Sonstiges 2 Faktor Authentifizierung

[AtronOm2]

Hey,

Da mir mein Account sehr wichtig ist hab ich ein Vorschlag um die Accountsicherheit zu erhöhen.
2 faktor authentifizierung wird mitlerweile bei fast jedem Größeren Game oder Plattform benutzt dies würde ich mir auch für mein Inno Account wünschen.
Z.b. über eine SMS die man zugeschickt bekommt, außerdem sollte man sich sein Netzwerk dann Merken können um nicht bei jedem Login eine SMS bekommen zu müssen.
Wenn nun wer fremdes sich in denn Account einloggen will geschieht dies ja über ein anderes Netzwerk und der Account ist sicher.
Es sollte nur die Option dazu geben dies einzurichten, Spieler die dies nicht wünschen sollten nicht dazu gezwungen werden und es so lassen können wie es bis jetzt ist (Passwort+Email).

Würde mich über Feedback freuen

Gruß Atro

 

[Sompec]

QR Code? SMS? Gesichtserkennung? Fingerabdruck?

Das sind alles recht private Dinge. Ich traue Inno ehrlich gesagt nicht zu, diese Sachen sauber und sicher aufzubewahren. Dafür hat Inno in den letzen 5 Jahren bei zuviel Dingen faktisch versagt und Fehler gemacht oder zu spät korrigiert.

Was ist denn wenn jemand die DB bei Inno hackt?

Also an meinem PC geht davon derzeit genau nichts.

Dito.

Nicht falsch verstehen. Ich finde die Idee grundsätzlich richtig und gut. Sie muss halt auch nur gut umgesetzt und dauerhaft sicher sein.

 

[Imp.]

Wir machen hier doch keine Bankgeschäfte. Es ist nur ein lustiges kleines Spiel. Wenn man ein Passwort nimmt was nicht jeder sofort erraten kann finde ich das eine ausreichend sichere Sache.

Ich fand da für mehr Sicherheit eher solche Vorschläge sinnvoller: https://forum.de.forgeofempires.com/index.php?threads/sicherheit-erhöhen.24736/

 

[AtronOm2]

An alle nochmal die dem ganzen skeptisch gegenüber stehen, wie gesagt meine idee wars nie das als zwang einzuführen, sprich alle die das doof finden oder es nicht möchen lassen alles beim alten
Gibt wie gesagt verschiedene Systeme (Email, SMS, QR Code, .....)
Z.b. Email sollte ja jeder der das will hinbekommen oder? ich mein man hat sich ja auch angemeldet im Spiel da brauchte man auch eine E-Mail, es geht ja dann auch nur darum das beim ersten mal zubenutzen(z.B. ein Code eingeben denn man per Mail bekommen hat) wennn man sich in einem neuen netzwerk anmeldet. Danach ist das Netzwerk dann ja gemerkt und man muss sich nicht mehr darum kümmern.
Bezüglich "ein lustiges kleines Spiel" was .Imperator schrieb, ja das stimmt schon aber nur weils kein Bankgeschäft ist soll man sein Account nicht schützen dürfen? Wie gesagt können nicht müssen. Also wie gesagt ich kenn das aus spielen die ich vorher gespielt hab eigentlich als Standart das es da die mglichkeit der 2-Faktor-Authendifizierung gibt und das sind auch nur kleine lustige Spiele, scheinbar besteht in der Gamingbranche ja schon der Bedarf daran, wenn das nicht so wäre sollte man denn ganzen anderen Firmen mal sagen das sie das geld zum Fenster rauswerfen ;D

Gruß Atro

 

[mlcp]

Wenn es kein Zwang ist wird es die Mehrheit nicht nutzen und dann bringt es nicht viel. Außerdem hält sich der Sicherheitsgewinn in Grenzen wenn es nicht bei jedem Login gemacht wird. Ein Fremder der versucht sich unerlaubt einzuloggen könnte sich ja im gleichen Netzwerk befinden wenn er den gleichen Provider hat.

