Sicherheit vor Account-Hacks

    • TBone98
      TBone98
      Bronze
      Dabei seit: 25.07.2006 Beiträge: 1.657
      Hallo zusammen,

      ich der jüngeren Vergangenheit sind ja immer mehr Accounts gehackt worden und Spieler haben ihr Geld verloren. Und somit stellt sich auch immer wieder die Frage, wie Online-Pokerräume ihre Kunden vor diesen Hacks schützen können. Ich bin über eine PC-Spiele Seite auf einen Artikel über ähnliche Probleme beim Online-Rollenspiel World of Warcraft gestossen. Nun bietet Blizzard, der Hersteller dieses Spiels, den sog. Blizzard Authenticator an, der Account-Hacks angeblich unterbinden soll. Dabei handelt es sich NICHT um ein Software-Tool, sondern um einen physischen, Gegenstand, der auf Knopfdruck einen 6-stelligen Code generiert, welcher zum einloggen notwendig ist. Angeblich soll das Teil an jeden Schlüsselring passen und kann daher problemlos überall mit hingenommen werden. Das Teil soll 6€ kosten. Weitere Informationen findet ihr hier: http://eu.blizzard.com/support/article.xml?articleId=28154

      Ich bin kein Experte in diesen Fragen, aber wäre ein solches Teil nicht auch eine sinnvolle Sache, um Pokeraccounts zu schützen????
  • 54 Antworten
    • BudSpencer
      BudSpencer
      Global
      Dabei seit: 04.04.2006 Beiträge: 850
      So ein Teil hab ich schon seit einigen Jahren um mein Konto bei der ING Luxembourg online zu verwalten. Nix neues eigentlich. Deshalb wundert es mich das es als so neu in dem Bericht vorgestellt wird.
    • TBone98
      TBone98
      Bronze
      Dabei seit: 25.07.2006 Beiträge: 1.657
      Wie gesagt, ich bin kein Experte in diesen Fragen. Kenne von Banken nur, dass man sich mit nem Kartenlesegerät und seiner Bankkarte (EC) einloggen kann. Allerdings war diese Lösung (soweit ich mich erinnern kann) mit einigen Kosten verbunden. Aber so ein Teil für 6€ ist doch leicht zu finanzieren. Selbst für Pokeranfänger, die nur 150€ auf dem Account haben.

      Das wirklich neue wird daran wahrscheinlich sein, dass es für ein PC-Spiel gedacht ist.
    • LordAnubiz
      LordAnubiz
      Bronze
      Dabei seit: 27.10.2007 Beiträge: 753
      tjo, da müßten die Pokerseiten allerdings so einen Service anbieten.
    • TheOneAndOnlyMarkus
      TheOneAndOnlyMarkus
      Bronze
      Dabei seit: 20.02.2006 Beiträge: 3.784
      Also die Seite is grad down aber ich denke du meinst sowas: http://de.wikipedia.org/wiki/SecurID

      Gibt's schon lange, müsste halt von den Pokerseiten unterstützt werden, und das wird denen denke ich ein zu großer Aufwand sein.
    • TBone98
      TBone98
      Bronze
      Dabei seit: 25.07.2006 Beiträge: 1.657
      Keine Ahnung, wie so ein Ding aussieht, aber so stelle ich mir vor. Und so groß kann der Aufwand ja nicht sein. Zumindest die großen Seiten (Party, Stars, iPoker, FT,etc) sollten sowas schon hinbekommen. Muss ja auch nicht Standard bei jedem Account sein, sondern halt ne optionale Sache, die jeder Kunde für sich selbst entscheiden muss. Von mir aus können sie auch gern dafür 6-10€ nehmen. Wäre es mir wert, wenn es die Sicherheit wirklich erhöht.
    • BennyTK
      BennyTK
      Bronze
      Dabei seit: 16.02.2006 Beiträge: 1.644
      man muss denen das bloss schmackhaft machen. wär doch bahnbrechend für uns! also wenn die dahinter kommen wieviel uns poker spielern das bedeutet, wird jeder versuchen der erste zu sein. (dieser token müsste natürlich optional sein)

      an die mods: bitte bringt doch mal eine umfrage ins leben, um mal leicht abschätzen zu können, wie wichtig dass den spielern wär. nicht böse gegenüber micro limits aber am besten so ab mid limits (dadurch sollte der zuspruch höher sein, weil die mehr geld auf der kante haben --> dann gibts auch ein besseres ergebnis!) - so ne umfrage wäre schonmal ein stechendes argument für die pokerseiten.

