WARNUNG vor SC Schiffsklau!

[Gast]

Wieso? Es lasssen und ließen sich beliebig lange Passwörter vergeben. Wer Malware auf dem Rechner hat sollte sich mal eher Gedanken über sein Sicherheitskonzept machen.

 

Am besten wäre es wohl wenn man noch ein Notebook/Netbook mit Linux nutzt, auf dem man dann das EMail Konto für die 2 Faktor Anmeldung abfragt.

Aber für 60€ treibe ich nicht so einen Aufwand.

Bearbeitet 15. September 2016 von DunkleMaterie

[Chase Hunter]

Ich schmeiß mich wech!!!

Browserverlauf löschen und dann die Authentifizierung via Handy nehmen? Am Besten noch nen Ganzes Jahr einstellen bei der "Merken" Option. Ja, nee, is klar, sehr sicher das Ganze!!!!

Will man diese 2fach Authentifizierung nutzen und auf der sicheren Seite sein, nimmt man eine SICHERE E-Mail Adresse. Bei "Merken" stellt man nur einen Tag ein und dann wählt man sowohl für den Zugang zur Mail als auch für den ersten Schritt der Authentifizierung ein SICHERES Passwort. Das ist dann immer noch nicht 100% Sicher aber man erschwert es den bösen Buben doch erheblich.

Wer das mit dem Handy macht, tja, wie sag ich es nett? Hmm....na der braucht sich nicht wundern, wenns nix nützt. Handybetriebssysteme haben erhebliche Sicherheitslücken. Alle! Bei Handys ist es übrigens genau anders herum. Dort ist Windows wegen seiner geringen Verbreitung am sichersten....naja sicher kann man das nich nennen. Weniger Anfällig. Für Android und auch das Apple Bertriebssystem gibt es mittlerweile jede Menge Trojaner und anderen Malware. Für Windows Phone gibts da etwas weniger. Trotzdem is Handynutzung bei sensiblem Daten schlicht mit einem hohen Risiko behaftet. Wer das nicht sieht oder sehen will, ist nicht richtig informiert oder ignorant.

100% Sicherheit ist eine Illusion. Das, was man machen kann, ist schlicht den bösen Buben das Leben so schwer wie möglich zu machen.

Keine Webmailer nutzen

keine gmx und web.de etc Adressen nutzen bei sensiblen Daten

Den eigenen Computer entsprechend heutiger Standards absichern

Sichere Passwörter wählen. Alphanumerisch mit Sonderzeichen und mindestens 16 Stellig.

Niemals das Handy zu Authentifizierung Zwecken nutzen.

Keine Namen oder Geburtsdaten im Passwort verwenden

Hirn einschalten!!!

Gruß

Chase

[NForcer_SMC]

Da ich auf dem Handy nicht irgend nen Scheiß lade, und mich nicht auf dubiosen Seiten herum treibe, ist das mit dem Handy für mich schon am sichersten.

Meine Meinung dazu. Auch irgendwelche SMS oder Whatsapp Nachrichten, die ich nicht kennen, werden direkt gelöscht (hatte so etwas auch noch nicht mal).

Auch habe ich keine Bluetooth Geschichten an und was es da nicht noch alles gibt.

Klar, sichere Mail, sicheres Passwort, Security Programme usw. auf dem PC sind was feines, aber selbst die sind nicht sicherer als andere Dinge, letztendlich.
Hatte zwar noch nie was, aber man weiß ja nie. Besser wäre natürlich ein physikalischer Token (wie der von Star Wars The old republic), denn den kann wohl

keiner dann hacken..

[sehrverdächtig]

chase, bei allem verständnis und sachlichen richtigkeit deiner aussage. wie du schon sagst nichts ist sicher.

 punkt 1, aufgabe des bürgers ist es immer, straftaten zu erschweren. jede zusätzliche absicherung kann einen dieb abschrecken. hier ist zeit geld. je länger der täter braucht um abzufischen um so eher lässt er von seiner beute ab. somit ist auch ein handy identifikator ein weiteres abgeschlossenes tor.

wer dich auf dem radar hat, weiß dass du rsi spender bist, dein handy infiziert, deinen pc infiziert... der weiß auch deine steuer und sozialversicherungsnummer und was dein lieblingspornogenre ist. und deine anderen emailkonten.

punkt 2, der ehrliche käufer ist sowieso geschützt. alle items haben einen id code und der support wäre in der lage den verbleib einer sache aufzuklären. das funktioniert auch, wenn schiffe ein/umgeschmolzen werden.

wer schiffe aus nicht autorisierten quellen kauft trägt das risiko.