 

[Admiral Gilad Pellaeon]

Wenn es kein Zwang ist wird es die Mehrheit nicht nutzen und dann bringt es nicht viel. Außerdem hält sich der Sicherheitsgewinn in Grenzen wenn es nicht bei jedem Login gemacht wird. Ein Fremder der versucht sich unerlaubt einzuloggen könnte sich ja im gleichen Netzwerk befinden wenn er den gleichen Provider hat.

Das erste ist eine Mutmaßung, die ich sehr bezweifle. Bei den meisten Stellen wo es die Möglichkeit gibt ist es keine Pflicht und wird trotzdem sehr stark genutzt.

Das 2. Ist falsch, denn bei diesen Verfahren wird erkannt auf welchem Gerät man ist und wenn man sich auf einem neuen Gerät anmeldet muss man sich neu Authentifizieren. Im gleichen Netzwerk zu sein nützt gar nichts

 

[mlcp]

So wurde es aber vorgeschlagen:

außerdem sollte man sich sein Netzwerk dann Merken können um nicht bei jedem Login eine SMS bekommen zu müssen.
Wenn nun wer fremdes sich in denn Account einloggen will geschieht dies ja über ein anderes Netzwerk und der Account ist sicher.

 

[AtronOm2]

@mlcp2
Hey tut mir leid das war dann mein Fehler mit Netzwerk meinte ich natürlich Gerät, bin selber kein IT-ler.
Hermaeus hat natürlich recht, ändert trozdem nichts an meiner arkumentation von oben
Wie gesagt wenn man sich das erstemal in ein Gerät einloggt müsste man einmalig die Authendifikation durchführen mit zb dem Code aus der Email

Mit freundlichen Grüßen

 

[Jocator]

Das 2. Ist falsch, denn bei diesen Verfahren wird erkannt auf welchem Gerät man ist und wenn man sich auf einem neuen Gerät anmeldet muss man sich neu Authentifizieren. Im gleichen Netzwerk zu sein nützt gar nichts

Und genau da wird es problematisch, denn entsprechende Daten werden laut der Datenschutzerklärung, die Teil der AGB sind, bisher weder erhoben noch gespeichert (wenn man mal von Google IDs bzw GameCenter IDs ab sieht). Eine IP-Adresse ist in den meisten Fällen nicht eindeutig mit einem Gerät verknüpft und kann daher nicht zur Identifizierung herangezogen werden.

 

[Volarn]

Moin Leute,

der Witz an der 2FA Authentifizierung ist ja, das bei Inno keine zusätzlichen Daten gespeichert werden müssen. Die Infos ob es ein neues Gerät ist liegt eben lokal auf deinem PC. E-Mail ist eh vorhanden und beim QR Code für Authenticator Apps wird dann alle 30 Sek. ein neuer Code errechnet um sich anmelden zu können. Noch besser wäre nur noch sich komplett von Passwörtern zu verabschieden wie z.B. bei FIDO2. Da wird aber ein Hardware-Token (spezieller USB Stick) benötigt.

Wenn dann jemand mein Benutzernamen und mein Passwort hat dann hilft Ihm das nix, weil nach dem 2ten Faktor gefragt wird.

Und ja, dies ist nur ein Spiel, ich bin aber nun 4 Jahre dabei und habe auch ein paar Euronen investiert. Das alles zu verlieren wäre schon extrem unschön und das doppelt wenn es nur deswegen passiert weil irgendein Idiot Spaß an sowas findet.

Ob es dann viele nutzen werden oder nicht wird man erst wissen wenn es die Möglichkeit gibt, alles andere ist Spekulation. Ich für meinen Teil nutze die 2FA wo es geht überall. Das sind mir meine Daten wert.

Und wer meint das er seine Daten nicht weitergegeben hat und daher sicher kann ja mal seine E-Mail Adresse bei haveibeenpwned.com prüfen lassen. Da werden Daten aus Sicherheitsvorkommnissen bei diversen Firmen / Shops.... gespeichert.

 

[Imp.]

der Witz an der 2FA Authentifizierung ist ja, das bei Inno keine zusätzlichen Daten gespeichert werden müssen. Die Infos ob es ein neues Gerät ist liegt eben lokal auf deinem PC.

Wie soll das funktionieren? Geht am PC eigentlich nur per Cookie. Da speichert ein Angreifer einfach die Information das es kein neues Gerät ist. Wenn Inno nichts speichert lässt sich das kaum prüfen.

