ArenaNet über Account-Sicherheit
Schon in den vergangen Wochen äußerte sich ArenaNet mehrmals bezüglich des Themas Account-Sicherheit. Nun wurde ein neuer Artikel im Supportbereich ihrer Seite veröffentlicht in dem sie noch einmal genau auf Methoden von Account Dieben eingehen und euch nützliche Tipps geben wie ihr euch am besten gegen unbefugte Zugriffe schützen könnt.
Passwörter:
Die ersten, entscheidenden Schritte zu einem sicheren Account
Aufgrund schwacher Passwörter wurden in der Vergangenheit viele Accounts gestohlen. Heutzutage stehlen die meisten Hacker Accountinformationen durch mit anderen Spielen oder Webseiten verbundene Sicherheitslücken oder durch schadhafte Software, wie Key-Logger oder Trojaner.
Ein einzelnes, kompliziertes Passwort auszusuchen, sich dieses zu merken und dann überall zu benutzen, ist nach heutigen Sicherheitsstandards genau die falsche Vorgehensweise. Um eure Accounts zu schützen, müsst ihr für jeden Account ein eigenes Passwort verwenden.
Wir haben gesehen, wie Hacker zehntausende verschiedener IP-Adressen verwendet haben, um durch Millionen möglicher Accountnamen- und Passwort-Kombinationen zu scannen. Sie haben nach möglichen Treffern gesucht, doch praktisch keine der Kombinationen existierte in unserer Datenbank. Sie raten nicht und es handelt sich auch nicht um einen Brute-Force-Angriff auf die Passwörter. Sie probieren es mit einem sehr spezifischen Accountnamen und Passwort für jeden Versuch. Nehmen wir beispielsweise den Accountnamen „joe.benutzer@beispiel.com“ mit dem Passwort „alligator101%“. Wenn sie nicht sofort einen Treffer haben, dann versuchen sie es mit anderen Varianten des Passworts, wie „alligator100%“ oder „alligator102%“. Dann gehen sie schnell weiter zum nächsten Eintrag in ihrer Liste.
Kurzer Tipp: Nutzt für jeden Online-Account ein anderes, einzigartiges und starkes Passwort.E-Mail-Authenticator
Der E-Mail-Authenticator wurde erfunden, um euren Account zu schützen, auch wenn ein Hacker euren Accountnamen und euer Passwort herausfindet. Der E-Mail-Authenticator bittet euch darum, eure E-Mail zu verifizieren, wenn ihr euch zum ersten Mal in das Spiel einloggt. Danach wird euch immer eine E-Mail zugeschickt, in der ihr einen Login-Versuch von einem anderen Standort als von eurem PC aus zulassen oder verweigern könnt. Das schützt euch natürlich nur, wenn euer Spiel-Account und euer E-Mail-Account unterschiedliche Passwörter haben. Sollten sie dasselbe Passwort haben, dann kann der Hacker sich einfach in euren E-Mail-Account einloggen und seinem eigenen Zugriff zustimmen.
Solltet ihr jemals eine unerwartete E-Mail in eurem Postfach sehen, in der ihr gebeten werdet, den Zugriff auf euren Spiel-Account von einem anderen Ort als eurem derzeitigen Aufenthaltsort zu erlauben, und ihr auch selbst nicht gerade versucht, euch in das Spiel einzuloggen, dann bedeutet dies: Ein Hacker kennt bereits euren Accountnamen und euer Passwort! Das Einzige, was den Hacker daran hindern kann, sich in euren Spiel-Account einzuloggen, ist der E-Mail-Authenticator. Solltet ihr eine dieser E-Mails erhalten, dann ändert bitte umgehend euer Passwort.
Jedoch werden trotz des E-Mail-Authenticators immer noch die Accounts von Spielern gehackt. Das sind die Gründe dafür:
Zunächst verifiziert eine große Anzahl von Spielern ihre E-Mail-Adresse gar nicht für den E-Mail-Authenticator. Bitte beachtet, dass wir den E-Mail-Authenticator nicht für Spieler mit nicht verifizierten E-Mail-Adressen anbieten können. Somit erhalten die Spieler ohne verifizierte E-Mail-Adresse auch nicht den zusätzlichen Schutz dieses Systems. Also verifiziert bitte umgehend eure E-Mail-Adressen.
