Guild Wars 2

- zu einfaches Passwort
- dasselbe Passwort woanders schon mal benutzt
- das Passwort offen irgendwo liegen gelassen oder unbewusst oder durch Trojaner/Keylogger preisgegeben

An der Stelle der Tip, für jeden Internet Account ein eigenes Passwort zu verwenden, welches keine Wörter enthält, aus Klein- und Großbuchstaben und Zahlen besteht und allermindestens 8 Zeichen lang ist, besser wären 10 oder 12. Auch Muster auf der Tastatur (qwer1234, yaq1xsw2) sind nicht (mehr) sehr originell.

Ein Account kann NUR mittels des Passwortes gehackt werden. Eine andere Möglichkeit gibt es nicht. Der Eigentümer ist somit selbst verantwortlich zu machen, wenn er hier zu schlampig war. Beteuerungen, dass das Passwort gut genug war, helfen nicht, da es auf die eine oder andere Weise dem Hacker bekannt wurde. Hacken (im ursprünglichen Sinne) = das Passwort herausfinden. Wenn Arena Net Wiedergutmachung leistet, auch nur, den gehackten Account wieder zugänglich macht, beruht das auf Kulanz. Eine Verpflichtung dazu besteht, durch die alleinige Verantwortung für die Passwortsicherheit auf der Nutzerseite, nicht.

Der Aufenthalt im Internet verlangt einfach danach, aufzupassen, dass man die Tür nicht offenlässt. Dazu gehört, dass man die Mühe auf sich nehmen muss und einen ganzen Satz Schlüssel (Email, Faceschnuck, Schnitter, GW2, usw.) anlegt und ggf. von Zeit zu Zeit auswechselt. Das kann man elektronisch machen – ich hatte lange Zeit einen USB Stick mit entsprechender Software, oder, was noch einfacher ist, mit einem Karteikästchen, wo alles von Hand aufgeschrieben ist. Das Karteikästchen hat den Vorteil, dass man kein komplizieres Masterpasswort im Kopf haben muss und es keine Möglichkeit gibt, ranzukommen, außer ins Haus einzubrechen. Der Knackpunkt ist auch hier die Passworteingabe. An der Stelle können nur noch Virenscanner tun was möglich ist und rechtzeitig vor Spyware warnen. Ist das Passwort erst mal weg, ist meist auch der Inhalt weg.

ganz ehrlich deine Tipps in allen Ehren nur bringt es nix wenn man sich einen Keylogger etc. einfängt. Auch ein Passwort dass nur aus Kleinbuchstaben besteht ist auch sicher solange es keine Name oder sowas ist.

Ein hohes Risiko ist meiner Meinung nach eher das PW im Client zu speichern, da es ja dann irgendwo auf dem PC, wenn auch verschlüsselt, liegen muss.

[…] Hacken (im ursprünglichen Sinne) = das Passwort herausfinden.

Falsch!

Im Gegenteil: was Du meinst ist social Engineering.
Und PWs erraten… japp, wer zB ein allzu dummes LogInName==PW verwendet kann einem nicht mal mehr leid tun, soweit sollte das Allgemeinwissen bereits gehen.

Von “Hacken” spricht man aber nicht beim simplen PW ausprobieren, sondern bei Aktivitäten wie zB IPs Hijacken, Netzwerkeinbrüchen, User/Item/Session-IDs durch Trojaner oder zB Keylogger abgreifen etc, das ist mal ganz was Anderes. Ein ganz anderes Kaliber!

@ FlippDurch: Genau, man sollte sein PW niemals automatisch speichern lassen – so komfortabel sich das einem auch anbiedert.

[…] Von “Hacken” spricht man aber nicht beim simplen PW ausprobieren, sondern bei Aktivitäten wie zB IPs Hijacken, Netzwerkeinbrüchen, User/Item/Session-IDs durch Trojaner oder zB Keylogger abgreifen etc, das ist mal ganz was Anderes. Ein ganz anderes Kaliber!

Und alles läuft auf dasselbe hinaus: ein Passwort abzugreifen, mit dem man Zugang erhält.

[…] @ FlippDurch: Genau, man sollte sein PW niemals automatisch speichern lassen – so komfortabel sich das einem auch anbiedert.

Das scheint einzuleuchten, aber da das PW verschlüsselt gespeichert wird, kann es nicht in absehbarer Zeit geknackt werden. Wenn es so leicht möglich wäre, gäbe es diese Praxis nicht.

