Account Sicherheit kein BNET Authenticator aber langes Passwort...?

Hallo,

Ich habe schon lange so ein hick-hack mit dem Bnet Authenticator. Hatte den Schlüsselanhänger, der so weit wirklich toll und einfach zu benutzen war… doof nur, dass die nicht wechselbare, fest verbaute Batterie halt dann mal leer ist, und auch ein öffnen des Authenticators (Werkzeug) und neu versorgen mit Spannung nicht funktionierte. Zwar ging er dann wieder an… zeigte aber nur wirres Zeug an, was sich in weiterer Recherche herausstellte, dass man ihn in der Fabrik neu hätte programmieren müssen, denn ein Speicher wird gelöscht, sobald die Batterie 1x leer ist.

„Fragwürdig“.

Also habe ich mir freiwillig-gezwungen die BNET APP auf dem Handy installiert, was mit meinen Zwängen (Erkrankung, diagnostiziert nicht eingebildet) halt nicht so dufte war. Aber… endlich gab WoW Ruhe, und ich konnte das nutzen.

Fragwürdig finde ich es ja schon mit der zwangsweisen geplanten Obsoleszenz bei den „Schlüsselanhänger Generatoren“. Mag sein, dass sie die Wasserdicht bekommen mochten, aber dann sollte es halt 2 Versionen geben, eine… wo die Batterie getauscht werden kann, denn wegen eine Batterie ist leer ist das ganze Gerät (das sonst technisch einwandfrei ist) dann „Müll“ nun ja was soll ich dazu sagen mhh.

Wie dem auch sei, seit einiger Zeit nerven sie rum mit, dass nun selbst die App nicht mehr okay wäre, und man doch die „neue bessere“ App installieren sollte.

Auch das tat ich, und es war wieder sehr lange und aufhaltend mit meinen Zwängen. Dann gab es auch noch Fehler. Ich solle beim Authenticator drücken, das tat ich, es passierte nichts, und gab nur die Meldung, dass es „abgelaufen“ wäre. In weiteren Versuchen (Mittlerweile ärgere ich mich schon rund 1h mit diesen Apps rum) … hat es … funktioniert?

Jedenfalls ging der Code dann scheinbar, man durfte sich auch einloggen, aber in der „neuen“ App gab es nirgends einen Button „Authenticator verbinden“. Selbst unter dem Punkt „Authenticator“ gab es nirgends einen Punkt „alten Authenticator übernehmen“, sondern nur aktivieren / deaktivieren usw usv.

Ich dachte mir, wird schon passen… und habe die alte App deinstalliert, nur, dass es Heute eine Email gab „Erinnerung - dein Account ist noch nicht umgestellt.“

Ich mag jetzt nicht mehr! Und überlege mir, den Authenticator einfach komplett zu deaktivieren… denn die Alternative, die sie „warnen“ (alles wird zurückgesetzt usw. usv.) will ich mir mit meinen Zwängen nicht antun.

Ist es „sicher“, ohne das Teil oder extrem Risiko? Weil ggf hör ich dann auch ganz auf, da ich DF liebe <3, aber dieses BFA look alike add-on „wo man Zwerge spielen kann“ noch nicht mal vorbestellt habe (das 1.x überhaupt, ich hab sonst seit burning crussade immer alles gekauft brav). RP würd ich halt vermissen…

Gibt es da Relationen zur Password Länge und Hack-Warscheinlichkeit?

Danke, Marluus

Desto länger das Passwort desto geringer die Hackwahrscheinlichkeit.

Am besten Blizzard only Email Adresse.

Der neue Authenticator läuft über die Battlenet App.

Erstmal: es gibt nichts, was nicht gehackt werden kann.
Welche Maßnahmen man trifft, das muss jeder selbst entscheiden.
Wenn man seine Sicherheit erhöhen möchte, ist ein langes Passwort mit Sonderzeichen immer sinnvoll.
Außerdem sollte man seine Programme aktuell halten, nicht nur WOW und addons, und alle Sicherheitspatches zeitnah einspielen.
Dazu ein bisschen gesunder Menschenverstand bei dem, was man so anklickt und möglichst kontrollieren, wen man an seinen PC lässt.
Logins an fremden Computern sind ebenfalls ungünstig.

