Guild Wars 2

Finde ich klasse, dass man immer mehr für die Account Sicherheit macht.

Jedoch bringt das ÜBERHAUPT NICHTS solange man die Account Email Adresse auf der Homepage ändern kann ohne, dass man dies bestätigen muss. Und dann bekommt man noch eine Email, in der man informiert wird, dass die Email geändert wurde mit dem Zusatz (hopefully you), da kommt man sich leicht veräppelt vor.

Es muss eine Verifizierung/Bestätigung eingeführt werden um die Emal Adresse zu ändern.

Ich wurde während des Spielens aus dem Account geworfen, weil die Email Adresse geändert worden ist. Komme nicht mehr auf meinen Account, weder im Spiel noch auf der Homepage. Und musste zusehen (bei einem Freund auf dem PC) wie der Account den Server wechselt O.o Da fühlt man sich sehr machtlos. Man kann ihn nicht mal meden. Support braucht 72h um überhaupt mal zu reagieren.

mfg
Jacob

So erging es meiner Frau auch aber reg dich nicht auf, das war am 15 september und heute! kam die änderungsmail für einen neuen account !

wenn du dem support schreibst gib gleich eine neue Email adresse an, die in zukunft für deinen account benutz werden soll, dann geht es vielleicht etwas schneller bei dir!

gl
Rene

jetzt hat sie ne neue email aber das passwort weiss keiner und man kann es nicht ändern !!!

geht doch aber nicht über den game client, da steht nicht verfügbar, sodnern über die support page:
http://de.support.guildwars2.com/app/answers/detail/a_id/9226

@Mexxo
Wenn man die EMail mit der alten Adresse bestätigen muss (was ich begrüßen würde, um Tipfehler etc. mehr auszuschließen), wieviele Hacks wären wohl damit verhindert worden. Keiner. Die Hacker hätten trotzdem ins Spiel einlogen können und die Chars ausräumen.

p.s.: Mit der E-Mail-Authenifizierung kann man sich in die Accountverwaltung normalerweise nur nach Identifizierung über E-Mail einlogen. Damit würde man nicht mal in die Accountverwaltung oder ins Spiel kommen.

bei mir kommen sie aber so weit, mein pw zu ändern, wie auch immer. aber ins spiel halt nicht, da sie die email nicht ändern und ich andauern authentifizierungsamfragen bekomme.

wie ist das möglich? vielleicht kannst du mir das ja erklären?

Hallo,
wie ich schon in einigen Post geschreiben habe, das die zur Zeit bestehenden Sicherheitsmaßnahmen seitens ANet unzureichend sind. Wie verlautet soll in den Bereichen ja gearbeitet werden, doch genaueres weiß man nicht. Das ist extrem unbefriedigend, da in keiner weise auf die bestehenden Probleme eingegangen und Stellung genommen wird.
Es kann einfach nicht sein, das Passwörter oder E-Mail-Adressen geändert werden können ohne jegliche Verifizierung.
Es kann nicht sein, das man aus einen aktiven Spiel raus gekickt wird.
Eine Verifizierung der IP-Adresse ist was für die Katz, wenn man vorher alle relevanten Daten ändern kann.
Jegliche Änderungen an dem ACC, muss mit weiteren Hürden versehen werden, wie z.B. mindestens 2 persönlichen Fragen.

Capt Blade.9321:

Es kann einfach nicht sein, das Passwörter oder E-Mail-Adressen geändert werden können ohne jegliche Verifizierung.

Verifizierung erfolgte mit den Einlogen. Der rest hat mit der Accountsicherheit kaum oder nur bedingt zu tun. Und bisher hat noch keiner beantworten können, warum das Accounthacks verhindern hätte können oder auch nur ein Char damit nicht ausgeräumt worden wäre.
Mag zwar durchaus Sinnvoll sein, das zu machen, aber von einer Lücke zu sprechen ist völlig übertrieben.

Es kann nicht sein, das man aus einen aktiven Spiel raus gekickt wird.

Das macht sinn. Bei einen Disco müsste man sonst warten, bis der Char automatisch ausgelogt wird, was mehrere Minuten dauern kann. Stell dir das Geschrei mal vor, gerade mit der aktuellen Lag-Problematik.
Zumal auch hier: Wie zur Hölle soll das auch nur einen Accounthack verhindern? Das hat rein Überhaupt nichts damit zu tun.

Eine Verifizierung der IP-Adresse ist was für die Katz, wenn man vorher alle relevanten Daten ändern kann.

Du kommst aktuell nicht in die Accountverwaltung, ohne diese Verifizierung.

Jegliche Änderungen an dem ACC, muss mit weiteren Hürden versehen werden, wie z.B. mindestens 2 persönlichen Fragen.

Warum so kleinlich? Ohne Bluttest und eidestaatlicher Erklärung der Urgroßeltern sollte man nicht mal spielen können. Wieviele Hürden willst du einbauen?

Auch hier wieder die Frage: Da die Hacker sich mit den Daten so oder so einlogen kann und den Char ausräumen: Wie soll das die Accountsicherheit diesbezüglich damit verbessert werden?

Bei sowas Frage ich mich ernsthaft, ob die Leute überhaupt nachdenken. Was will man eigentlich erreichen und ist die Massnahme überhaupt geeignet. Man fordert hier absoluten blinden Aktionismuss, es wird sich aber mit keiner von dir geforderten Massnahme sich irgendwas ändern, außer das man mehr Kunden verärgert.