[…]aber da das PW verschlüsselt gespeichert wird, kann es nicht in absehbarer Zeit geknackt werden. Wenn es so leicht möglich wäre, gäbe es diese Praxis nicht.

Mhm, sehr beruhigend
Doch wenn es so unmöglich ist, woher dann die vielen Chinagold-HiJacks/Hacks?

Himmelguck.2517:

[…]aber da das PW verschlüsselt gespeichert wird, kann es nicht in absehbarer Zeit geknackt werden. Wenn es so leicht möglich wäre, gäbe es diese Praxis nicht.

Mhm, sehr beruhigend
Doch wenn es so unmöglich ist, woher dann die vielen Chinagold-HiJacks/Hacks?

Wie viele sind es denn?

[…]aber da das PW verschlüsselt gespeichert wird, kann es nicht in absehbarer Zeit geknackt werden. Wenn es so leicht möglich wäre, gäbe es diese Praxis nicht.

Ich würde sagen, jemand muss nur die richtige Datei nehmen (also die mit dem PW drinnen) und sie bei seinem Client einsetzen, schon braucht er das PW gar nicht zu entschlüsseln.

Ich ändere meine Rollenspiel-Passwörter 1x im Monat. Spiele ja eigentlich nur ein Rollenspiel (zeitlich bedingt). In dem Fall ist es GW2 – doch änder ich das Passwort nicht komplett, sondern füge immer nur ein oder zwei Zeichen hinzu – oder nehme eins bis zwei weg. So kann ich mir das “aktuelle” Passwort besser merken, wenn ich es wo einsetzen muss.

Aber auch mit der Strategie fährt man schlecht wenn man beispielsweise nur ein “123456” als Passwort nutzt und dann da noch eine 78 hinzufügt oder eine 65 wegnimmt

Tante Edith meint: Ein “gutes” Passwort besteht aus mindestens 8 Buchstaben (groß und Kleinschreibung) 4 Zahlen und 2-4 Sonderzeichen (!?-_:;*/&%$)

Sentry, Tip: KeePass.

Damit kannst du dir soviele und so komplexe Passwörter generieren lassen und abspeichern, schön verschlüsselt. Du musst die Passwörter nichtmal mehr selbst rauskopieren, die meisten Programme erlauben es KeePass das Passwort automatisch eintragen zu lassen. Sogar so, dass selbst ein KeyLogger nichts mitbekommt.

Draco.3785:

Sentry, Tip: KeePass.

Damit kannst du dir soviele und so komplexe Passwörter generieren lassen und abspeichern, schön verschlüsselt. Du musst die Passwörter nichtmal mehr selbst rauskopieren, die meisten Programme erlauben es KeePass das Passwort automatisch eintragen zu lassen. Sogar so, dass selbst ein KeyLogger nichts mitbekommt.

KeePass hat aber, wieviele andere Programme, auch das Problem, dass du aufgeschmissen bist, wenn dein System crasht (Alternative: auf USB-Speicher absichern) oder du das Master-Password verlegst oder dieses nicht sicher genug ist.

Kommt schon. Passwörter merken ist wie besseres Dr.Kawashima

Naja, EIN gutes Passwort wird man sich doch merken/aufschreiben können.

Bei mir liegt die KeePass-DB sowohl auf 2 Rechnern und einer Externen als auch auf meinem Smartphone, alles gleichzeitig kaput gehen wird es kaum. Dank guter Synchronisationsfunktion ist es auch kein Thema die Datenbanken abzugleichen.

…. och wenn mir jemand was reinlegt …warum nich … :o)

schaun wir mal was wird wenn dieser … ach ich hab den Namen vergessen (steht im Forum) kommt … obs dann besser oder schlechter wird … ich glaub würden wir Tetris spielen würden sich gewisse Leute keine Mühe geben um unsren Account zu hacken …

“wollen du eine ganze blaue leihe haben, geben mir 50 €” gröööhl

NEIN RAMON VERDAMMT, JETZT MUSS ICH ALLES NEU TIPPEN ^^

Also Dr. Kara das war doch der solche Rästel gemacht hat, bei der man mit dem Stift den Ausgang eines Labyrinthes nachfahren musste?