Bearbeitet 15. September 2016 von sehrverdächtig

[NForcer_SMC]

Und ich setze mir das Auth Verfahren auf "Session", nicht jährlich oder so.. Bedeutet zwar mehrmalige Eingaben, aber sicher ist sicher

 

Gruß

NF

[Massive Ghost]

vor 4 Stunden schrieb insaene:

Hey ich habs zuerst gepostet, ich will die Reputation!

Also eigentlich hat Bluedrake42 es vor 4 Tagen zuerst auf Youtube gepostet, da er als einer der ersten ein Opfer der Russenhacker wurde. Ich kann seinen Rant auch nachvollziehen, denke aber, dass der Support von CIG solche Aktionen leicht rückgängig machen kann und wird, sollte man mal davon betroffen sein.

[STARMEDIC]

Da zitiere ich doch mal einen Kommentar unter seinem Video dazu:

Zitat

They have two-factor authentication as an option. He didn't use it, and someone guessed his password. Forgive me while I play the world's smallest violin.

 

[Massive Ghost]

Ja, leider gibt es immer noch zu viele Leute, die sich im Internet verhalten wie am FKK Strand, nämlich mit runtergelassener Hose und der Naivität eines 8-jährigen Kindes. Ich wünschte, es würde beim Kauf eines PCs eine Art "Ich bin ein Noob, holt mich hier raus" Crashkurs geben, damit Themen wie Passworterstellung und "Klicke ich auf den ZIP-Anhang einer Mail in meinem Spamordner?" endlich auch im letzten Userbrain haften bleiben.

[Chase Hunter]

vor 2 Stunden schrieb sehrverdächtig:

. somit ist auch ein handy identifikator ein weiteres abgeschlossenes tor.

mit steckendem Schlüssel, um bei der Bildsprache zu bleiben.

Mir is durchaus klar, dass die Menschen es bequem haben wollen. Nur Sicherheit ist nicht bequem. Mobiltelefone sind nicht sicher. Es ist viel zu einfach deren Daten abzufangen und dann zu verifizieren. Da muss man nicht mal Hacken können. Die dafür erforderliche Elektronik kann man in jedem halbwegs gut sortierten Elektronik Geschäft kaufen.

@Nforcer Man muss sich keinen "Mist" aufs Handy laden um gefährdet zu sein. Die Nutzung reicht vollkommen aus. Allein das nutzen öffentlicher Hotspots birgt etliches Gefährdungspotenzial. Wlan, selbst verschlüsselt, ist alles nur nix Sicheres. Weist du von jeder App auf deinem Telefon was sie im Hintergrund tut? Welche Sicherheitslücken sie aufweist? Ich würde behaupten Nöö! Sonst würdeste kein Handy zum Authentifizieren nutzen. Denn wirklich schwerer machste es damit den bösen Buben nicht.

Gruß

Chase

 

[Darthface]

Dumme Frage, aber das mit dem Email verfahren... wenn er sich in den Account reinhackt, hat er doch die Email auch?

[Chase Hunter]

Nimmst selbstverständlich eine Andere als die, die du bei Accounterstellung genommen hast und bitte keinen Webmailer

[Darthface]

Habs gerade gesehen. Keine Webmailer? Ich denke die meisten haben eine Webmail. Ich bin bei einem lokalen Provider, die bieten sowas, soweit ich weiß sicher nicht umsonst an. Und ICloud traue ich auch nicht... ist die ICloud Mail eigendlich nicht auch eine "Webmail"? Keine Ahnung, habe mich noch nie damit beschäftigt.

Bearbeitet 15. September 2016 von Darthface

[Panther]

Sagma @Chase Hunter.. ist dein Hut aus Alu!?

Klar sollte man sich Gedanken machen wegen der Sicherheit, aber übertreiben kann man es auch.