      übrigens die IT abteilung von einem ongame skin prüft das jetzt auf machbarkeit. mal gucken was die sagen...
    • Tosh18
      Tosh18
      Black
      Dabei seit: 31.10.2007 Beiträge: 2.028
      eine einfache tan liste für jedes einloggen würde ja schon reichen um die sicherheit ERHEBLICH zu erhöhen. keine ahnung warum das immer noch nicht realisiert wurde, der kostenaufwand hierzu ist nur minmal... X(
    • callo
      callo
      Global
      Dabei seit: 01.05.2005 Beiträge: 1.676
      Das Teil gibts auch für Paypal.

      Ich bin auch dafür, das die Pokerseiten sowas einbinden. Wäre auch gern bereit, die 6 EUR, oder etwas mehr, selber zu bezahlen. Allerdings werden wir das wohl nie erleben, das die etwas zusätzliches für die Sicherheit tun. X(

      Vlt. könnte ja PS mal bei ihren Partnerseiten Druck machen, das die so ein Teil mit anbieten! Alternativ dazu wenigstens eine TAN-Liste!
    • TBone98
      TBone98
      Bronze
      Dabei seit: 25.07.2006 Beiträge: 1.657
      Klar. Tan-Verfahren ginge auch. Aber wenn dieses SecureID-Teil ähnlich sicher ist, ist es günstiger denke ich. Ne Tan-Liste hat ja sagen wir mal 100 Tans und muss dann wieder neu verschickt werden. Dieses SecureID kaufste einmal und dann hält das ewig. Ich meine Blizzard verkauft die Dinger für 6€. Und da werden die bestimmt nicht draufzahlen.
    • BennyTK
      BennyTK
      Bronze
      Dabei seit: 16.02.2006 Beiträge: 1.644
      ein skin ist schon heiß drauf...bleibt nur die frage obs realisierbar ist...
    • TheOneAndOnlyMarkus
      TheOneAndOnlyMarkus
      Bronze
      Dabei seit: 20.02.2006 Beiträge: 3.784
      Ich frage mich nur grade wo die erhöhte Sicherheit liegen soll. Imo kann man die gleiche Sicherheit durch gutes PW + Schutz gegen man in the middle erreichen oder überseh ich da was? ^^
      edit: also mal abgesehn von der 2faktor-authentifizierung, die man anders leichter erreichen kann.
    • callo
      callo
      Global
      Dabei seit: 01.05.2005 Beiträge: 1.676
      @Benny

      Welcher ist das und wo soll das Prob liegen, es zu implementieren?


      @TheOneAndOnlyMarkus

      Naja, wenn du z.B. bei Titan nur ein 10-stelliges PW vergeben kannst, trägt das nicht gerade zur Sicherheit bei (die Zeichen sind da auch stark begrenzt)
      Zum anderen nützt dir das gehackte PW (z.B. durch Keylogger) nichts, wenn du den Einmalpin nicht hast. Das führt halt zu einer höheren Sicherheit.
    • TheOneAndOnlyMarkus
      TheOneAndOnlyMarkus
      Bronze
      Dabei seit: 20.02.2006 Beiträge: 3.784
      @callo:
      Also bei Titan müssen wir garnicht erst anfangen von Sicherheit zu reden, falls die immer noch PW's per Mail verschicken und nur Zahlen + Buchstaben zulassen :P

      Und ein Schutz gegen Keylogger ist es nicht, da es kein Einmal-PW ist! Da ist eine TAN-Liste was anderes.
    • Tosh18
      Tosh18
      Black
      Dabei seit: 31.10.2007 Beiträge: 2.028
      ja, TAN liste war vll das falsche wort aber es dürfte wohl klar sein was gemeint ist...
      ich wüsste nicht wie dann noch ein account gehackt werden sollte bzw ist es zumindest um ein vielfaches sicherer...
    • Kilania
      Kilania
      Bronze
      Dabei seit: 23.04.2007 Beiträge: 7.880
      Original von Tosh18
      ja, TAN liste war vll das falsche wort aber es dürfte wohl klar sein was gemeint ist...
      ich wüsste nicht wie dann noch ein account gehackt werden sollte bzw ist es zumindest um ein vielfaches sicherer...
      So wie man Telebanking halt auch hacken würde

