Steam: Zweifaktor-Authentifizierung für mehr Sicherheit: "Steam Guard Mobile Authenticator"

[4P|BOT2]

Valve Software hat den Betatest der App "Steam Guard Mobile Authenticator" beendet und das Programm zur Zweifaktor-Authentifizierung für den Steam-Account für iOS und Android veröffentlicht - ähnliche Sicherheitssysteme verwenden ebenfalls Blizzard, Trion Worlds oder NCSOFT. Mit besagter App lässt sich der Steam-Account zusätzlich schützen (FAQ-Bereich). Hierzu muss die App mit dem Steam-Account v...

Hier geht es zur News Steam: Zweifaktor-Authentifizierung für mehr Sicherheit: "Steam Guard Mobile Authenticator"

[CritsJumper]

Mit Sicherheit hat das ja eher weniger zu tun, wenn man zwei Systeme die beide als Unsicher gelten und in den selben Netzwerken angemeldet sind mit Anwendungen versieht die einer "Zweifaktor Authentifizierung" dienen sollen.

Damals bei den Telefonen die eine SMS erhalten haben und kein WLAN nutzten kann ich das ja noch nachvollziehen. In der heutigen Nutzungsform finde ich das besonders Albern. Warum nicht einfach vereinbaren das man zur "Entsperrung" einen bestimmten Betrag auf ein Konto überweist, der vorher definiert wurde? Oder es einfach mal mit richtiger Kryptografie versuchen und einem speziellen E-Mail Account oder Post-Ident Verfahren?

Natürlich wäre das nicht so bequem zu nutzen. So ist es aber sehr schnell erreicht, das wenn man erst mal auf den Rechner oder das Netzwerk vorgedrungen ist sehr schnell auch das Telefon unter Kontrolle hat.

Als nächstes kommt wohl der Selfie-Ansatz, zusammen mit einem Ausgedruckten QR-Code.... ich fasse es einfach nicht.

[dx1]

►https://de.wikipedia.org/wiki/Authentif ... g#Methoden
Bisher: Wissen (Passwort)
Mit der Auth-App: Wissen (Passwort) und Besitz (mit dem Account verbundenes Smartphone)

Unsicherer wird es dadurch bestimmt nicht. Oder was wolltest Du sagen, ChrisJumper?

Ich werde aber bei der bisherigen Email-Methode beim Steam Guard bleiben. Verschafft sich ein Angreifer Zugriff auf meinen PC zu hause oder besser noch auf das mit Steam verbundene Email-Konto, kann er den Account vorübergehend übernehmen — bis ich mit dem Support anhand von Kreditkarte, Paypal und Retailkeys geklärt habe, dass ich der Kontoinhaber bin. Allerdings hätte ich in so einem Fall erstmal Wichtigeres zu tun, als mich um meine Nutzungslizenzen für PC-Spiel zu kümmern.

[CritsJumper]

Unsicherer wird es dadurch bestimmt nicht. Oder was wolltest Du sagen, ChrisJumper?

Doch doch. Man verlässt sich darauf. Ein Passwort ist ja auch nicht gleich Passwort. Klebt es am Monitor, ist es wo notiert, ist es Kryptografisch notiert, ist es Kryptografisch und Verschlüsselt notiert wo man noch einen Key benötigt um das Passwort lesbar zu machen.. und so weiter.

Ganz zu schweigen davon wie das Programm umgeht, wie die "verschlüsselte Verbindung" aufgebaut wird und ob diese Anfällig für Angriffe sind.

Heutzutage sollte ja eigentlich jeder wissen was ein sicheres Passwort ausmacht und vor allem der sichere Umgang mit Accounts. Kommen wir jetzt aber zum Smartphone.

Das Ding wird immer wichtiger und ein immer interessanteres Angriffsziel als ein Desktop, vor allem weil es halt oft als Key-Generator genutzt wird, zur Zahlung, aber auch immer mehr zur Authentifizierung. Generell habe ich halt ein Problem damit wenn man "immer mehr Systeme vernetzt". Hast du von der Whats-App Konto-Übername gehört wenn man nur kurz das Smartphone des anderen nutzt um eine SMS zu empfangen?