Was hast du eigentlich gegen die Webmailer wie GMX?

 

Persönlich nutze ich keePass für meine Passwörter (neben dem Master PW ist eine Schlüsseldatei erforderlich) und verwende für JEDE Webseite ein anderes , langes und kryptisches PW.

Bei SC nutze ich ein PW, dass ich nach X mal eingeben im Kopf habe und die neue App von CIG. Auf dem Handy nutze ich so gut wie keine Apps und surfe auch nicht auf jeder dubiosen Seite rum (außer dem HQ vielleicht )

 

Wie bereits geschrieben wurde, hat er keine 2 Faktor Authentifizierung aktiviert und ein leichtes PW verwendet, welches erraten wurde. Wer "PW1234" "54321" "Password1" usw. verwendet ist selber schuld.

Was mich allerdings aufregt sind die vielen Seiten, die nicht einmal gegen Bruteforce gesichert sind. Warum kann man x tausende male sein PW falsch eingeben ohne wenigstens für eine Weile bis zur nächsten Eingabe gesperrt zu werden!?

 

100%ige Sicherheit gibt es nicht und klar kann man sich etwas einfangen, dass z.B. die Tastatureingaben mitliest, aber wer nicht ALLES blind anklickt, sein System auf dem aktuellen Stand hat, einen Virenscanner nutzt und auch mal die Hauptabwehrwaffe genannt "Hirn" einschaltet, sollte recht sicher vor den meisten Dingen sein.

 

Selbst schwere Sicherheitslücken können meist nicht über das Internet ausgenutzt werden, meist ist etwas mehr erforderlich oder gar direkter Zugang zum PC. Ein Trojaner muss der Anwender in der Regel selber ausführen/installieren (Stichwort Rechnung.exe, Rechnung.docx ). Wer sowas macht oder irgendwelche Hyperlinks anklickt aus irgendwelchen Mails....

 

PS: An einen "SC Account PW sniffer" Trojaner glaube ich nicht wirklich

[Darthface]

Für mich ist irgendwie alles Webmailer, was als Email im Browser stattfindet^^.

[Chase Hunter]

Ich hab überhaupt nix gegen gmx und Konsorten, solang damit keine Authentifizierung betrieben wird  Wobei man da auch differenzieren muss und bestimmte Anbieter auch loben kann ob ihrer Sicherheitskonzeption. Deshalb traue ich ihnen immer noch nicht. Besser als mit dem Handy isses awwa allemal.

Und Webmailer sind ne Seuche, die auf keinen Fall Sicherheit bieten.

Prinzipiell bevorzuge ich meinen Eigenen Mailserver. Da weiß ich wie sicher der is oder was ich einstellen muss damit er einigermaßen Sicher ist. Das ist selbstverständlich kaum für Jeden praktikabel.

Was aber Jeder gewiss machen kann, ist sich eine Mail von seinem Provider einrichten zu lassen, die er dann mit Einschlägigen Programmen abruft, ich nutze dafür Thunderbird, andere nutzen Outlook. Diese sollte dann auch nur für Authentifizierungen genutzt werden. Nun wisst ihr warum ich 20 verschiedenen Mailadressen mein Eigen nenne.

Auch hier gilt: 100% Sicherheit ist eine Illusion.

Das mir dem Aluhut wird immer mehr zum Schlagwort, wenn es um tatsächliche Sicherheit im Netzt geht. Sobald man den Leuten versucht klar zu machen, dass Sicherheit nicht bequem ist, trägt man nen Aluhut. Ich habe längst aufgegeben mich zu erklären und hab hier nur mal die gröbsten Schnitzer beseitigen wollen. Aber offensichtlich ist es nicht gewollt. Also machts brav mit dem Handy, mailt PIN unverschlüsselt hin und her klickt auf sämtliche Anhänge und wundert euch dann wenns in die Hose geht. Leute die sich mit Internet Sicherheit auskennen sind ja alles Verrückte Alluhut tragende Spinner, die keine Ahnung haben.

Am Schlimmsten sind die Leute die meinen mit "Hirn" könnte man heutzutage irgendetwas verhindern. Unser "Hirn" ist doch schon entsprechend manipuliert, siehe Aluhut!!

