Beiträge von Syntafin im Thema „Steam-Account gehackt, trotz 2FA“

Zitat von Darklord

Ich fordere ein sicheres und halbwegs komfortables 2FA.

Meinetwegen auch MFA, aber es muss eben einfach zu händeln und sicher sein. Sodass auch der letzte Opi damit klarkommt.

Was du suchst nennt sich U2F oder eben Passkeys, das bieten immer mehr an. Passkeys werden uA von Android und Windows nativ unterstützt (letzteres in Form von Windows Hello).

Für Linux gibt es auch einige Möglichkeiten (da muss man sich immer mal umschauen in seiner Distribution) und einige Passwort Manager wie zB Bitwarden bieten es ebenfalls an.

U2F kennst du vielleicht auch unter dem Namen YubiKey.

Zitat von Darklord

Ganz genau. Wie schon mehrfach gesagt. Wenn die Anbieter das noch anbieten, dann darf der Kunde davon ausgehen, dass es sicher ist.

Meine Güte, wie lange ITAN angeboten wurde, obwohl es komplett unsicher war.

Das stimmt natürlich, das Anbieter da eine Mitschuld tragen wenn man es anbietet.

Aber man sieht ja auch leider wie schwer es Menschen fällt einfach das zu tun was auf dem Bildschirm steht, denn dann wären sie auch mehr ja dazu geneigt bei fehlen dieser unsicheren Optionen direkt auf TOTP, Passkeys oder U2F als 2FA (manche nennen es auch MFA übrigens [Multi Factor Authentication]) zu setzen. Da gehen halt viele Anbieter den weg des geringsten widerstandes, unsichere Methoden anbieten in der Hoffnung das zumindest diese verwendet werden.

Auf der anderen Seite muss man aber auch sehen das in 80% der Fälle wo Konten trotz aktiver 2FA übernommen werden, es sich nicht um ausnutzen solcher Unzulänglichkeiten handelt, sondern schlicht Sicherheitslücken in dem Anwendungen oder über Sicherheitslücken im Browser die Zugänge erbeuteten werden, in den wenigsten Fällen sind die Opfer dieser Attacken gezielt ausgesucht, sondern schlicht zufällig mit dabei.

Gerade Attacken auf Browser mit modifizierten Headern um Cookies anderer Seiten auszulesen sind heutzutage eine gängige Methode und Anleitungen gibt es dazu zu genüge bzw. Suchmaschinen geben dir mit ein wenig probieren das direkt fertig raus.

Im Normalfall sollte zB beim Aufruf von compiware-forum.de dies auch nur die dieser Domain zugeordneten Cookies laden, mit etwas bösartigen Willen, bringt man aber den Browser dazu zB auch den Cookie von steamcommunity.com zu übertragen.

(Ich hab beide Seiten nur als Beispiel genommen)

Du beschwerst dich über 2FA und forderst 2FA.... Gut damit ist alles klar.

Zitat von Darklord

Also volle Verantwortung beim Nutzer. Konzerne können machen, was sie wollen. Tolle Einstellung.

Erneut dir die Frage, wie soll "Konzern" sicherstellen das du keine scheiße baust? Denn du verlangst hier am laufenden Band, das Betreiber dir deinen Account vor deiner eigenen Dummheit absichern, die können dir nur die Möglichkeit bieten es abzusichern, machst du es nicht, geht es halt nicht. Deswegen meine Aussage mit es muss finanziell weh tun.

Aber auch erneut die Aufforderung: Zeig mir wie man als Anbieter das machen soll. Das hast du bisher auch nicht gemacht.

Zitat von Darklord

Solche Methoden werden ja nicht oder kaum angeboten oder promotet. Kennt fast keine normale User-Sau. Stattdessen wird man zu Two-Fuck-All gezwungen.

Ist das logisch?

Ganz ehrlich? Ich würd von Nutzern eine Strafe die jeden Tag sich verdoppelt verlangen, sobald Geld in dem Account im Spiel ist, es muss wehtun.

Wer sich dann entscheidet eine unsichere Methode zu nutzen, muss weiterhin Strafe zahlen, aber diese verzehnfacht sich pro Minute, damit es erst recht weh tut. Solche Menschen verursachen Support-Aufwand, Kosten und unnötige Probleme.

Es ist 2024, nicht 1971. Jedes Skript-Kiddie da draußen findet einen Bausatz da draußen für Schadsoftware, Suchmaschinen wie ChatGPT machen es noch einfacher und effektiver eine echt aussehende Fake-Login Seite von Bank X zu erstellen.

Ja es klingt rabiat und brutal was ich hier vorschlage, aber ohne finanzielle Konsequenzen lernen Menschen nun mal ungerne aus ihren Fehlern.
Denn gerne darfst du weiterhin mir erklären wie es zB Valve schaffen soll das du als Nutzer deinen Account korrekt sicherst, beziehungsweise wie sie verhindern sollen das Jeremy Jimmy Joshua Zimmerman sich mit ein wenig Trial & Error oder durch geklaute Cookies bei deinem Account einloggen kann.

Denn irgendwo ist das Ende der Fahnenstange was man als Anbieter/Entwickler machen kann. Also ja bitte, noch penetranter werden mit 2FA. Viel penetranter, vielleicht sollte Valve und Co. auch das starten von Spielen verbieten, solange 2FA nicht richtig eingerichtet ist.