In vielen – wenn nicht sogar den meisten – Fällen haben die Hacker auch Zugriff auf den E-Mail-Account des Spielers. Dies bedeutet, dass sie auf die E-Mail zur Authentifizierung zugreifen und ihrem eigenen Login zustimmen können. Das kommt sehr häufig vor, wenn die Spieler dasselbe Passwort sowohl für ihren E-Mail-Account als auch für ihren Spiel-Account benutzen.Kurze Tipps:
Nutzt den E-Mail-Authenticator.
Verifiziert eure E-Mail-Adresse, um den E-Mail-Authenticator zu aktivieren.
Verwendet unterschiedliche, einzigartige Passwörter für euren E-Mail-Account und euren Spiel-Account.
Solltet ihr den Verdacht haben, dass euer E-Mail-Account vielleicht kompromittiert wurde, dann kontaktiert den Support von einer anderen, sicheren E-Mail-Adresse aus. Schickt ihm erst dann Details zu eurem Account in einem Ticket zu.
Solltet ihr vermuten, dass euer Computer vielleicht gehackt wurde, dann ladet euch ein Antivirus-Programm herunter, installiert es und scannt euren PC auf Viren und andere schädliche Software. Kontaktiert erst danach den Support oder kontaktiert uns von einem anderen, sicheren PC aus.Zwei-Faktor-Authentifizierung (Mobile Authenticator)
Neben dem E-Mail-Authenticator könnt ihr euren Account noch weiter schützen, indem ihr euch mit einer Zwei-Faktor-Authentifizierung für euren Spiel-Account absichert. Durch dieses System wird das Einloggen von einem unbekannten Standort aus praktisch unmöglich. Dieses System bittet euch, euren Zugang durch einen Code zu bestätigen, der euch auf euer Mobiltelefon geschickt wird. Erst danach könnt ihr euch einloggen.
Sollte euer E-Mail-Anbieter eine Zwei-Faktor-Authentifizierung anbieten, solltet ihr dieses System vielleicht auch für euren E-Mail-Account verwenden.
Ihr könnt die Zwei-Faktor-Authentifizierung für Guild Wars 2 auf der offiziellen Webseite unter Mein Account > Sicherheit aktivieren.
Kurzer Tipp: Holt euch zusätzlichen Schutz mit der Zwei-Faktor-Authentifizierung.Schwarze Liste für Passwörter
Zum Schutz unserer Spieler führen wir eine schwarze Liste für Passwörter. Auf dieser Liste stehen Passwörter, die Hacker bereits für Guild Wars 2 benutzen wollten. Durch unsere schwarze Liste können Spieler keines dieser Passwörter auswählen. Die Liste der „bekannten Passwörter“ übersteigt bereits 20 Millionen! (Bitte beachtet, dass unsere schwarze Liste nur Passwörter und keine Accountnamen führt.) Dieses System hat die erfolgreichen Angriffe auf neu erstellte Accounts von durchschnittlich 1,5 % auf etwa 0,1 % reduziert.
Um diesen Schutz auf existierende Accounts auszuweiten, wird es unser System nicht erlauben, dass ihr euer Passwort in ein bereits von euch verwendetes oder ein Passwort ändert, das Hacker bereits in unserem System ausprobiert haben. Dadurch könnt ihr euch sicher sein, dass euer Passwort für Guild Wars 2 einzigartig ist. Vergesst jedoch nicht, dass euer Passwort nur dann einzigartig bleibt, wenn ihr es nirgendwo anders verwendet.
Kurzer Tipp: Verwendet euer neues, sicheres Passwort in Zukunft nicht für andere Accounts. Einzigartig und sicher – so sollte ein Passwort sein.Sicherheit der Datenbank
Manchmal glauben Spieler, dass ihre Accounts aufgrund von Sicherheitslücken seitens der Datenbank von Guild Wars oder ArenaNet gehackt wurden. Wir haben sehr strenge Sicherheitsvorkehrungen, um zu verhindern, dass Hacker auf unsere Nutzerdatenbank zugreifen können. Darüber hinaus kontrolliert ein Team das System ununterbrochen auf Zeichen von Hackeraktivitäten. Wir sind uns sehr sicher, dass es bisher keine Sicherheitsverletzung dieser Art gab und sind bestrebt, dies auch beizubehalten.