PW Sniffer , Trojaner? Glaubst du nicht , Panther liebe Hauskatze? Bei den Werten um die es da teilweise geht?

Tja, es hat auch niemand geglaubt es gäbe eine Möglichkeit Handys abzuhören. Wir alle wissen wie sehr der sich getäuscht hat.

Gruß

Chase

 

 

[Panther]

Nö Chase, glaube ich nicht. Der Aufwand lohnt einfach mal nicht. Das Risiko ist zusätzlich noch höher, da ein Account nicht sofort Geld bringt. Wie viele Accounts gibt es, wie viele dieser Spieler sind aktiv, wie viele würden auf einen Trojaner, nachgebaute Seite usw reinfallen und wie viele davon haben dann noch richtig große Summen "gespendet"? Die Ausbeute bzw der Erfolg ist das Risiko nicht wert. Vielleicht mag es sowas geben, aber die Chance auch nur auf den Versuch zu stoßen ist gering.

 

[Triton]

Irgendwie lese ich aus der News nichts was neu ist oder was für einen "Angriff" auf die Accounts von Star Citizen spricht. Für mich ist das nur ein Hinweis darauf das man seine Accounts, welche auch immer, so gut wie möglich sichert.

[Gast]

Eine Zwei-Faktor-Authentifizierung ist schonmal ein Weg in die richtige Richtung.

Der Google Authenticator den man auch für SC nutzen kann, hält sich erstmal an den Standard RFC 6238 der Internet Engineering Task Force (IETF).

Aber, wie alles im Leben hat auch diese Medaille, zwei Seiten.

Der Google Authenticator, oder auch vergleichbare Programme, sind unter gewissen Umständen, nicht uneingeschränkt vor Kompromittierung geschützt.

Sehr gut, für alle die es interessiert, hier zu lesen.

 

Wie schon hier öffter in diesem Beitrag geschrieben, 100% Sicherheit ist schwierig oder unmöglich. 

Aber wie am Anfang geschrieben, ist eine 2FA auch auf dem Handy, meiner Meinung nach, kein schlechter Ansatz die Accountsicherheit zu erhöhen.

Bearbeitet 15. September 2016 von Gast
Wechstaben verbuchselt

[Skkylar]

Wie ist das denn mit dem Handy?

 

Funktioniert das wie bei Steam oder muss man dafür mit dem Handy zur Authentication immer online sein?

 

Ich habe auf meinem Smarty keine weiteren Apps außer die, die seit Anbeginn dabei waren und sich auch nicht löschen ließen. Habe dort nur die Steam App draufgezogen. Datenroaming usw. ist abgestellt.

 

 

Zum Banking nutzt man ja auch einen TanGenerator, alles andere ist einfach unsicher.

Die Dinger kosten auch nicht viel 10-12 €uro. Von ReinerSCT oder Kobil zum Beispiel.

 

 

Wer noch ein altes Smartphone hat, kann auch dieses zur Authentication nehmen. Denke damit sollte das mit einem Smarty auch relativ Safe sein.

 

Edit:

Und emails mit eigener Domain bekommt man auch 20 stück für 5 €/Jahr. wem das zuviel ist, aber 2000 € für Vituelle Schiffe ausgibt, dem ist einfach nicht zu helfen...

Bearbeitet 15. September 2016 von Skkylar

[ulyssesOne]

Hola, hier wird ja ganz schön auf die Ka... ... Ziemlich Schwerwiegend diskutiert.

Jeder tut was er kann, manche was Sie wollen ... Letzteres ist häufig problematisch.

CIG bietet nun seit Monaten ein etwas sicheres Konzept, ich benutze es schon einige Monate. Nur die Sache mit den Browserverlauf war mir nicht klar, da es ja für gewöhnlich diese temporären Dateien sind die Probleme mit sich bringen können. Aber gut, dann eben jedes Mal mit Authentifizieren.

Sicherheit vor Internetverbrechen? Gibt es nicht. Wie auch, wenn selbst staatliche Stellen, meine Privatsphäre und Internetsicherheit kompromittieren dürfen. Aber immerhin, kann ich BackUps beim verschiedenen Geheimdiensten anfordern. ?