Und was es mit "Cookie-Diebstahl" auf sich hat, das erklärt euch Dr. Google oder zur Not auch eine Suchmaschine wie ChatGPT/Gemini, dann brauchts nämlich weder Passwort, noch 2FA. Man ist ja schließlich eingeloggt. (Ja diese Vorgehensweise kann man erschweren, aber wer hindert den 11 jährigen weiter oben im Text auch gleich eure IP-Adresse zu verwenden dafür?)

Zitat von BockwurstWilly

Syntafin hier geb ich Darklord schon Recht. Bei Sony gibt man sich unglaublich viel Mühe in jedes Spiel den PSN Zwang zu drücken. Und was hatten wir vor zig Jahren? Ein Account Leak biblischen Ausmaßes. In Klarnamen! Wessen Seite soll sich da absichern? Der Konzern der sich Millionen um Millionen in den Rachen schraubt, oder der User der in seiner Freizeit ein Spiel spielen will?

Da Darklord seine Aussage nicht konkretisiert hat, und in einem Thema wo jemand eine unsichere Methode verwendet hat, von "Konzerne müssen unsere Daten sichern!!!!111elf1!" geht man prinzipiell von Account-Sicherheit aus, nicht von Grundlagen des Datenschutz.

Das Sony wie viele andere Firmen auch vieles nur im Klartext speichern, ist ja nichts neues. Würde mich zB nicht wundern wenn auch Unternehmen mit Banken-Lizenz wie PayPal oder auch Amazon Zahlungsinformationen (Kreditkartennummer, SEPA Mandat, etc) im Klartext speichern.

Zitat von Darklord

Was ist denn daran nicht zu verstehen?

Die Konzerne müssen gewährleisten, dass die Daten der Nutzer sicher sind. PUNKT.

Breaches werden ja oft erst durch die Presse bekannt.

Immer mehr Sicherheitsmaßnahmen kommen on-top. Erst heißt es, du musst haben Virenscanner, du musst haben megalanges, komplziertes PW, du musst PW oft wechseln, du musst TAN nutzen, du musst CHIP-TAN nutzen, du musst MTAN nutzen, du musst 2FA haben, du musst 3FA haben, du musst 4FA haben, usw., usf.

Gleichzeitig sollst du aber immer mehr Konten verknüpfen...

Nur, weil die Konzerne stinkefaul sind und die komplette Verantwortung auf den Kunden auslagern wollen.

Alles anzeigen

Sorry, aber wie willst du als Konzern Level 8 absichern? Die größte Sicherheitslücke ist und bleibt für ewig der Benutzer (Level 8).
Und wie man sieht sind auch 2FA Lösungen nicht umbedingt sicher, wenn Level 8 sich entscheidet auf Postkarten zu setzen (Email, SMS, WhatsApp), statt auf wirklich sichere Methoden (TOTP, Passkey, WebAuthN, U2F).

Und jeder der sich wirklich mit Sicherheit auskennt, weiß das der Zwang zum Passwortwechsel dazu führt das Leute schwache Passwörter verwenden, sieht man bei uns zB im Betrieb, da wird das Standard-Passwort einfach um eine Zahl die alle 6 Monate um eins erhöht wird erweitert.

Wenn dir aber bekannt ist, wie man Layer 8 vor sich selbst schützt, gerne her damit. Ich würde es zumindest in mein CMS und in eine andere in Entwicklung befindlichen App sofort einbauen.

Was meinst du mit "Nutzerdaten selber sichern" und "1000-Hoops" und "Sicherheitschecks"?

Heute nimmt man eher den weg des geringsten widerstandes:

Man klaut einfach den Token (auch Cookie gerne genannt).

Dann umgeht man solche Abfragen einfach direkt, ziemlich "einfach" wenn man sich mit aktuellen Sicherheitslücken auseinander setzt, oder eine kennt die noch nicht bekannt ist.
Gerade der CoinMiner Browser hängt oft hinterher was Sicherheitslücken angeht, wobei ich das für Intended halte.

Ansonsten ja, Steam Authenticator verwenden, leider entzieht sich da ja Valve der allgemeinen Lösung bei TOTP, sonst könnte man das selbe wie für alle anderen Nutzen (Google Authenticator, MS Authenticator, Authy, Bitwarden, etc).

Zitat von Alexander1970

Dafür ist es leider viel zu spät....

Das Problem ist ja nicht Mal das Smartphone. Das Problem ist wie die drei genannten Techniken funktionieren.

E-Mails werden auch heute noch größtenteils unverschlüsselt übertragen, SMS waren es noch nie (RCS, der Nachfolger, kann Transportverschlüssung das kommt aber wieder auf den Anbieter an, ähnlich zu E-Mails.) und von WhatsApp und der Tatsache daß die Handynummer reicht um sich mit einem beliebigen XMPP Client einzuloggen zum mitlesen/mitschreiben....

PS: So einfach ist das mit dem einloggen nicht, da braucht es schon ein/zwei Dinge mehr, wer es aber will, der hat auch damit keine Probleme.

Zitat von WalterSullivan

Das läuft einem dann doppelt kalt den Rücken runter, wenn man an seinen eigenen Account denkt

Ich überspringe mal alles, aber ich nicht. Wie schon einmal erwähnt in einem anderen Thread sind Methoden die SMS/Email verwenden nicht sicher!

Ihr solltet damit anfangen E-Mails, SMS, WhatsApp (ja auch mit "Verschlüsselung") als Postkarte anzusehen, denn genau das sind diese Methoden. Von jedem lesbar, der sie überträgt. Noch ein wenig DNS Spielchen hier und da, oder einen unsicheren Browser wie Opera/veraltetes OS allgemein in der anderen Hand, und solche Mechanismen helfen nicht mehr.