Das letzte Mal das ich Ingame Kontakt mit einem GM hatte war zu WoD Zeiten.
Da liegt auch ein Problem würden die öfters mal wieder online schreiben wüsste jeder neue Spieler auch wie das aussieht. Man kann den Spaß auch ins Tutorial packen
Das kann ich mit einen Bot-Netzwerk umgehen, den ein Hacker will ja nicht deinen Account. Daher kann man dann doch schon recht viele Versuche machen. Aber für so was nutzt man dann eher Wörterbuch Angriffe.
Brute-Force Angriffe macht man dann doch eher auf Datenbank-Dumps, von daher gebe ich dir vollumfänglich recht 
Aber das war ja nicht die Frage des TEs
Das kannst du nicht umgehen da sowas natürlich auf „Serverseite“ geprüft wird. Dort werden die Fehlversuche festgehalten. Bei 5 (im Beispiel, so war das bei uns in SAP immer eingestellt) ist Schluss.
Die Passwortlänge spielt daher imho nur eine Rolle wenn der Server nicht vernünftig gecustomized ist.
Eben. Die macht man eben dann wenn man irgendwie erreicht hat das man unendlich viele Versuche raushauen kann.
Aber… in den allermeisten Fällen haben die das Passwort halt schon vorher. Meist war es halt doch ein Trojaner, eine Mail bei der man unachtsam war,…
Naja Man hat doch auch die Option das man sich das Gerät merken kann.
Den Generator kaufste 1x für irgendwas um die 20-30€ und dann war es das.
Dafür kommt man auch nicht dazu Überweisungen zu machen selbst wenn man das PW zum Konto hat Keine TAN vom Generator = keine Überweisung. Das war mir dann die paar € schon wert.
Keine Gebühren im Sinne von monatliche Kosten.
LG
Pink Fluffy Flauschkugel 
Doch weil du nicht 500x einen Account testet.
Bot Netzwerk, da prüfst du Passwort 1 mit Account A und Bot X, danach Passwort 2 mit Account B und Bot Y usw. Mit genug Zeit bekommst du dann den einen oder anderen Zugang.
Dazu musst du die Accountnamen aber erstmal alle kennen. Ohne die hast du keinen Ansatzpunkt. Und dann müssen es schon SEHR viele accounts sein. Denn auch bei 1000 Accounts sind 5000 Versuche rein gar nichts.
Das bleiben also sehr spezielle Fälle in denen man so vorgehen kann. Und dann müssen offen gesagt die counter measures noch ziemlich mies sein (ok… gibt es oft nicht… ev. habe ich da zu spezielle Kunden… ) denn sonst fallen diese zig Fehlversuche schon da auf.
Die haben genug Datenbanken dafür da wette ich mit dir.
Im Falle WoW auch nicht so einfach wenn man ein paar Sicherheitsansätze beachtet. Meine Emailaddresse z.B. müssten sie schon von Blizzard direkt haben.
Zwei Wege Authentifizierung ist grundsätzlich sicherer und das schönste und längste Passwort nützt nichts, wenn es - wie häufig der Fall - aus öffentlich einsehbaren Daten zu der Person geschlussfolgert werden kann. Auch Brute Force ist inzwischen KI-gestützt.
Der gängige Weg ist aber nach wie vor entweder das Abgreifen der Authentifizierungs-Daten von der Quelle, sei es nun über den Betreiber oder über Keylogger, Phishing („wenn du sich über diesen Link auf deinen WoW-Account einloggst, bekommst du einen Sack voll Gold!“) oder generelle Nachlässigkeit auf Bedienerseite.
Nein muss er nicht zwingend von Blizzard diese E-Mail Adresse haben. Kann ja viele Quellen habe, z.B. Facbook wo jemand seine E-Mail Adresse öffentlich ist und der WoW Sachen auf den Abo hat.