 

[Admiral Gilad Pellaeon]

Wie soll das funktionieren? Geht am PC eigentlich nur per Cookie. Da speichert ein Angreifer einfach die Information das es kein neues Gerät ist. Wenn Inno nichts speichert lässt sich das kaum prüfen.

Ja es läuft üblicherweise über cookies und nein ein Angreifer kann das nicht einfach übernehmen. Diese cookies sind üblicherweise verschlüsselt und halten session keys mit denen dann authentifiziert werden kann dass man auf dem Gerät bereits angemeldet war. Dass mal eben als Angreifer zu kopieren und missbrauchen ist natürlich nicht unmöglich (absolute Sicherheit hat man nie) aber schon nahe dran.

Man kann auch bei vielen anderen Accounts wo es über die cookies läuft das gut beobachten. Wer ständig seine cookies alle löscht, wird immer die Authentifizierung neu machen müssen bzw wird bei entsprechender Funktion jedes mal eine Mail bekommen von wegen dass sich mit einem neuen Gerät angemeldet wurde, da die Geräte information eben nicht gespeichert wird.

 

[Imp.]

Das sind aber ganz normale Session Cookies. Ohne was auf dem Server zu speichern funktioniert das nicht.

 

[GiIdo]

Ich finde der ganze Aufwand lohnt für so ein einfaches Spiel wo es um nichts geht nicht so wirklich. Wär natürlich nett zu haben. Aber es gibt so viele wichtigere Dinge die noch nicht umgesetzt wurden. Und wenn man ein einigermaßen sicheres Passwort hat braucht man sowas gar nicht.

 

[Capo.]

Hier im Forum ist eine 2-Faktor-Verifizierung bereits möglich- warum dann also nicht auch im Spiel?

 

[AtronOm2]

@King Kong Capo
Oh das wusste ich nichtmal bin ja grade neu im Forum, umso schlimmer das es das nicht im Game gibt, wenn es eigentlich bei Inno schon alles dafür gibt
Dann bitte schleunigst auch fürs Spiel anbieten ;D

Gruß Atro

 

[DeletedUser]

Manche Leute stecken sehr viel Geld in das Spiel und wenn sie ihren Account extra schützen wollen - warum nicht? Optionales Feature wie hier im Forum und gut ist.

Ich finde die Idee grundsätzlich richtig und gut. Sie muss halt auch nur gut umgesetzt und dauerhaft sicher sein.

Details zur Umsetzung werden sicherlich den Experten überlassen und müssen hier gar nicht weiter diskutiert werden.

Oh das wusste ich nichtmal bin ja grade neu im Forum, umso schlimmer das es das nicht im Game gibt, wenn es eigentlich bei Inno schon alles dafür gibt
Dann bitte schleunigst auch fürs Spiel anbieten ;D

Das Forum ist eine externe Software.

 

[Admiral Gilad Pellaeon]

Das Forum ist eine externe Software.

Wie man auch ganz unten auf der Forumswebseite sehen kann:

Forum software by XenForo®

 

[Capo.]

und welche Relevanz hat das jetzt? Nur weil es externe Hersteller das hinbekommen, kann es Inno doch auch schaffen

 

[Admiral Gilad Pellaeon]

und welche Relevanz hat das jetzt? Nur weil es externe Hersteller das hinbekommen, kann es Inno doch auch schaffen

Ging nur darum dass dein Post suggeriert hat, dass inno das für das forum schon entwickelt hat, für das Spiel aber nicht, was ja so nicht korrekt ist. Natürlich kann inno das auch schaffen und ich hoffe sie machen es auch, aber das forum wird halt nicht von inno entwickelt, womit es als Referenz eher ungeeignet ist. Bzw genauso geeignet wie Spiele anderer Anbieter wo eine 2 faktor Authentifizierung schon möglich ist.

 

[Imp.]

und welche Relevanz hat das jetzt? Nur weil es externe Hersteller das hinbekommen, kann es Inno doch auch schaffen

Natürlich kann Inno das. Aber Inno müsste das auch wollen. Da man mit sowas kein Geld verdienen kann wird das Interesse nicht besonders hoch sein.