Hallo Eyrtheia,
vieles, was Sie als Argumente anbringen, ist sicherlich richtig, nur haben sie teilweise nichts mit dem eigentlichen Problem zutun, was zur Zeit den Usern zuschaffen macht, manches kann ich aber auch logisch nicht nachvollziehen, möglich das es meinen Horizont überschreitet, kein Ahnung, aber gehen wir doch mal die Schritte durch. Davon ausgehend das meine ACC-Daten dem Hacker bekannt sind, so kann er sich problemlos in meinen ACC eingloggen, wenn er nun das Passwort ändern möchte, so muss er nur das alte gegen das neue austauschen, nun muss er nur noch die Verifizierungsmail abwarten und bestätigen, dazu muss er in meinen E-Mail-ACC und den entsprechenden Link ausführen … ?? in meinen E-Mail-ACC ??, … 2 unterschiedliche PW 8 Alpha/Numerische inkl. Sonderzeichen ?? … selbst wenn, wie nach meinen Vorschlag, zwei persönliche Sicherheitsfragen, würde er scheitern.
Andere Möglichkeit: Er loggt sich in meinen alten NCSoft-ACC, ändert dort die E-Mail und das PW, nun muss er wieder in meinen E-Mail-ACC um dort wieder die Verifizierzungs-Mail bestätigen ?? … 2 unterschiedliche PW 8 Alpha/Numerische inkl. Sonderzeichen ?? … mit zwei persönliche Sicherheitsfragen würde er wieder scheitern.
Es waren in der Vergangenheit dem User nicht möglich sein Passwort zu änder, da es deaktiviert war, einloggen im Support/Forum-ACC um dort das PW zuändern, war ohne jeder Reaktion und landete in einer Sackgasse. Verifizierungsmail kamen teilweise nicht an oder wurden gar nicht erst ausgeführt und dennoch einen Änderung, Verifizierung werden schon beim einloggen bestätigt ???? da macht das Verifizieren kein Sinn mehr. Und hier sprechen Sie von einer unfehlbarkeit seitens ANet und NCSoft ? Und noch eine Anmerkung die beim Kauf des Games unterlassen wurde, den Hinweis im jeden Fall ein neues noch nicht benutzte E-MAil und PW zu benutzen, was für viele eine nur nachzuvollziehende Vorgehensweise ist, den ACC zu benutzen den man schon bei NCSoft genutzt hat, um problemlose Zusammenführung beider ACC zugewährleisten.
Aber kann ja sein das ich auf einen völlig falschen Dampfer bin und die Vorgehensweise in einen ganz anderen Bereich gespielt wird. Verseuchten Rechner als mögliche Ursache zu nehmen, schließe ich bei den meisten Usern aus, da der Virusbefall für sie keine unbekannte Nummer ist, obwohl man immer einen Schritt hinterher läuft, nur das geht den Usern nicht nur so, sondern jeden der sich im Netz bewegt.

Der Kern des Accounthacks ist das Ausräumen des Accounts, das aussperren des Users dient nur dazu, das er währendessen nicht stören kann. Mit zusätzlicher E-Mail identifizierung kann der Hacker nicht mehr den Account vor Zugriff des Users schützen – das ist richtig (sofern der Hacker nicht auch Zugriff auf das E-Mail-Konto hat, was auch des öfteren vorkommt), nur er wird halt dann darauf verzichten und nur den Char ausräumen. Das man da schnell genug reagiert, glaub ich nicht. Notfalls mit einen andern Char in die Freundesliste packen und warten bis er auslogt.

Die zwei persönlichen Sicherheitsfragen finde ich persönlich völlig übertrieben und absolut unnötig. (Man beachte, man ist jetzt dann schon bei Zwei! Warum reicht denn eine nicht?) Die Frage stellt sich halt, wie viele solcher Fragen muss man machen, damit es endlich sicher wird? 2? 3? 1000?

Ich wäre ja für was ganz anderes: Getrennte Passwörter für Spiel, Forum und Accountverwaltung. Sollte dann das Spielepasswort geknackt werden, kann man nicht in die Accountverwaltung. Genauso wenn ich mal in der Arbeit in das Forum gehe (und da die IT geschlafen hat), kann niemand in das Spiel. usw. Das wäre tausendmal besser als mehr Hürden hier einzubauen.
Aber selbst das würde nichts gegen das Ausräumen des Accounts bringen, wenn mein Spielepasswort öffentlich wird.

Stimmt, warum zwei … eigendlich Selbsterziehung, ich selbst habe mich dabei erwischt, Standardfragen zunehmen, ohne sich wirklich Gedanken zu machen, wie .. wie heißt dein Geburtsort, wo bist du zur Schule gegangen etc .. bei zweien wird man schon Aufmerksamer, weil man sich die Kombi beider merken muss und einen Zusammenhang herstellen und man wird creativer. Deshalb empfehle ich zwei Sicherheitsfragen. Von einer Hardwarelösung halte ich persönlich nicht viel, da ist das Dingen verlegt .. die kleine spielt damit .. der Accu ist leer usw ..

Naja, mit der Zeit wird man drei brauchen, wenn alle sich dran gewöhnt haben, zwei Fragen zu stellen und so weiter.

Das führt zu keinen Ende…

Falsch … der zu betreibene Aufwand wird zu groß das sich ein Hack überhaupt noch lohnen würde. Im übrigen ist nach meiner Auffassung, das Thema Internet-Sicherheit viel zu lasch.

Hallo,
auch mein Account wurde gehackt, und zwar während ich eingeloggt und am spielen war. Ich wurde aus dem Spiel gekickt und konnte mich nicht mehr einloggen, da meine E-Mail-Adresse geändert wurde.
Allein das dürfte ja gar nicht passieren, denn wer ändert bitte seine E-Mail-Adresse, wenn er gerade ingame ist?!
Davon abgesehen bin ich schon der Meinung, dass es was bringen würde, wenn man die E-Mail-Adresse nur durch Bestätigung über die alte E-Mail-Adresse ändern könnte, denn dann hätte ich weiterhin Zugriff auf meinen Account und es würde dem Hacker die Arbeit auf jeden Fall erschweren (sonst würden sie es ja nicht tun….).
Außerdem fände ich es gut, wenn ich selbst, beispielsweise zusammen mit dem Spielcode meinen eigenen Account in so einem Fall sperren könnte. Das würde verhindert, dass der Account bei einem Hack ausgeräumt wird.
Schlussendlich würde das alles vielleicht dazu beitragen, dass sich das Hacken nicht mehr lohnt und es weit seltener passiert.
Allein in meinem Freundeskreis wurden schon mehrer Accounts gehackt, was ich zuvor in keinem anderen Spiel vorgekommen ist, v.a. nicht in so kurzer Zeit.