Das ist alles kein Thema, ich nutze den PC nicht für unseriöse Seiten o.ä. es geht mehr um generelles „gehackt-werden“ aus dem Ausland, das ist nämlich mit dem Origin Teil passiert, und nur mit dem. Es gab eine Meldung, dass Zugriff auf Account aus dem Ausland wäre… diese war auch authentisch, und es gab dann fast Täglich dazu Meldungen. Ich hatte das Passwort geändert, aber es dauerte nicht mal einen Tag, da war es - laut authentischen Emails- schon wieder gehackt worden. Da ich viele sagen wir mal „mir wichtige“ Dinge am PC mache achte ich schon drauf, welche Seiten ich aufrufe, und zum „Surfen“ nehme ich eher das Handy oder Tablet, da es einfach energie Effizienter ist, und viel Stromkosten spart. Es ging mir eher um diese komischen Angriffe aus dem nirgendwo, die sich nicht auf den PC beziehen, sondern ein Programm versucht einfach irgendwelche Passwörter mit emails oder so.

Verstehe ich das richtig?
Auf deinen original physischen authenticator gab es Hackversuche aus dem Ausland?
Wobei es eigentlich egal ist, wo die hacker sitzen.
Wenn du dich unsicher mit dem jetzigen Software-authenticator fühlst, dann nutze ihn nicht, sondern ein möglichst sicheres passwort.
Nach dem was du schreibst, bist du ja vorsichtig.
Aber nochmal: Garantien kann dir niemand geben.
Man kann nur versuchen die Kosten für die Hacker, also z.B. den notwendigen Zeitaufwand, so in die Höhe zu treiben, dass es für sie nicht mehr lukrativ ist.
Ferner solltest du deine Sicherungsmaßnahmen und Backups so einrichten, als ob du noch heute gehackt werden würdest.

Edit:

Meinst du Spammails?
Ganz normal heutzutage.
Nix anklicken, nirgendwo login Daten eingeben und alles ist gut.

Ich frag mich immer wie Leute es schaffen das es solche Probleme gibt. Ich hab mit Kumpels angefangen Ende Classic World of Warcraft zu spielen. Einige haben nie einen Authenticator benutzt und es kam nicht einmal zu versuchen. Es gibt lediglich nur ein einzigen bei dem es mal versucht wurde und der sagte selbst dazu das er mit seinen Battlenet Daten nicht ordentlich umgegangen ist.

Also ist das A und O nicht überall seinen B-net Account zu linken und nicht überall die Email davon zu hinterlegen eigentlich schon die ganze Miete.

Nein ist es nciht, sondern es ist einen Technik die bei allen Token bassierten system genutzt wird. Um deise Manipulation sicher (bzw. sicherere) zu machen müssen sie nach einem Spannugnsverlust immer neu programmiert werden.

Wenn du einen sicherheitstoken von der bank oder deinem arbeitgeber für deinen firmenaccount bekommst ist es genauso → ist die batterie leeer bekommst du einen neuen oder der alte muss neue programmiert werden.

Ich kenne deinen Krankheit nciht aber ich kenne die mUtter eines freundes die auch probleme hatte, daher die frage: Hast du eventuell einfach einen fruend der dir bei einen einmaligen einrichtugn einmal helfen kann? Oft ist es gerade weil man sich damit nciht auskennt oder es einem zuwider ist, nur einen klitzekliene kleinigkeit die man übersieht die dann ein 2. augenpaar sofort erkennt und schon geht es.

Was ich ein wenig fragwürdig finde hier, ist, dass Blizzard uns die 2FA Methode vorschreibt. Wir können denke ich nur ihre App benutzen, aber nicht z.B. Microsoft Authenticator.

Ja, das stört mich auch, ich muss für diverse andere Dinge ein Gerät von Reinert-SCT einsetzen. Diese gibt es in einfachen Varianten als auch mit Ausweisfunktion usw. usw. Und eben von Reinert gibt es auch einen Hardwareauthentikator oder wie in meinem Fall ein Gerät, welches auch das beherrscht.
Aktuell funktionieren bei uns noch alle Schlüsselanhänger. Aber wie lange noch weiss man ja nicht. Allerdings sträube ich mich für alles und jede Kleinigkeit mein Handy benutzen zu müssen. Ich habe das Ding zum Telefonieren und mal ne SMS schreiben gekauft und nicht als Assistent für Gott und die Welt.
Nervig ist, dass man praktisch überall eine App mehr oder weniger aufgezwungen bekommt, wenn man alle Funktionen des Gerätes (z.B. Waschmaschine) einfach nutzen will.

