicher
passwords.zip verschlüsselt auf einer NAS im Heimnetz -> nicht sicher
passwords.txt auf einem alten smartphone das nicht online darf -> sicher
Schritt 3: Die Geheimfrage
Passwörter benutzen! Mein Geburtsort? Klar, ich wohne in Tts40X510back
Oder wenn euch das zuviel Datenmüll wird: Kodieren! Die Damen unter den
Lesern kennen sicher noch Löffelsprache. Die Herren hatten sicher alle mal
ein Ypsheft und die Detektivscheibe dabei^^. Aus A mach Z, aus B mach A, aus C
mach B usw. Denkt euch was aus das ihr zu eurem Passwort notiert und benutzt es.
Kodierungen sind nicht sicher was ihre entschlüsselung angeht, aber zu entschlüsseln
gibts hier auch nix.
War nun etwas viel, ich geb euch mal ein Beispiel für ein von mir gespeichertes Passwort.
Die Daten dazu denk ich mir natürlich aus^^:
eu.battle.net.txt:
User: username
Pass: passwort
Q&A: Buchstabe = 2*Buchstabe
Aus "Berlin" würde hier BBeerrlliinn werden.
4. Die Ingame Tastatur
Absoluter Bullshit^^. Es gibt zuhaufen sog. "proof of concept" Beweise für die
Unsinnigkeit dieser Technologie. Geht sicher davon aus, das wenn die Integrität eures
PCs nicht sichergestellt ist, diese Bildschirmtastaturen nichts retten. Die simpelste
Angriffstechnik (um mal eine zu nennen) hierauf ist es, alle X Sekunden ein Bildschirmfoto
an den Angreifer zu schicken sobald der PC einen Prozess namens Spiel.exe startet.
Dumm nur, dass die Geschädigten seit über einer Woche auf eine Wiederherstellung ihrer Chars warten.
Ansonsten habe ich für Sicherheitsfragen eigentlich immer FALSCHE Antworten genommen und mir diese halt gemerkt.
Mein Guburtsort: Klaus der Aschenbecher
Mein Lieblingstier: Mount Everest
oder ich nehme Fragen die mich garnicht betreffen.
Mein Trauzeuge: Manfred
(Pech nur das ich Single bin und nie verheiratet war)
usw. Halt total ohne Zusammenhang. Selbst "Freunde" die mich kennen könnten meine Sicherheitsfragen nicht beantworten. Aber wirklich sicher ist man im Netz ja sowieso nie
Tun die Teile eigenständig funktionieren, also ohne speziellen Kontakt, der wiederum ebenfalls angreifbar(auslesbar) wäre. Das an sich wäre ja auch wieder unsicher, da hier sicher nicht einmal eine Bedingung vorhanden ist(wenn x dann y). Diese Bedingung wäre auch nur wieder ein Schritt mehr...
Na ja, sieht da irgendwer durch? Lohnt das wirklich?
Der Authenticator von Blizzard ist in wirklichkeit ein DIGIPASS GO 6 von Vasco. Mehr Informationen dazu gibt's z.B. auf deren Website.
http://www.vasco.com/products/digipass/digipass_go_range/digipass_go6.aspx
zweiter tip:
sämtliche ports des rechners, die nicht benötigt werden komplett dicht machen.
und im prinzip braucht man nur ne handvoll.
die meisten router haben eh schon eine firewall eingebaut, aber ein software-firewall ist auch ok, aber NUR wenn man damit wirklich alles blockt und manuell freigibt. man gewöhnt sich schnell an die vielen popups.
wer das nicht selbst kann aufgrund mangelnder kenntnisse sollte sich das von einem versierten pc-kenner einstellen lassen.
mit der zeit bekommt man dann schon raus welche seiten mit welchen scripts laufen und ob man diesen (vorerst^^) vertrauen kann.
Und wenn da jetzt noch erklärt gewesen wäre wie man das checkt ...