@lilsam
Warum sollte sich das hacken nicht mehr lohnen? Das ausräumen würde auch gehen, wenn man nicht die E-Mail-Adresse ändert. Selbst wenn man die Änderung nicht machen kann, während man eingelogt ist: Dann wartet halt der Hacker, bis du offline bist. Kein Problem.

Ich habe meinen Account zurück, dank Zusammenspiel von Arenanet und NC-Soft:

kurz zur Erklärung, vielleicht hilft es jemanden.

Niemand hatte mein GW2 Account an sich gehacked. Bei mir haben Sie sich Zugang über den NC-Soft Account geholt.

In dem Moment, wo man sein GW1 mit GW2 verknüpft und die Email zum Login bei GW2 aktualiesiert oder geändert wird, wir auch automatisch die Email in GW1 geändert, die im NC Soft Account angezeigt wird. Punkt eins, hat der Hacker Zugang zu meinen NC-Soft Account, hat er nun schon mal das Login für GW2. Punkt zwei. Ändere ich das PW für GW1 im NC-Soft Account wird “oh wunder” das Passwort für GW2 mit geändert.

Wer also Zugang zum NC-Soft Account hat, kann sich nun locker ins Spiel einloggen.
Letzte Barriere, Email Authentifizierung. (daran ist es bei mir gescheitert) Der Hacker kam nicht rein, da ich von meinem Email Fach immer noch den Zugang bestätigen musste, konnte der Hacker (zu meinem Glück) nicht auf meine Charaktere zu Greifen.

Vielleicht hilft es ja jemanden.

@Erytheia
Warum sich das hacken dann nicht mehr lohnt hab ich in meinem Beitrag bereits erklärt. Ich kann deine Argumente zum größten Teil eh nicht nachvollziehen, ist für mich nicht schlüssig. Guild Wars II macht es Hackern viel zu leicht und du willst nichts ändern?!

Es gibt genug Vorschläge von Spielern, wie man die Sicherheit verbessern könnte. Umsetzen muss es ArenaNet, dazu habe ich keine Kenntnisse, sind alles lediglich Anregungen. Dafür ist das Forum ja schließlich auch da!

Nur das diese Verbesserungen nichts oder kaum was bringen, auch deine. Ich kann dein Argumentationsweg auch nicht nachvollziehen.

Du scheinst irgendwie der Meinung zu sein, das die Hacker nur die User von Spielen abzuhalten wollen. Indem sie bspw. den Account absperren.

Ich gehe davon aus, das primäres Ziel der Hacker ist, das Gold abzuschöpfen.

Und hier schau ich mir persönlich jeden Vorschlag an und überlege mir, wie genau das verhindert werden kann. Und da bin ich halt der Meinung, das die Massnahmen nicht geeignet dafür geeignet sind (was übrigens nicht heisst, das ich prinzipell gegen die Massnahmen bin, es sind durchaus einige Sinnvolle dabei, die ich aber aus völlig anderen Gründen einführen würde).

Bis jetzt hat mir auch nie einer diese Frage beantworten können: Wenn diese Massnahme eingeführt wird, wie wird sie verhindern, das der Hacker sich einlogen kann und dann deine Chars ausräumt?

Das ist die Zentrale Frage! Wie gesagt, manche Massnahmen mögen aus anderen Gründen durchaus Sinnvoll sein, andere überhaupt nicht.

z.b. Zwei persönliche Fragen bei der Änderung. Alleine das man jetzt schon bei zwei ist, sollte doch einen zum Denken geben. Dauert nicht mehr lange, dann wird man 3 fordern – aus den gleichen Gründen wie man 2 gefordert hat und so weiter. Das ist einfach ein irrweg, das lohnt sich nicht weiter zu verfolgen. Das nimmt kein Ende.

Wenn man eingelogt ist, das sich kein zweiter einlogen kann. Ja, da freuen sich alle, die aufgrund der Lag-Problematik einen Disco haben und dann ca. 5 Minuten warten dürfen, bis sie wieder ins Spiel kommen (Keine Unrealistischen Werte, weil in WoW war dies mal der Fall, die haben es daraufhin umgeändert, das ein neuer Login den alten Kickt).
Ürigens kann ich hier auch andersrum Argumentieren. Wenn du einlogen willst und ein Hacker ist gerade dabei deinen Char auszuräumen: Aktuell kannst du reagieren, dich ins Spiel einlogen, in der Accountverwaltung das Passwort ändern etc. mit der Änderung kann man das nicht und man muss zusehen.

Andere Sachen wie bspw. das E-Mail bestätigen von Passwort und E-Mail halte ich aus einen anderen Grund für Sinnvoll. Wenn man bspw. in einen Internetkaffee sich ins Forum einlogt und vergisst sich auszulogen, das nicht jeder Depp der das merkt mein Passwort ändern kann. Wobei hier der User einen primären Fehler gemacht hat (Fremder Rechner eingelogt und vorallen nicht ausgelogt).

Ich denke persönlich, das viel zu viele irgendwas woanders gesehen haben und dann dies hier auch fordern, ohne genau zu überlegen, warum man das macht und was man damit verhindern will.

Wie gesagt: Bisher kam nur ein Vorschlag, der wirklich einen Hack verhindern hätte können: Ein Auth. Aber hier bitte das “können” lessen, Blizzard warnt ja, das es gehackte Accounts trotz Auth gibt.

Und jetzt nochmal Lilsam:
Erkläre mir bitte, wie deine Vorschläge verhindern, das sich ein Fremder mit deinen Accountdaten sich einlogt und deine Chars ausräumt. Angenommen er kommt gar nicht erst in die Accountverwaltung und kann da nichts ändern (wie auch immer das gemacht wird), er kann immer noch ins Spiel einlogen. Ach du bist gerade online – gut dann kickt er dich nicht. Dann wird vor den Hack ein bereits ausgeräumter Account genutzt, geht online, nimmt dich in die Freundesliste auf und schaut ob du online bist. Wenn nein, dann versucht er sich einzulogen und Tada, gehackt. Die Hacker sind flexibel. Bei WoW haben sie bspw. die Hacks eine Zeitlang aufs Wochende gelegt – wohl wissend, das dann in Support weniger Leute arbeiten. Sie werden dann die Hacks einfach auf Zeiten legen, wo weniger Spielen. Bspw. um 8:00 Morgens. Die meisten sind da auf der Arbeit oder in der Schule. So ein Ausräumen des Accounts dauert ja nicht lange, ich schätze mal so 5-10 Minuten, dann ist minimum ein Char und die Bank leer.