Spaß

Danke für den Tipp Draco aber da hat Jera völlig recht. Ein Passwort gehört in ein Kopf und nicht in ein von X Y Z abhängiges System.

Ausserdem wurde ja bereits ein Authenticator angekündigt. Hoffen wir nur dass ihn jeder Smartphonenutzer [iOS;WP7;Android] verwenden kann. Ein physischer Authenticator-Stick wäre natürlich das Beste

Account gehackt, aber warum? ..die etwas andere Antwort:
Weil es Menschen gibt, die mit GW-Accounts echtes Geld verdienen wollen, also damit als Goldseller oder Botter aktiv werden möchten oder ihn schlicht leerräumen wollen. Seit A-Net echtes Geld zum Erwerb von GW2-Spielitems zulässt, lohnt sich das auch erst so richtig. Meiner Ansicht nach war das Zulassen von echtem Geld als Kaufwährung erst der richtige Startschuss für echte Banker/Zocker und der falsche für echte GW-Spieler: das wird ein Schuss in den Ofen werden.
Das Accountgehacke wird meiner Ansicht nach zurückgehen, sobald A-Net das Echtgeld wieder aus dem Spiel nimmt, der Anreiz für die Hacker verschwindet.
Die Spieler selbst können da meiner Meinung nach wenig bis nix machen, ein hundertprozentiges Passwort kann es nicht geben. Und die meisten Passwörter wird ein Suchender nicht auf den Privatrechnern der Spieler ausspähen: effizient wird das Hacking und Goldselling für die, die das machen, wenn sie direkt auf A-Net-Server zugreifen.
Werden die Passwörter auf den A-Netservern hinterlegt?
Ich selbst habe meine pw´s seit Jahren in einem kleinem Tagebuch handschriftlich notiert, das keinem Programm zugänglich ist und speichere nie eines irgendwo ab: per Rechenprogramm könnte es aber rein theoretisch natürlich dennoch entschlüsselt werden. Aber wie gesagt, der Aufwand dafür lohnt sich wahrscheinlich erst bei Vorliegen großer Datenmengen wie auf den Servern

Na ja. Auch ohne Echtgeld bleibt der Markt nach Ingame-Gold vorhanden. Wird Echtgeld rausgenommen und nur auf ingame umgestellt werden trotzdem Accounts gehackt.

Es gibt Spieler in China, die machen nichts anders als Goldfarmen, natürlich mit gehackten Accounts, und die Kohle an andere Chars zu übertragen. Da laufen Bots usw, die das machen und zwar 24/7.

Man wird das nie in Griff kriegen, solange es Währung (Ingame und Echtgeld) gibt. Solange es genügend Spieler gibt, die das Gold auch ausgeben und mehr brauchen als Sie selbst erspielen können. Im richtigen Leben kann ich auch nicht mehr ausgeben als ich mir leistzen kann. Gut kann man schon in der Regela aber nicht lange

Irgendwann wird irgendwer eine Möglichkeit finden, die es ermöglicht in kurzer Zeit enorm viel Geld (Ingame und damit Echtgeld) zu machen (Dupes, Überspringen von Punkten wie jetzt in den Patchnotes steht usw.) und wir, die ehrlichen Spieler, die auch nie bei einem dieser Anbieter auch nur 1 € für Ingamegold ausgeben würden, sind die gelackmeierten.

Wir müssen einen enormen Aufwand betreiben um uns zu schützen und wenn was passiert gibt es (derzeit) nicht mal ein Sicherungsnetz. Chars sind dann weg mit Equip etc. Aber das Passwort ändern, das muss ich nicht bestätigen. Der Entwickler macht es sich da etwas zu einfach.

Ich freue mich auf den Authenticator, gibt er mir doch wieder ein Stück mehr gefühlte Sicherheit.