Was passiert wohl wenn jemand die App mit einem anderen Handy-Nutzt und du selber keines besitzt oder dachtest diese Form nicht zu nutzen?

Das Problem ist meiner Meinung nach das die Nutzer sich einer vorgetäuschten Sicherheit hingeben. Eine App kann jetzt sicherer sein als eine SMS zu verschicken. Wenn beide Systeme, oder der (WLAN)Router kompromittiert ist stehen die Karten wirklich schlecht. Würde man hingegen Smartphones nicht so exzessive vernetzten, von beiden Systemen die selben Anwendungen nutzen, die gleichen Konten ziemlich fraglich hinterlegt haben. Dann wäre es schwieriger jemanden anzugreifen.

Stolpert jemand jetzt auf dein Smartphone ohne Steam-Authenticator, muss er erst mal analysieren welche Steam-Foren du liest oder welche E-Mail-Adresse du für Steam nutzt. Das Smartphone hat aber noch einen gewaltigen Nachteil, es verbindet in der Regel sehr stark deinen echten Namen mit allen Online-Accounts die du führst.

Weniger Apps, eine bewusstere Nutzung des Smartphones wären für die Sicherheit vieeel dienlicher als eine Authenticator App, die nicht anderes ist als "Passwort eingeben" und "an den anderem System im Netzwerk Y machen.".

[monotony]

hm, also mein account wird jetzt schon per e-mail doppelt verifiziert. das heißt, sobald man sich von einer anderen IP aus mit meinem passwort einloggen will, muss erstmal ein per mail versandter code eingegeben werden. mit der app wäre also sogar eine dreifaktor-authentifizierung möglich.

[monotony]

[...]

du verstehst, glaube ich, nicht ganz, wie die authentifizierung per app funktioniert. app und konto werden über eine seriennummer/ID auf den selben algorithmus eingestellt, der in kurzer zeitabfolge laufend neue verifizerungscodes generiert. ist der jeweilige code zum korrekten zeitpunkt identisch, wird der login über das passwort erlaubt. die app benötigt keinerlei datenverbindung, weder ins internet noch ins mobilfunknetz. ganz ähnlich zu den tan-geräten beim online-banking. du kannst, wenn du übervorsichtig sein willst, auch einen android/iOS basierten mp3-player oder ein altes smartphone ohne sim-karte benutzen.

findet jemand dein handy, kann er ohne benutzername und passwort nichts damit anfangen. bei der battle.net app muss zusätzlich zur erstmaligen aktivierung deine e-mail-adresse verifiziert werden. auch jemand, der über benutzername und passwort verfügt, kann die app auf einem anderen handy nicht ohne zugriff auf dein e-mail konto einrichten. benutzername und passwort sind zu keinem zeitpunkt in der app gespeichert.

Das Problem ist meiner Meinung nach das die Nutzer sich einer vorgetäuschten Sicherheit hingeben. Eine App kann jetzt sicherer sein als eine SMS zu verschicken.

da eine sms eine unverschlüsselte datenverbindung aufbaut und sich nicht mit dem empfangenden endgerät abgleicht, ist sie tatsächlich unsicher(er).

[Flachpfeife]

is das so wie beim battle.net? find ich ganz sinnvoll, da benutz ich das seit jahren seit mir da mal der account gehackt wurde und mich jemand waehrend ich im urlaub war inb die bronze liga katapultiert hat...

war wohl sauer dass es auf meinem account nix zu holen gab a la items in WoW

[adventureFAN]

Gibts dann auch bald solche Authenticator-Schlüsselanhänger wie bei Blizzard? =D

[johndoe1260640]

Gerade aktiviert. Es wird automatisch gleich ein Restore-Code erstellt und angezeigt den man sich aufschreiben muss und der auch nur 1x angezeigt wird. An sich ne super Sache. Mit zunehmender Anzahl von Games würde ich meinen Account nur ungerne unfreiwillig abgeben.

[die-wc-ente]

Mit dem Passwort wird der Account nie gehackt...

https://www.youtube.com/watch?v=a6iW-8xPw3k
Spaceballs, ein Klassiker

[Dr. Fritte]

Man hätte es eleganter lösen können als bei jedem Start erst einmal das Handy zücken zu müssen...