@Erytheia
1. Ich habe nie geschrieben, dass man sich nich einloggen können darf, wenn man bereits eingeloggt ist, keine Ahnung woher du das hast. Bestätigt aber nur, dass du nicht verstehen kannst was ich meine.

2. Habe ich in meinem ersten Beitrag bereits geschrieben, dass ich den Hack hätte verhindern können, wenn ich meinen eigenen Account hätte sperren können. Denn ich habe es ja live miterlebt. Genau das war mein Änderungsvorschlag. Beispielsweise in Verbindung mit der Angabe des Spielcodes.
Natürlich bekommt nicht jeder Spieler direkt mit wenn sein Account gehackt wird, aber wenigstens einige könnten es so verhindern.

3. Sind deine Beiträge in diesem Forum einfach nur unpassend und kontraproduktiv. Jede Diskussion in diesem Forum, v.a. wenns um Hacks und Accountsicherheit geht, wird von dir zerstört. Ist mittlerweile echt nervig.

1) Das kam schon mal, mein Beitrag war als Rundumschlag gedacht um zu zeigen, was viele Fordern, aber eben nicht zu ende Denken.

2) Nur dann passen sich die Hacker an. Dann wird eben nicht mehr sofort gehackt, sondern dann, wenn man eben nicht spielt oder möglichst wenige. Zudem muss man erstmal seinen Account sperren, das dauert auch wieder einige Zeit (Code suchen, eintippen, weitere Verifizierung durchführen). In der Zeit ist der Char leer. Ich schätze mal, das dies eher weniger Hacks verhindern würde, die meisten kriegen das nämlich nicht live mit.

3) Weil ich mitdenke und unangenehme Fragen stelle, die keiner beantworten kann? Weil ich eine andere Meinung hab? Dabei bitte auch nicht Spezialfälle abhandeln (wenn man bspw. den Hack live miterlebt), sondern ein bischen größer denken. Den Fehler machen nämlich viele.

Mein Vorschlag bleibt da immer noch: Erstmal vor der eigenen Haustüre kehren. Das Passwort&Login haben sie sicherlich nicht erraten. Woher kommt es also? Das die Lücke bei Arena.Net ist, dafür gibt es aktuell keinerlei Hinweise. Die Logindaten geheim zu halten: Das ist die absolute Grundlage jedes Sicherheitsystems, egal was man sich ausdenkt. Weil ohne das, sind auch viele der Vorschläge hier zum scheitern verurteilt.

Hallo meine lieben Freunde,
@Erytheia .. langsam gehts du hier einigen richtig auf den S…K, sorry
Bei dir gibt es eigendlich nur eines .. Fingerzeigtaufdenuser .. aber einen wirklichen, konstruktiven Vorschlag .. außer die schon bekannten .. kommt von dir rein gar nichts.
Bei einigen E-Mail Anbietern/Online-Anbietern ist es schon eine Weile “gangundgebe” E-Mail´s mit 2 persönlichen Fragen zu sichern, .. ich persönlich halte dies für eine recht gute kostengünstige Lösung (manche haben schon 5 pers.Sicherheitsfragen was deine These unterstützt .. wo ist denn mal das Ende) Sicher, eine 100% Sicherheit gibt es nicht, weder für den User noch für den Betreiber, man kann nur das Sicherheitsrisiko minimieren.
Dazu gehört z.B. : Für jeder Aktivität im Netz möglichst unterschiedliche E-Mail und PW benutzen, .. PW solang wie möglich mit Groß/Kleinschreibung, Alpha/Numerische und Sonderzeichen oder PW-Generator nutzen .. möglichst im Browser alle Plugins ..(Javascript) .. deaktivieren und nur auf Aufforderung bestätigen .. NoScript soll eine gute Möglichkeit sein .. Firefox, Google und div. eher unbekannte Browser benutzen, die versuchen möglichst Zeitnah Updates anbieten, Editoren eher unbekannte wie Foxit als PDF-Reader etc .. IP-Adressen gelegentlich wechseln .. Virenscanner mit Keyloggschutz brauch ich wohl nicht erwähnen .. keine Passwörter auf den Rechner speichern usw. sind für mich eher Hinweise, die das eigene Verhalten im Netz zu überprüfen.
Alle Tipps sind aber auch nur so sicher wie die angebotene Sicherheitsplattform .. ist diese nicht gegeben, lässt man am besten den Rechner off.
Und … wusstest du, dass es einen regen und lukrativen Handel mit Kundendaten gibt .. und man jetzt auch noch versucht, die gesetzlich legalisieren. Erzähl mir nichts von Geheimhaltung und Datenschutz, was nicht heißen soll das Arenanet diese betreibt.

Die zwei persönlichen Fragen würden ein Absperren durch andere Passwörter schüzten, nicht aber, das der Char ausgenommen und gelöscht wird. Das hat mir wiederum keiner erklären können, warum das jetzt auf einmal nicht mehr passieren sollte…