Grüßle

Bel

Das kommt immer auf den Hack an:

Bei einer Brute Force oder Wörterbuchattacke, steigt die Sicherheit mit jeden Zeichen.

EIn Beispiel wo wir nur Kleine Buchstaben verwenden:

4 Stelliges Passwort = 4 hoch 26 wären 450 Tausend mögliche Passwörter
8 Stelliges Passwort = 8 hoch 26 wären 1.152.921.504.606.846.976 mögliche Passwörter

Nutzt du nun Groß/Kleinschreibung bei 8 Stellen wären es:

Es handelt sich um eine sehr große Zahl, die 317 folgt von 50 Nullen.

Und jetzt noch Sonderzeichen und du brauchst dann soviel Rechenpower das es Jahre dauert ein Passwort zu knacken. Wobei hier wir dann auch nicht von Passwörter reden wie
„password“ sondern wie „R#2a8L9x“. Das erste wird natürlich durch eine Wörterbuch Attacke schnell geknackt.

Bei einen Session Hijacking, ist es total egal wie lang dein Passwort ist, weil der Angriff die Session Daten abzieht und so vorgaukelt er wäre du. Aber dafür braucht der Hacker schon zugriff auf deine Geräte.

Zu der APP, ist für mich nur der Weg um noch zusätzlich Nutzerdaten zu ziehen. Den würde man es wirklich sicher machen wollen, wäre der Weg Fido2 Webauthn. Das bei weiten sichere ist als alle APPs zusammen.
Und selbst wir bei unseren kleinen Projekt, haben Fido2 Webauthn umgesetzt und das war in 2 Tage von zwei Entwickler umgesetzt.

Aber da hat man keine Lust drauf, weil man dann keine Nutzerdaten ziehen kann und man den Manager nicht sagen kann: Damit erzielt man soviel Virtuelle Dollars.

Darf ich mal wissen wie alt du bist?

Man braucht doch auch für Online banking etc mittlerweile 2 Phasenauthentification auch mit Handy

Ich versuche auch so wenig auf den Handy zu machen wie es geht, ich sehe das Ding immer als Komplementiert an.

Ich hab noch meinen alten tan generator dafür aber auch nur weil ich zu faul bin das umzustellen. Also nicht zwingend.

Kreditkarte läuft ab und zu über ne Authentifizierung über App und Fingerabdruck

Naja die meisten Banken wollen weg von den Generatoren da wird man sich bald umstellen müssen. Oder man zahlt für die Geräte die Gebühren

Fürs Onlinebanking wird natürlich die 2-Faktorauthentifizierung benötigt, aber nicht zwingend mit dem Smartphone, unsere Banken setzen auf Externe TAN-Generatoren, was, da kein Internetanschluss, auch für Fremde keinen Zugriff erlaubt. Hat ein Hacker Zugriff auf deinen PC und Smartphone bist Du aufgeschmissen.
Ich bin kurz vor der Rente also mit dem ganzen Computerzeugs aufgewachsen (auch gelernt).

Grüßle
Bel

Noch mehr Gebühren?

Ich musste das Gerät kaufen aber extra Gebühren gibts keine.

Aus gegebenem Anlass, da selber in den letzten 2 Wochen 2x passiert: NICHT darauf reinfallen, wenn man von „Blizzard“ im Spiel angeflüstert wird, dass man bspw. „das spielinterne Handelssstem missbraucht“ hätte und man sich auf Seite xxxx bitte verifizieren solle mit den eigenen Zugangsdaten!

Kann man leider nicht oft und deutlich genug sagen, aber GMs von Blizzard würden keine Spieler:innen ingame derart anschreiben und zu sowas auffordern!

Das sind einfache Versuche, an eure Daten zu kommen, und die angegebene Homepage ist nicht mal https.

Also, wenn ihr so eine Nachricht im Spiel bekommt, meldet den Absender direkt, und lasst euch keine Angst machen/euch unter Druck setzen, dass euer Account deaktiviert werden würde oder sonstiges!

Oh ja, hatte ich gerade letzte Woche auch erst wieder…

Wobei man hier natürlich eine Gegenseite braucht die auch mitspielt. Sprich eine die zig Fehlanmeldungen in sehr kurzer Zeit zulässt. Wenn z.B. nach 5 Fehlversuchen eh der Zugang gesperrt wird ist eine brute force Attacke recht sinnlos.