Gesendet von meinem ONE A2003 mit Tapatalk

[Panther]

vor 2 Stunden schrieb ulyssesOne:

Hola, hier wird ja ganz schön auf die Ka... ... Ziemlich Schwerwiegend diskutiert.

 

 

Jup, wird Zeit für 2.6

 

Man kann zu solchen Themen eigentlich nur einige Punkte beachten.

1. Keine Panik schieben

2. Sich informieren wie es zu diesem Sicherheitsproblem gekommen ist.

3. Sich fragen ob es einen selber ebenfalls treffen kann-> Lücke schließen

4. Sich sowieso immer wieder fragen, ob man mit einfachen Mitteln alles noch etwas sicherer gestalten könnte.

 

Komfort und Sicherheit gehen eigentlich in zwei unterschiedliche Richtungen und bevor der Spagat weh tut, sollte man einen Kompromiss eingehen. Im Zweifel würde ich dann allerdings mehr Richtung Sicherheit tendieren. Z.B. Passwörter im Browser speichern ist zwar sehr bequem, aber dafür auch ziemlich unsicher. Ist der Aufwand für einen neuen Login wirklich so groß, dass man unbedingt das PW speichern muss?

 

100%ige Sicherheit gibt es nicht, in KEINEM System. Man muss es dem Angreifer auch nicht unmöglich machen, sondern nur so schwer dass ihm der Aufwand zu groß wird.

Jedes Fahrradschloss lässt sich z.B. knacken, jedoch verschaffen die besseren Schlösser einem mehr Zeit und je länger der Dieb für das Schloss braucht, desto wahrscheinlicher ist es dabei erwischt zu werden > Risiko wird ihm zu groß. Ähnlich ist es auch in der IT.

Gezielte Attacken sind sehr selten, dafür sind wir "Normalos" einfach nicht wichtig genug, aus diesem Grund wird auch an ALLE ein Trojaner (s. Locky) gesendet.

Wenn von den X Millionen auch nur ein paar hundert sich das Ding einfangen und davon wieder einige zahlen, dann hat sich das Ding für den Angreifer gelohnt.

Die sich diesen Tojaner eingefangen haben, haben die einfachsten 3 Regeln nicht beachtet.

1. Öffne NIEMALS einen Anhang aus einer E-Mail, schon gar nicht wenn man den Absender nicht kennt

2. Auch wenn die E-Mail echt wirkt, NIEMALS einem Link in dieser E-Mail folgen.

3. Halte dein System immer aktuell

Bei Punkt 2 sind wir wieder beim Spagat.

Einfache Lösung: anklicken, etwas umständliche aber sichere Lösung: Browser öffnen und Webseite selber eingeben. So umgeht man auch irgendwelche Phishing Versuche.

 

Ich habe schon sehr sehr gute Mails bekommen, mit der Aufforderung mein Konto zu überprüfen weil verdächtige Aktivitäten beobachtet wurden.

Absender war gefälscht und es sah aus, als würde der von Paypal kommen. Ich wurde mit Vor- und Nachnamen direkt angesprochen, allerdings führte der Link nicht direkt zu Paypal, sondern zu einer nachgebauten Seite.

https://www.paypal.com/de/

 

 

 

 

 

 

 

 

Bearbeitet 16. September 2016 von Panther

[jaeger90]

vor 17 Stunden schrieb DunkleMaterie:

Am besten wäre es wohl wenn man noch ein Notebook/Netbook mit Linux nutzt

 

Da reicht auch ein USB Stick mit Linux Live, kann man simpel hiermit erstellen.

[Nartuhl Antrov]

 

Da reicht auch ein USB Stick mit Linux Live, kann man simpel hiermit erstellen.

Ich trau mich jetzt garnicht den Link zu drücken ... :/

[jaeger90]

LinuxLive USB Creator

[sehrverdächtig]

vor 24 Minuten schrieb Panther:

 

1. Öffne NIEMALS einen Anhang aus einer E-Mail, schon gar nicht wenn man den Absender nicht kennt

 

musste lachen. allein beruflich öffne ich im schnitt 30 mailanhänge pro tag^^