@Erytheia,
kann es sein, dass du gar nicht weiß was du schreibst und in welchen Zusammenhang ?? Um auf einen Account Zugriff zu erhalten, braucht man erstmal 2 Dinge .. den Loginname und das dazu gehörige Passwort. Ist der Login dem Angreifer bekannt, so bewirken 2 persönliche Sicherheitsfragen immer noch ein scheitern, wenn man versucht, was in den überwiegenden Fällen der Fall war, eine Änderung der E-Mail-Adresse und Passwort. Ich kann mir beim besten Willen nicht Vorstellen, dass ein Hacker auf 2 pers.Fragen eine Antwort finden, wenn man z.B. die Sicherheitsfragen "Mein erstes Haustier war eine .. Kakalake und hieß … "Mäusefresser"", wenn denn noch eine IP-Verifizerung hinzu kommt, die dann noch bestätigt werden muss, ist nach meiner Auffassung ein Zugriff nicht mehr möglich oder zu aufwendig.
Da aber in der Vergangenheit es erhebliche Mängel an funktionierenden Sicherheitskomponenten gab, sich daraus den überaus großen ACC-Diebstahl ergab,
kann man nicht nur den User in Verantwortung ziehen, sondern auch den Betreiber.
Es sind zur Zeit immer noch Mängel vorhanden, an denen man mit hochdruck arbeitet, dies aber nicht über die frustrierten Usern mit Nichtachtung hinweggeht, behandelt. Ist dir eigentlich bekannt, dass in Brasilien ein großer DNS-Hack statt gefunden hat, der seid fast 2 Jahren unbemerkt blieb und so mehrere Millionen Kundendaten abgegriffen wurden. Sag mir nichts auf Unfehlbarkeit von Betreibern.
Uns allen muss klar sein, dass Hacker immer einen Schritt voraus sind und eine Sicherheitsplattform immer nur so gut ist, wie schnell und efficent ein Betreiber auf Angriffe reagiert und nur beide, Betreiber und Nutzer, auf eine gute Zusammenwirkung unserer Interessen, mit allen Vor- und Nachteilen, gestaltet.

Tja, Capt Blade, das frag ich mich bei dir auch, ob du ein bischen Nachdenkst. Du beantwortest meine Frage nicht, du erzählst immer den selben stuss.

Also nochmal:

WIE ZUR HÖLLE SOLLEN 2 SICHERHEITSABFRAGEN VERHINDERN, DAS DER CHAR AUSGERÄUMT UND GELÖSCHT WIRD?

Die Accountdaten die die Diebe haben, reichen hierfür aus und sämtliche Sicherheitsvorschläge greifen da nicht. Das ist das zentrale Problem. Löst du das, hast du gewonnen. Keiner der Vorschläge hätte dies verhindern können.

Also beantworte mir die Frage….

ok .. erkläre ich mal anders ..
Angenommen du willst in ein Bunker einbrechen mit vier Zugängen
Schlüssel 1 hast du → E-Mail
Schlüssel 2 hast du → Passwort (wie auch immer man da rankommt)
Schlüssel 3 .. ups .. hab ich nicht →Sicherheitsfrage 1 hmm .. Standartfrage .. oh was fürn glück .. bin halt weltklasse
Schlüssel 4 .. ups .. hab ich nicht →Sicherheitsfrage 2 .. mist verdammt ..
? geschnallt ?
Sind andere Möglichkeiten vorhanden, ist das ganze Sicherheitssystem was fürn a…sch
Voraussetzung ist natürlich immer, dass der eigene Rechner Viren-/Keyloggerfrei ist, was meiner immer schon war"". Mein möglicher Fehler war, die gleiche Mail/PW genommen zuhaben die bei NCSoft gespeichert war und nach meiner Kenntnis sind auch dort Kundendaten abhanden gekommen, das ist auch nur eine Vermutung, PW werden nicht gespeichert. Also war nur ein Zugang möglich .. die E-Mail .. wenn die schon ausreicht um einen ACC zuhacken .. kannst du alle Sicherheitsmaßnahmen nehmen und in die Tonne kloppen.
Da in der Vergangenheit div. Sicherheitsmaßnahmen bei ANet deaktiviert/ nicht oder nur teilweise funktionstüchtig waren, so ist nach meiner Auffassung, mein ACC gehackt worden. Deshalb auch der Hinweis seitens ANet eine andere E-Mail/PW zu benutzen.
Ist man im Besitz einer E-Mail, was nun keine Hürde da stellt, muss der erste Knackpunkt das PW sein, … kann man ja mal vergessen und eine Anfrage oder Neuerstellung beantragen, diese darf NUR mit den genannten 2 Sicherheitsfragen genehmigt werden, die dann mit einer E-Mail bestätigt werden muss.
Dies war in der Vergangenheit seitens ANet nicht gegeben.
Nochmal zum Verlauf des Ganzen. Mein ACC war ohne jeden erkennbaren Hinweis, plötzlich durch die Meldung “Die eingegebene E-Mail-Adresse wurde nicht gefunden” für mich nicht mehr erreichbar. Kein Hinweis per E-Mail das irgendwelche Änderungen an meinen ACC vorgenommen wurde. Demnach hat jemand Zugriff auf meinen ACC gehabt und Änderungen vorgenommen, die in keinster weise von mir bestätigt worden sind. Selbst wenn dem Angreifer meine E-Mail und PW bekannt war, hätte er nur, aber auch nur, auf meinen GW2-Game zugreifen, jedoch hätte er keine Änderungen meines ACC vornehmen können, wenn alle Sicherheitsmaßnahmen gegriffen hätten. Um irgendwelche Änderungen vorzunehmen, muss er nicht nur im Besitz des GW2-ACC sein, sondern auch noch Zugang zu meinen E-Mail-Postfach, um Änderungen zu verifizieren. Es muss einleuchten das das wohl eher Unwahrscheinlich ist, zumal ich dann irgendeinen Anhaltspunkt hätte. Den einzigen Hinweis den ich im Nachhinein habe ist, dass mein ACC abgeräumt war und sonst keinen.
Zitat:
Die Accountdaten die die Diebe haben, reichen hierfür aus und sämtliche Sicherheitsvorschläge greifen da nicht.
Das ist doch völliger Blödsinn, ich weiß auch nicht von welchen Fakten du ausgehst.
Welche ACC-Daten können sie schon haben, im besten Fall E-Mail/Login und PW.
Nur die reichen bei weitem nicht aus, um eine ACC-Änderung vorzunehmen, dürfen auch gar nicht. Um überhaupt erstmal ein Login zu ändern und/oder ein Passwort, muss eine Verifizierung per E-Mail statt finden und dies hat NICHT statt gefunden.
und nochmal.. mein Rechner ist nach neusten Stand Viren/Keylogger frei. Bin selbst mal hergegangen und habe mir eine komplett neuen gekauft, den alten aber immer aktuellen, gelöscht, den neuen installiert und ein kompletten Scann durchgeführt und nicht eine verseuchte Datei gefunden. Der Virenscanner besitzt auch einen Keyloggerschutz während der Eingaben eines Passwortes und komm mir jetzt nicht wieder der User ist Schuld. so ging es nicht nur mir, sondern vielen anderen auch .
Da du ja sooo bewandert bist .. erzähl mir mal wie und mit welchen Möglichkeiten Hacker ohne jegliche Verifizierung eine ACC hacken, Änderungen vornehmen können, nur mit einem Login und bestens Falls einen Passwort.

