Guild Wars 2

Die Benutzung bei JEDEM EINLOGGEN kommt für mich nicht in Frage. Alle Logins aus meinen “üblichen Login-Bereich” der ja recht genau an der IP erkennbar ist, sollen grundsätzlich durchgehen. Nur wenn sich jemand aus einem anderen Netz bzw. einer anderen Stadt einloggt, soll die zusätzliche Sicherheit vorhanden sein. Insofern warte ich auf das bereits angekündigte entsprechende Feature

@hiccups
Ja, schon aber das Stört mich einfach ^^
Dasd das Sicherheit ist ist mir klar

Nur vllt soltle man diese “Jedes Mal Code abfragen bei jeden Einloggen” Manual Deaktivieren können und den Code muss man dann eingeben um auf die Seite einzuloggen und Pw zu ändern oder was sonst gefährlich noch ist.
Das wäre mein Vorschlag

Hab grade gelesen das es ne App ist :/ Hab kein Neuzeit Handy und werde es mir auch ganz bestimmt niht hollen da ich auf son Handy Schnick Schnack net stehe.
Wollt ihr nicht son Authenfi… machen wie bei WoW oder FFXIV,was zum anfassen ?

Cupid, du solltest dir mal
https://forum-de.gw2archive.eu/forum/game/gw2/Ein-wenig-Mythbusting-zum-Authenticator/first#post124239
durchlesen. Ich wüsste nicht wieso man dafür eine neue Mail-Adresse braucht.

Mittlerweile ist der Authenticator ja da, nutze ihn auch.
Schön wäre allerdings wenn man ihn auch ohne den Support geplant wieder entfernen könnte in Zukunft.

Naja… der Hintergrund des “nur durch Support entfernbar” dürfte sein, dass man es so Hackern schwer machen will einen Account zu übernehmen.

Wobei ich das einfach so handhaben würde, dass ich ein Token abfragen würde und wenn der User es richtig eingibt würde ich ihm eine Mail mit einem Link schicken. Klickt er den an, wird der Authenticator deaktiviert. Das sollte im Grossen und Ganzen genauso sicher sein als wenn man da den Support zwischen hängt.

Sowas meine ich. Ich hab ja jetzt nicht jeden Monat ein neues Handy, aber normal hat man ja so ca alle 2 Jahre ne Vertragsverlängerung samt neuen Gerät und da hab ich nicht unbedingt Lust 3 Wochen auf den Support zu warten

Ok vielleicht spielt dann gar keiner mehr das Game aber ist halt ne Anregung

Ähm? Du kannst Dir entweder den QR-Code ausdrucken/abspeichern oder einfach das Secret aufschreiben was er anzeigt.

Hast Du dann ein Neues Handy scannst Du einfach den ausgedruckten QR-Code (oder tippst das Secret manuell ein) und das wars.

Da brauchst du nicht auf den Support warten.

Dann hätte ich gerne die Möglichkeit mir das in der Account Verwaltung nochmal anzuzeigen

Nein… das würde das komplette System aushebeln. Wäre ich Hacker würde ich nämlich dann einfach folgendes tun:

1. ein Skript schreiben, welches eine Seite anzeigt die wie die von ANet aussieht wo Du Username + Passwort eingibst
2. nachdem Du das getan hast würde das Skript versuchen sich anzumelden – geht es, ist alles OK und Du bist gehackt. Das Skript zeigt Dir einen Fehler an und leitet Dich an die normale Login-Seite weiter → du loggst dich ein und bekommst nicht mit, dass ich Deine Daten abgefangen habe
3. fragt die echte Seite beim Login durch das Script nach einem Token, frage ich das von Dir ab und übermittle es an die echte Seite. Klappt Alles, ist das Hacker-Script eingeloggt und kann den Key abfragen. Der Account ist gehackt. Auch hier würde ich dann wieder eine Fehlermeldung anzeigen, dass du das falsche Token eingegeben hast und Dich zur echten Seite weiterleiten.

Von daher wäre es fatal wenn der Key irgendwo einsehbar ist.

Falls Du das Secret jetzt, im Moment haben willst kannste das noch einfach so lösen, dass Du die Verknüpfung mit dem Authenticator deaktivierst (zumindest gestern ging das noch problemlos und ohne irgendwelche Rückfragen) und neu aktivierst. Dann siehst du einen neuen Key den du dir aufschreiben/ausdrucken kannst. du musst dann nur den Authenticator neu konfigurieren.

Das ist Unsinn, denn es scheitert schon bei 1. Dir ist schon bewusst dass die Browser eine URL Oben anzeigen und dass man nicht einfach so auf Links klickt?
Und wer das macht hat eh verloren, ich sage nur Drive-by-Virus.

Ähm… und genau DIESE Denkweise führt zu gehackten Accounts.

Nehmen wir mal an ich schicke 100000 Leute eine Mail in der steht:

Irgendein cleverer Text …. Klicke hier: guiIdwars2.com um Dich einzuloggen

was meinst Du wieviele darauf reinfallen? Denn oh Wunder, da steht eben nicht guiLdwars2.com sondern guiidwars2.com -> das was in der Adresse oben wie ein kleines L aussieht ist in Wirklichkeit ein grosses “i”. Beispiel: kleines l … grosses I

Oder noch gemeiner: ich benutze einfach statt des normalen “a” in der URL sondern das kyrillische “a”. Bei den meisten Schriftarten siehst Du keinen Unterschied. Allerdings sind es zwei komplett verschiedene Domainnamen.

Und von diesen Tricks gibt es Unzählige.

Und was meinst du wievielen Leuten sowas nicht auffällt. Dazu brauchst du nichtmal einen Virus, da reicht schon eine einfach Phishing-Mail.

Ich benutze den Authenticator jetzt seit der Ankündigung und es läuft alles reibunglos.

Sicherheit bietet ein gutes Gefühl!

Desotho.4326:

Sowas meine ich. Ich hab ja jetzt nicht jeden Monat ein neues Handy, aber normal hat man ja so ca alle 2 Jahre ne Vertragsverlängerung samt neuen Gerät und da hab ich nicht unbedingt Lust 3 Wochen auf den Support zu warten

Ok vielleicht spielt dann gar keiner mehr das Game aber ist halt ne Anregung

Die einfachste Möglichkeit beim Handywechsel wäre einfach: Kurz vor den Handywechsel mit den alten Handy den Authenticator deaktivieren und sobald das neue dann da ist ihn wieder aktivieren (mit neuem secret). Die Zeit dazwischen sollte ja im Idealfall nicht all zu lang sein.