Microsoft kriegt es doch auch hin, dass ihre Accounts sicher sind und fragt dabei nur in vom System erkannten "auffälligen Zugriffen" nach dem Code einer SMS, sodass man nicht grundsätzlich vom System genervt wird.

Und bevor jetzt wieder die typischen "Näää. Wurde auch schon gehackt"-Leute ankommen: Leute, die in das System eingebrochen sind, haben dies entweder geschafft, weil Nutzer das gleiche Passwort bei 2.000.000 Diensten im Internet und auf jeder Fishing-Seite benutzt haben oder durch irgendeine Lücke im EA-Service (oder warum wundert sich kaum einer, dass es fast nur Leute trifft, die exzessiv FIFA-UT spielen?)...

[CritsJumper]

du kannst, wenn du übervorsichtig sein willst, auch einen android/iOS basierten mp3-player oder ein altes smartphone ohne sim-karte benutzen.

Tony vielen Dank, das klingt zumindest besser.

Aber wie ich jetzt eben heraus gefunden habe gibt es den von dir beschriebenen Offline-Authenticator nicht. Die Steam-App welche dazu genutzt wird, beinhaltet viele bequeme Funktionen, vom Shop über Account-Verwaltung über Chat, und der Authenticator ist da mit drin.

Er braucht auch nur zugriffe auf:

Fotos/Medien/Dateien
- USB-Speicherinhalte ändern oder löschen
- USB-Speicherinhalte lesen
WLAN-Verbindungsinformationen
- WLAN-Verbindunen abrufen
Geräte-ID & Anrufinformationen
- Telefonstatus und Identität abrufen
Sonstige
-Daten aus dem Internet abrufen
-Zugriff auf alle Netzwerke
-Ruhezustand deaktivieren
-Netzwerkverbindungen abrufen
-Vibrationsalarm steuern

Lustigerweise steht dann auch der selbe Satz da den ich bei Steam halt auch immer hasse, der mit dem Joker-Zeichen: Bei Updates von Steam können in jeder Gruppe automatisch zusätzliche Funktionen hinzugefügt werden.

Zugegeben, wenn man den eigentlichen Authenticator auch offline Nutzen kann ist es ein Sicherheitsgewinn. Ist das Mobiltelefon aber Online und ebenfalls mit einem Trojaner infiziert, was stört es den Angreifer dann den Code einfach auf dem Mobiltelefon zu generieren und diesen dann zu versenden. Es ist halt kein "physischer Zugriff" nötig wenn das Online ist.

Es ist halt wie mit allen Dingen, wenn die eigenen Systeme unter der Kontrolle von jemand anderen ist. Fühlt man sich nicht nur bestohlen, sonder es wird auch richtig kompliziert zu Beweisen das man selber nicht der Angreifer ist.

[PickleRick]

@ChrisJumper: Das ist doch alles theoretisches Geplänkel und in der Praxis sorgt der Authenticator für weniger gehackte Accounts. Wenn Du natürlich auf dem Schirm der NSA oder sonstiger fähiger Organisationen bist, dann ist das Makulatur, aber für den Normalmenschen erhöhen diese Mechanismen die Sicherheit.

Es gibt z. B. auch keinen Grund mehr, sich Passwörter nicht aufzuschreiben. Diese Regel, man solle das nicht tun, stammt noch aus den Zeiten der Terminalrechner und ist heute nicht mehr zeitgemäß.
Wem schadet es, wenn ich meine Passwörter in einem Ordner Zuhause liegen habe? Wie hoch ist die Wahrscheinlichkeit des physischen Diebstahls durch russische Hacker? Wie hoch ist die Wahrscheinlichkeit, dass ein Steam-Hacker sich zeitgleich in meinen Rechner, mein WLAN und mein Telefon hackt? Da lohnt sich der Aufwand nicht mehr für den Hacker, selbst wenn es theoretisch noch möglich sein sollte.

Die praktische Relevanz Deiner ganzen Kritik geht für mich gegen Null.

[Yui-chan]

Geil: Meine Mietspiele auch endlich noch mit dem Handy verdongled.
Tägliche Erinnerung, dass Valve euch die Seelen aussaugt.