Nachtrag:
Trotz allem Ärger und Verlust, hat sich ANet mir gegenüber besonders Fair und hilfsbereit gezeigt und dafür möchte ich mich in aller Form bedanken.
Guild Wars 2 macht mir richtigen Spaß und Freude.
mfg Capt Blade

Du gehst von was komplett anderen aus: Mir geht es nicht um die Acc-Änderungen, sondern ins Spiel einlogen, Char ausräumen, Char löschen. Für alle drei Fälle braucht man keine Geheimfrage oder sonstiges. Und das können die Hacker dann auch weiterhin. Auch zum Goldwerbung absetzen brauchen sie nichts weiter als die puren Accountdaten.

Du gehst irgendwie davon aus, das gehackt wird um die Spieler am Spielen zu hindern und das halte ich eher für Unsinn. Das Absperren ist nur ein “Goodie”. Hauptproblem wird auch zukünftig bleiben, das die Hacker die Chars ausräumen können.

Und ich messe die Accountsicherheit auch daran, ob halt die Chars einfach so ausgeräumt wird. Weil das die Hacker streng genommen nur interessieren. Selbst wenn du die Accountverwaltung wie auch immer absicherst, ins Spiel würden sie kommen und mehr interessiert sie nicht. Deshalb werte ich das leichte ändern nicht als Sicherheitslücke. Es ist vielleicht unschön, aber das Urproblem löst das ganze nicht. Oder anders ausgedrückt: Ich würde eher von Character-Sicherheit reden.

Wir reden die ganze Zeit aneinander vorbei…

Erytheia hat mit seinen Einwänden recht. Sämtliche vorgeschlagene Sicherheitserweiterungen dienen nur dazu, einen Account-Diebstahl zu erschweren/verhindern. Nicht jedoch das stehlen des Inhaltes (sprich Ausräumen der Charaktere).
Um dieses nun zu erschweren, wäre es notwendig, diese zusätzlichen Sicherheitsfragen bei jedem LOGIN abzufragen. Möchtet ihr das haben, damit euer Account sicherer ist? Jedesmal mehr “Passwörter” eingeben, wenn ihr spielen wollt? Schaut euch mal an, wie viele sich über die Authentifizierung aufregen, die sie mit JEDEM Login durchführen müssen. Was sagen die wohl bei der eingabe von X verschiedenen Passwörtern? Aber egal, selbst dieses System ist nicht wirklich sicher, theoretisch lassen sich diese auf die selbe weise herausfinden wie normale Passwörter.

Irgenwie reden wir komplett an einander vorbei .. meine Ausführungen hatten nie irgendetwas mit "warum die Hacken … weil das ist ja wohl klar .. " sonder um das verhindern und die dazu gehörigen Maßnahmen, die einer seits von ANet gegeben sein müssen und die des User selbstverständlich auch. Manchmal hab ich das Gefühl, das man so manche Post nur oberflächlich oder gar nicht gelesen werden oder steht oben in meinen Post irgendetwas von “warum die Hacken” ?

Im übrigen, Erytheia, tolle Arbeit über die Aufklärung und Maßnahmen in den Thread

Ja, aber um hacks zu verhindern müsstest du den Login in Spiel verhindern, nicht in die Accountverwaltung. Du drückst dich da um das Problem drum herum. Das Eindringen in die Accountverwaltung und “klauen” des Accounts ist nur Beiwerk, Goodies, ein Bonus für die Hacker, mehr nicht. Selbst wenn du die Accountverwaltung zusätzlich absicherst, es bleibt dabei, das die Hacker weiter hacken werden, weil sie kommen ja noch ins Spiel.
Wenn man ein Problem angeht, sollte man die Ursachen Analysieren. Dazu gehört definitiv auch die Frage, warum gehackt wird und wie man die Ursache möglichst beseitigt oder zumindest einschränkt.