Hallo GW Gamer,
@DelRoi, danke für dein Crashkurs in ACC und PW-Behandlung, nur der überwiegende Teil der User die gehackt wurden, so bin ich der Meinung, wusste schon wie man seinen ACC vernünftig behandelt. Ein Passwort mit dem Urteil “sehr stark” nützt dir rein gar nichts, wenn nicht mal die simpelsten Sicherheitsmaßnahmen vorhanden sind. Passwortänderungen waren Zeitweise deaktiviert .. Altes/Neues PW vergeben, war fehlerhaft, E-Mail-Änderung war fehlerhaft (keine Rückmeldung) etc.
Für mich stellt sich die Frage .. Wieso war der User nicht in der Lage seine ACC zurückzusetzen.. wie konnten Hacker dennoch auf den ACC zugreifen, obwohl die aufgeführten Schwierigkeiten bestanden.. wieso gab es keine Sicherheitsabfrage über, die angefordete Passwortänderung und wurde dennoch, ohne Zustimmung des Eigentümers geändert.. Wieso gibt es keine, was heute gangundgebe ist, zwei zusätzliche persönliche Sicherheitsfragen, die nur der Eigentümer beantworten kann oder eine alternativ E-Mail usw. Um einen Account schützen, ist es sicherlich richtig das der User entsprechend mit seinen ACC umgeht, nur muss er sich auch in einer entsprechenden sicheren Umgebung befinden, die bei weitem in der Vergangenheit seitens ANet nicht bestand. Nur deshalb könnten mehrere 100 User gehackt werden. Ich wurde auch gehackt und war in keinster weise in der Lage irgendwelche Schritte zu unternehmen, um diesen Hack Einhalt zu gebieten, viele User müssen mit ansehen wie tagelang, Fremde mit ihren ACC Unfug treiben, bevor man seitens ANet aktiv wird. Im übrigen brauchte man kein PW um den ACC zuhacken, es reichte die E-Mail-Adresse und die nun ja, da kam der Tip leider etwas zuspät eine noch nie verwendete E-Mail zuverwenden (allein das spricht zw.den Zeilen Bände), da war das Kind schon in den Brunnen gefallen. Ich habe in der Vergangenheit schon mehrere Online-Games gezockt, bin nur einmal gehackt worden, “Battlenet” sagt sicher jedem was und das war auch allein meine Schuld, Lehrgeld das ich bezahlen musste, weil ich eine Phirshingmail anklickte, nur mit den Unterschied das Blizzard alles wieder ersetzt hat !!!

Der erste Post ist durchaus auch provokant gemeint, denen gegenüber, die in der IT gut zu Hause sind. Ich bin da nicht mal Profi. But who cares? Wichtig ist, dass man drüber redet. Wer ne Million hinter seinem Account schützen muss, wird noch ganz andere Vorkehrungen treffen.

Dass auch mal Account Daten aus dem Betreiber Haus geklaut werden ist ja bekannt. Nur ist die Technologie um Account Sicherheit so breit bekannt, dass man da kaum Fehler machen kann. Ich würde mal behaupten, wenn etwas den Server verlässt, dann häufiger durch die Haustür als durch das Kabel.

" Ich würde sagen, jemand muss nur die richtige Datei nehmen (also die mit dem PW drinnen) und sie bei seinem Client einsetzen, schon braucht er das PW gar nicht zu entschlüsseln.

Das könnte richtig sein. Allerdings muss man erst mal an die Datei rankommen, was auch nicht ganz leicht ist. Ich glaube in der Vergangenheit gab es verschiedene Hersteller, die die Installation an die Hardware gebunden haben. Ich glaube alle haben geschrien: “Neiiiin, das wollen wir nicht!!!111”.
Den Zugang zu GW2 auf einen bestimmten IP Adressbereich zu beschränken wird ja von ANet praktiziert. Wer von woanders Zugreifen will, muss sich mittels seiner Mailadresse authentifizieren.

Zu KeePass:
Ich hatte jahrelang Keepass auf USB Stick und mit einem Master Passwort bei dem ich selbst manchmal mehrere Anläufe gebraucht hab, bis es richtig war^^
KeePass ist gut aber wenn das Betriebssystem verseucht ist, gibt es keine Garantie egal für welche Daten. Ganz sicher kann man gehen, wenn man z.B. einen Zweitrechner hat, der nie ans Netz geht.

@Capt Blade – Man kann sich bei “Passwort vergessen” ein neues an seine Email schicken lassen. Nur muss ein Hacker auch dazu Zugang haben. Ich habe mich mal, schon vor längerer Zeit, nach 2 Jahren mal wieder in meinen Steam Account eingeloggt und musste feststellen, dass da jemand dran rumgemacht hat. Ich habe den Account kaum benutzt, deswegen wars mir egal. Der Knackpunkt war aber einfach, dass mein Mailkonto mit qwer1234 zu öffnen war.
Löblich, dass Blizzard das ersetzt hat, besser aber wenn es nicht passiert wäre.