Sollte es einen Zwischenfall dieser Art geben, würden wir euch sofort darüber informieren und unverzüglich Schritte einleiten, damit dies nicht zu einer Vielzahl gehackter Accounts führt. Der beste Schutz für eure Accounts und euch selbst sind einzigartige Passwörter. Damit schützt ihr euch nicht nur heute vor Hackerangriffen, sondern auch vor illegalen Zugriffen, die vielleicht durch Sicherheitslücken bei Unternehmen entstehen, mit denen ihr häufig zutun habt.
Kurzer Tipp: GW2 Accounts können durch individuelle Sicherheitslücken kompromittiert werden. Daher helfen persönliche Sicherheitsmaßnahmen wie einzigartige Passwörter und eine Authentifizierung dabei, solche Zwischenfälle zu verhindern.Gehackte E-Mail-Accounts
Wie oben bereits erwähnt wurde, ist uns aufgefallen, dass bei fast jedem gehackten Spiel-Account auch der dazugehörige E-Mail-Account davon betroffen ist. Oft verschleiern die Hacker ihre Aktivitäten, sodass der tatsächliche Account-Besitzer gar nicht bemerkt, dass sein E-Mail-Account gehackt wurde.
Der Hacker fängt vielleicht die E-Mail zur Authentifizierung ab und bestätigt seinen eigenen Zugriff, um auf den Account des Spielers zuzugreifen. Der Hacker löscht möglicherweise die E-Mails und bewahrt den Seriennummerncode in der Hoffnung auf, dass er sich als Besitzer des Accounts ausgeben kann.
Kurze Tipps:
Sorgt dafür, dass euer E-Mail-Account sicher ist.
Solltet ihr daran Zweifel haben, dann kontaktiert unser Support Team über einen anderen E-Mail-Account.
Nachdem unser Team euch als Besitzer des Accounts verifiziert hat, helfen wir euch gerne dabei, einen neuen und sicheren Accountnamen (E-Mail-Adresse) zu finden.
Bewahrt euren Seriennummerncode nicht in eurem E-Mail-Postfach auf. Schreibt ihn lieber auf und hebt ihn an einem sicheren Ort auf.Beste Vorgehensweise
Auswahl eines Passworts: Wählt ein einzigartiges Passwort für jeden Account. Benutzt keine verschiedenen Varianten eines Passworts. Jedes sollte ganz individuell sein. Benutzt niemals dasselbe Passwort für euren Spiel-Account und euren E-Mail-Account.
Phishing: Falls eine E-Mail euch zu einer Seite weiterleitet, auf der ihr euer Passwort eingeben sollt, dann gebt auf keinen Fall euer Passwort ein. Es könnte eine gefälschte Seite sein. Geht auf die echte Seite für die Accountverwaltung, indem ihr „account.guildwars2.com“ eingebt. Oder nutzt ein Lesezeichen. Dieser Thread enthält einige Beispiele von Phishing-Versuchen auf Englisch.
Social Engineering: Sollte jemand behaupten, ein Mitarbeiter von ArenaNet oder NCSOFT zu sein, und euch nach eurem Passwort fragen, dann gebt ihm nicht euer Passwort. Unser Support braucht euer Passwort nicht und unsere Mitarbeiter werden euch niemals nach eurem Passwort fragen.
Trojaner und Spyware: Öffnet keine Dateien oder E-Mail-Anhänge von Quellen, denen ihr nicht 100 % vertraut. Ladet auch keine Software von solchen zweifelhaften Quellen runter. Schadhafte Software kann Keylogger auf eurem System installieren. Diese merken sich eure Passwörter und leiten sie weiter.
E-Mail-Sicherheit: Nehmt die Sicherheit eurer E-Mail-Adresse genauso ernst wie die Sicherheit eures Guild Wars 2 Accounts. Nutzt auch dort ein starkes, einzigartiges Passwort, das ihr niemals irgendwo anders benutzt habt oder benutzen werdet.Weitere Informationen
Weitere Informationen zur Account-Sicherheit und interessante Einblicke in die Ursachen von gehackten Accounts findet ihr auf Mike O’Briens Blogeintrag über Account-Sicherheit.
Ein paar Beispiele von Phishing-E-Mails auf Englisch findet ihr in diesem Forenbeitrag.
Für weitere Informationen zum E-Mail-Authenticator lest bitte diesen Artikel.
Weitere Details zum System der Zwei-Faktor-Authentifizierung findet ihr in diesem Artikel.