Zitat: "Ja, aber um hacks zu verhindern müsstest du den Login in Spiel verhindern, nicht in die Accountverwaltung. "
Um einen Hack erstmal durchzuführen, bedarf es erstmal um Anhaltspunkte. Diese waren gegeben durch den Diebstahl diverser Kundendaten, wo auch immer die statt gefunden haben. Da jeder Hinweis fehlt, bevor man einen ACC anlegt, dass man hier im jeden Fall einen noch nie benutze E-Mail verwendet soll und viele beispielsweise, bei NCSoft den gleichen Login und möglicherweise das gleiche PW benutzten, ist durch die Zusammenführung der beiden Games eine nachzuvollziehende Vorgehensweise, die sich im Nachhinein als fatal herausstellte. Um überhaupt erstmal Hacks zu verhindern, ist notwendig das man den Diebstahl von Kundendaten verhindert.
Wie dem auch sei, ist man erstmal im Besitz solcher Daten, ist man einen deutlichen Schritt weiter um sich zu bereichern, was ich aber in den ganzen Post bemängelt habe, ist, dass es den Hackern sehr leicht gemacht wurde, nicht nur den ACC abzuräumen, sondern auch noch in der Lage waren diesen komplett zuändern, ohne das irgendwelche Sicherheitsmaßnahmen gegriffen haben, wie z.B. das Verifizieren per E-Mail. Eine weitere Erleichterung ist das der Login gleich die E-Mail-Adresse ist, das ist mal völlig blöd. Login und E-Mail dürfen meines Erachtens gar nicht im Zusammen-hang stehen. Allein aus dieser Tatsachen hingt dein Kommentar, ein hacken zu verhindern, den E-Mail´s zu lokalisieren ist nun wirklich kein großer Akt.
Aus den Vorgang, das man plötzlich mit der Meldung “Die eingegebene E-Mail-Adresse wurde nicht gefunden” ohne das der User irgendwelche Änderung vorgenommen, noch irgendwelche Bestätigungen über div. Änderungen abgegeben hat und nicht mehr auf seinen ACC zugreifen kann, zeugt schon davon das es mit der Sicherheit nicht weit her ist.
Zitat: “Wenn man ein Problem angeht, sollte man die Ursachen Analysieren”
Die erste Ursache ist der Diebstahl von Kundendaten.
Die zweite Ursache ist, dass der Login gleich die E-Mail-Adresse ist.
Dir dritte Ursache ist, Änderungen ohne Zustimmung des User´s. und div. anderer Probleme die nun ANET in der Vergangenheit hatten.
Das WARUM gehackt wird, ist jedem völlig klar, um das verhindern ist nicht nur der User angesprochen, sondern auch der Betreiber.
Wenn nun mein ACC gehackt und ich bestohlen wurde, ist ja wohl das erste was man tut, seinen Rechner überprüfen, um mögliche Viren, Trojanern oder Keyloggern auf die Spur zukommen, man in erster Linie ein eigenes Fehlverhalten in den Vordergrund stellt. Änderungen aber am Account ohne jegliche Zustimmung des User, dürfen nicht statt finden, das ist ja wohl man Fakt. Einen hack zu verhindern oder einzuschränken ist auch, dass man in der Lage ist sein Passwort zuändern, dies war in der Vergangenheit auch nicht möglich, da diese Option, aus welchen Gründen auch immer, deaktiviert war. Um seinen ACC komplett zuändern, ist meist nur durch Umwege machbar, z.B. über NCSoft, auch dies ist ein nicht zumutbarer Zustand, Änderungen dürfen nur direkt machbar sein und nicht über Dritte. Dies sind auch alles Punkte die einen möglichen Angriff verhindern oder stark einschränken.

Dies ist jetzt reine Spekulation:
Man stelle sich vor, die Hacker haben schon im Vorfeld, völlig legal, sich die GW2-Umgebung angesehen. Alle Möglichkeiten eines hacks durch gespielt und anschließend sich Kundendaten besorgt. Bekannt ist das div. Kundendaten gestohlen wurden. Sind dann her gegangen und haben dann einen Abgleich zw. den Kundendatenmatrial und den Usern in GW2 gemacht. Da nun der Login, nur aus der E-Mail besteht und Passwortänderungen möglich waren, ohne das eine Verifizierung nötig war, ist es erst zu diesen Ausmaß von Hacks gekommen.

Ich mag deinen Fingerzeig auf den User nicht .. du nur den eigentlichen Hack ansprichst und in keinster Weise einen Fehler seitens des Betreibers zulässt .. was nun offensichtlich ist, dass hier es einige Unstimmigkeiten gegeben hat … was nicht heißt, dass alle User unschuldigt sind. Ich bin der Meinung das mehr als 60% der gehackten verhindert worden wären, wenn man die einfachsten Dinge beachtet. Daher frage ich dich .. wie kann man einen Loginname gleich der E-Mail-Adresse vergeben .. nach den in der Vergangenheit div. Hacks musste es einfach klar sein das das nicht funktioniert.
Zudem ist allgemein bekannt das es einen regen Handel mit Adressen gibt.

Meine Empfehlung ist:
Der Login muss mit einen Namen versehen werden, ohne das ein Abgleich mit der dazu gehörigen E-Mail-Adresse möglich ist.
Passwortänderungen dürfen nur mit Einbeziehung des Account möglich sein.
Passwort-Erstellung ist nur mit Groß/Kleinschreibung, Alpha- und Numerischen-zeichen möglich und sollte mindst. 8 Zeichen haben.
Der Account sollte mit 2 zusätzlichen persönlichen Sicherheitsfragen versehen sein.
Änderungen müssen über eine E-Mail verifiziert werden.
Standort-Verifizierung sollten bei behalten werden, nur die Logeinträge sollten mindst. eine Woche betragen.

Und keine der Massnahmen hätte verhindert (außer IP-Standort, den sie eh machen) das man sich ins Spiel einlogt. Eigentlich in jeden Forum gibt man sich einen Namen, der Mensch ist ein gewohnheitstier, er wird das auch hier tun – und schon passen die Listen wieder.

Ich denke, das 99% der hacks verhindert hätten können, wenn man selbst etwas aufpasst (siehe gepinnten thread von mir).

Ich spreche Arena.Net nicht unschuldig, nur ich denke, das sie die Hacks ansich nicht verhindern hätten können (außer Zwangspasswörter, die der User nicht direkt ändern kann und nur ein neues anfordern können). Wo sie versagt haben ist der Umgang mit den Hacks, keine Frage.

Meiner Meinung nach (und da haben wir einfach andere Meinung) hätte Arena.Net versagt, wenn hacker auf die Zugangsdaten (E-Mail und Passwort) der Kunden zugriff erlangt hätten oder der Login einen Fehler enthält, so das er auch falsche Passwörter akzeptiert.

Ich sage auch nicht, das die anderen Massnahmen sinnlos sind, sondern zum Teil würde ich sie begrüßen (bspw. Passwortänderung per e-Mail bestätigen), aber mehr aus anderen Gründen. Wenn man bspw. mal vergisst sich auszulogen etc. Einen großartigen Sinn der Sicherheitsfragen seh ich auch nicht – ich hab den Spiele-Key, um mich eindeutig zu identifizieren.

Immer voraus gesetzt, dass man Viren, Trojaner, Keylogger frei ist und die Daten nicht weitergegeben wurden .