Wette darüber bekommst du schon genug zusammen
Nun, das war aber nicht das was ich geschrieben habe…
Meine MÜSSTEN sie von Blizzard haben, ich setze diese nur dort ein. Daher kann man die auch unmöglich woanders her haben.
Ansonsten sollte Blizzard gross genug sein Software gegen solche Angriffe im Einsatz zu haben. Denn solche massenhaften Fehlanmeldungen fallen dann eben auf.
Und wenn man dann noch den Authenticator einsetzt…
3 Likes
Du gehst auch Sorgsam mit deinen Daten um, aber den Hacker ist total egal ob der deinen Account hat oder einen anderen X Beliebigen Account. Und mit einen Klugen Botnetzwerk ist der Angriff schwer zu erkennen.
Wir setzen nicht aus Lust und Laune auf den Second Factor ein und Blizzard gibt dir nicht um sonst die Benefits wenn du einen zweiten Faktor einsetzt.
Hacking ist und bleibt halt immer ein Problem, ohne Second Factor.
Also ich habe insgesamt 10 Email Accounts.
Je Eine für Online shops, Dienstliche Sachen, Gaming, Wow, Android, Newsletter, Shopping, Social Media
So wie wollen die jetzt Rückschlüsse ziehen? Vorallem wenn zb meine Email zb null mit Wow zu tun hat.
1 Like
Ähm nein. Denn es gibt während einer solchen Aktion eine massive Anzahl von Fehlanmeldungen. Die fallen in den Logs einfach auf wenn man die im Auge hat.
Ansonsten braucht man den zweiten Faktor natürlich trotzdem. Meistens steckt doch ein direkter Angriff über Mails o.ä. dem ganzen zugrunde. Das Passwort wird halt nicht gehackt sondern vom Anwender „weitergegeben“. Aber selbst in dem Fall hilft halt der Authenticator.
Ohne zweiten Faktor zu arbeiten ist schon sträflich.
1 Like
Ja aber wenn die von 100.000 Verschiedene IP Adressen kommen, wird es halt schwer dagegen vorzugehen. Es sei den du sperrst die halbe Welt aus. Und wir reden hier nicht von einfachen Script das vom Server X gesartet wird und auf den Server wild hämmert.
Sondern ein Command&Controll Servermit auf der Welt verteilten Endgeräten die diese Arbeit für einen übernehmen. Da sprechen wir sehr oft über 100.000 IP Adressen und da kann ich schon einiges mit Anfangen, was in den Log dann nicht meh so einfach zu unterscheiden sind.
Es gibt eine ganze Industrie um WoW Hacking, der eine Sammelt WoW Zugangsdaten und verkauft diese, der andere Kauft diese Farmt Gold usw. Die gibt es nicht weil Blizzard da so erfolgreich in der Bekämpfung ist
Blizzard tut bestimmt viel, um dagegen vor zu gehen, das stelle ich gar nicht in Frage. Aber i-wann ist halt auch mal das mögliche getan und es hilft nur der Second Factor um weiter zu kommen.
Ich finde es halt Schade das man nicht den Login nur auf einen PC beschränken kann wenn der dann mal kaputt geht nutzt man halt Auti und Telefon Verifikation
Es ist einfacher an gestohlene Kreditkarten zu kommen um neue Accounts zu erstellen und damit Gold zu botten als an die Email plus Zugangsdaten
Sicherlich ist es das, aber das ist eine Kosten-Nutzen Frage. Holt man wirklich soviel da raus, wie man für einen Datensatz zahlen muss. Aber da bin ich überfragt, keine Ahnung wie da die Schwarzmarkt lage ist.
Den wir ja… da sind wir ja einig… eh allen empfehlen. Ansonsten kommen DDoS Attacken auch von zig verschiedenen IPs und man kann sie eben mit der richtigen Technik sehr wohl abwehren. Da gibt es schon Möglichkeiten. Aber wer sicher gehen will nimmt halt einfach den Authenticator und schon laufen diese Attacken eben komplett ins Leere.