      Wäre trotzdem um Welten sicherer
    • TBone98
      TBone98
      Bronze
      Dabei seit: 25.07.2006 Beiträge: 1.657
      Original von TheOneAndOnlyMarkus
      @callo:
      Also bei Titan müssen wir garnicht erst anfangen von Sicherheit zu reden, falls die immer noch PW's per Mail verschicken und nur Zahlen + Buchstaben zulassen :P

      Und ein Schutz gegen Keylogger ist es nicht, da es kein Einmal-PW ist! Da ist eine TAN-Liste was anderes.
      Häh. Mit diesem SecureID-Teil ist die Sicherheit höher. Der "Hacker" braucht neben dem Accountnamen (der ja sehr leicht rauszufinden ist), das PW und dieses physische SecureID-Teil, da zum einloggen ja der Accountname, das PW und der zufällig generierte Code notwendig sind. Er müsste dir das Ding, genau wie ne Tanliste, klauen, da ja immer wieder ein neuer Code generiert wird.

      Ich glaube, dass man das Tan-System und das SecureID-System von der Sicherheit her auf eine Stufe stellen kann.
    • TBone98
      TBone98
      Bronze
      Dabei seit: 25.07.2006 Beiträge: 1.657
      Original von Kilania
      Original von Tosh18
      ja, TAN liste war vll das falsche wort aber es dürfte wohl klar sein was gemeint ist...
      ich wüsste nicht wie dann noch ein account gehackt werden sollte bzw ist es zumindest um ein vielfaches sicherer...
      So wie man Telebanking halt auch hacken würde

      Wäre trotzdem um Welten sicherer
      Soweit ich weiß, funktioniert ja das hacken von Onlinebanking so, dass der Hacker deine Tan ausliest, während du sie eingibst und dich dann trennt bevor du sie an die Bank übermittelt hast. Dann loggt er sich selbst mit dem vorher über nen Keylogger geklauten PW ein und nutzt die Tan für ne Überweisung. Das ist von der Durchführung für den Hacker schon mal schwieriger als einfach nur nen PW zu loggen. Selbst wenn er das schafft, würde der berechtigte User das ja bei Pokerseiten relativ schnell merken, da er sich ziemlich sicher erneut einloggen will und dann die Software sagt, dass auf diesem Account schon jemand eingeloggt ist. Dann würde ich sofort den telefonischen Support benachrichtigen.
    • TheOneAndOnlyMarkus
      TheOneAndOnlyMarkus
      Bronze
      Dabei seit: 20.02.2006 Beiträge: 3.784
      Original von TBone98
      Original von TheOneAndOnlyMarkus
      ...
      Häh. Mit diesem SecureID-Teil ist die Sicherheit höher. Der "Hacker" braucht neben dem Accountnamen (der ja sehr leicht rauszufinden ist), das PW und dieses physische SecureID-Teil, da zum einloggen ja der Accountname, das PW und der zufällig generierte Code notwendig sind. Er müsste dir das Ding, genau wie ne Tanliste, klauen, da ja immer wieder ein neuer Code generiert wird.
      Nein, er muss garnichts klauen! Wenn ich dein PW abfangen kann, kann ich auch die SecureID abfangen und benutzen. Es bringt also in Wirklichkeit nicht mehr Sicherheit, es sieht für den Laien nur sicherer aus.

      Original von TBone98
      Ich glaube, dass man das Tan-System und das SecureID-System von der Sicherheit her auf eine Stufe stellen kann.
      Nein, kann man nicht! Beides äußerst unterschiedliche Konzepte. Eine TAN ist ein one time pad, SecureID aber nicht. Deshalb sind sie auch nicht zu vergleichen. Ich würde aber sagen, dass eine TAN-Liste eine wirkliche Verbesserung wäre, SecureID ist es in meinen Augen nicht.

      Aber letztenendes bringt beides nichts, wenn das System erstmal kompromittiert ist ...
    • callo
      callo
      Global
      Dabei seit: 01.05.2005 Beiträge: 1.676
      Wieso ist eine SecureID nicht sicher? Ich hatte Firmenmäßig so ein Teil, da änderte sich aller 30sek die PIN. Man konnte sich dann nur mit der aktuellen PIN einloggen, welche gerade auf dem Display war. Das Ding hatte ich an meinem Schlüssel und konnte somit überall darauf zugreifen.

      Warum soll jetzt die TAN sicherer sein als die SecureID?