Erytheia : “Und keine der Massnahmen hätte verhindert …”
Das ist doch Blödsinn
Wenn man einen Login-Name wählt z.B. “Lolli32pob” und die E-Mail rumpelziege32@xyz.de, wie willst du dann einen Zusammenhang erklären, so das es den Hackern möglich war, einerseits sich in dein Game einzuloggen und andererseits noch dazu problemlos deinen ACC ändern. Das sind doch 2 unterschiedliche Vorgänge. Davon ausgehend das Kundendaten gestohlen wurden, ist es dennoch eines der beiden nicht möglich, es sei denn, man hat sowohl Login und E-Mail, wenn dem so sei, liegt dann nur noch der Verdacht nahe, dass man den Betreiber bestohlen hat und dazu noch Login und E-Mail der Kunden in einer Liste verzeichnet war. Das ist ja wohl glasklar, das das in keinster Weise der Fall ist oder ein Insider hat da die Finger im Spiel, zumal Passwörter nur verschlüsselt dem Betreiber vorliegen und sie selbst Passwörter nicht in Schriftform haben. “Passwort-Änderungen waren möglich ohne das der User hätte Einfluss nehmen können.”
Hier stellen sich aber die Fakten ganz anders da, E-Mail ist gleich Login, für mich Sicherheitstechnisch völlig daneben, dar es kein großer Aufwand ist E-Mail zu lokalisieren. Das erklärt aber noch nicht wie man an Passwörter heran kommt, dies bleibt für mich ein Rätzel, allerdings bei den Unebenheiten die bei ANet vorlagen, dies möglicherweise begünstigte.
In meine Fall ist es so, das mein Rechner "sauber"war, ich keine Phirshing bekommen, noch beantwortet, noch meine Daten weitergegeben habe und dennoch gehackt wurde, ohne jeden Hinweis, das zuvor je ein Fremdzugriff statt gefunden hat. Die Meldung “Die angegebene E-Mail_Adresse wurde nicht gefunden” deutet nicht zwingend auf einen Fremdzugriff hin, sonder kann ganz unterschiedliche Ursachen haben, meist falsche Eingaben, aber das man in nach hinein feststellen muss, ohne eigenes zutun der ACC geändert wurde, ist schon ziemlich heftig.

Erytheia: “Ich denke, das 99% der hacks verhindert hätten können, wenn man selbst etwas aufpasst”
Da frag ich dich jetzt, auf was soll man den noch aufpassen, das der Papst nicht umfällt oder was. In erster Linie muss ich als Kunde Vertrauen darauf haben, das die geforderten Angaben auch SICHER gehändelt werden oder ich gebe bestimmte Vorgaben und zwar nicht in nach hinein, sondern vorher oder bei der Erstellung. Da der Diebstahl von ACC kein Neuland ist, bin ich dazu verpflichtet als Betreiber im Vorfeld mir intensive Gedanken zumachen, wie ich meine Kunden vor Fremdzugriffen schützen kann, allein schon aus eigenem Interesse, intensiver noch, wenn ich als Verkaufsargument das Verbinden zweier Games offeriere und mit verlaub, da ist der Login mit einer E-Mail die schlechteste Wahl die man überhaupt treffen kann. Weiter bin ich als Betreiber dazu angehalten, bei so sensiblen Daten, man darf nicht vergessen das möglicherweise auch Bankdaten gespeichert werden, mein Sicherheitssystem einer gründlichen Prüfung unterziehe und alle nur erdenklichen Möglichkeiten durchspiele, um einer Manipulation oder gar Diebstahl, auszuschließen. Das das hier statt gefunden hat, ist ja wohl zu bestreiten, da allein das deaktivieren von Passwort-Änderungen völlig dagegen spricht. Selbst sollte man seitens des Kunden, Unwissenheit, Unbedarftheit und Dummheit mit Einfließen lassen, die sich sicher nur bedingt umsetzen lassen. Mehr noch, wenn man weiß, das auch schulpflichtige Kinder das Game spielen können, oder erwartest du auch noch das diese ein einschlägiges Wissen über Account-Sicherheit haben.
Ich sage nochmal mehr als 60% wären nicht betroffen von Hacking.
Erytheia: " Meiner Meinung nach …."
Das müssen sie doch haben, oder wie erklärst du dir dann, wie sie bei mir und div. anderen, einfach die E-Mail ändern, was ein ACC Zugriff erfordert, ohne jeglicher Verifizierung des Users. Ich verweise hier noch mal auf die meine Überschrift.
Erytheia: " … aber mehr aus anderen Gründen …"
Aus welchen Gründen dennoch, das Oma und Opa unerlaubt auf dem Heiligengeistfeld Walzer tanzen oder was noch wenn es sich nicht um die Account-Sicherheit handelt. Wer im Gottesnamen macht einfach seinen Rechner aus ohne vorher das Spiel zu beenden. Nun könntest du dieses Forum nennen, auch da ist meiner Meinung nach, sich wenig Gedanken gemacht worden, ein Forum sollte auch keinen Hinweis bieten, der direkt auf das Game zeigt. ACC-Login gleich Forum-Login, also ich weiß nicht, zumal man weiß, das auch die gestohlenen Kundendaten teilweise aus Foren stammen.

Was auch meines Erachtens meist vergessen wird, ist, das User sich mit den Game identifizieren, mit so viel Liebe und Arrangement ihre Char´s pflegen, ihnen eine Geschichte geben usw. liegt es wohl klar auf der Hand, das diese alles in ihrer Macht liegende tun, um solchen Machenschaften aus den Weg zugehen, ich es als anmaßend finde, ihnen dann noch zu sagen “bist selbst Schuld”. Hier fehlt es auch noch an der richtigen Sensibilität, man kann sicher auf Fehler hinweisen und mit den nötigen Respekt jemanden auf ein Umdenken lenken, aber gleich “Dumsau” sagen ist fehl am Platz. Zudem kommt das man nicht nur einseitig Denken sollte und jede andere Möglichkeit sofort abwinkt, sondern die Gegebenheiten aus Verschiedenen Ebenen betrachten sollte.

Es existieren mehrere Threads zum Thema Accountsicherheit und Co. bitte verwendet diese:
https://forum-de.gw2archive.eu/forum/support/account/Accountsicherheit-was-kann-man-tun
https://forum-de.gw2archive.eu/forum/support/account/Anleitung-Was-tun-bei-Account-Hack