lkwpeter

Eingeloggte Geräte und als vertrauenswürdig zugelassene Geräte der Multifaktor-Authentifizierung

Heute hat mich Marcel mit seinem Hinweis etwas überrascht. Daraufhin hab ich einiges ausprobiert und bin umso mehr überrascht. Um den Alpha 2.6 Thread nicht zu torpedieren, frage ich in einem separaten Thread nach dem Stand und den Hintergründen der aktuellen User Authentication von Star Citizen.

 

Marcel hat (richtig) angemerkt, dass ein einmal eingeloggtes Gerät weiter eingeloggt bleibt selbst wenn ich das Spiel beende. Auch wenn im Grunde in der Alpha nix schlimmes mit dem Account über den Game-Client angestellt werden kann (außer vielleicht sinnlos aUEC ausgeben) bin ich doch negativ überrascht :( 

Gibt es zumindest irgendwann einen Timeout für den aktiven Login des Gerätes?

 

Hab dann noch weiter mit der Two-step authentication gespielt, um diese ggf. als Workaround für einen jedesmal zwingenden Login zu missbrauchen. Dabei wird das Ganze leider noch skurriler. Denn auch eine bewusst zeitlich bzw. auf eine Session begrenzte Two-step authentication bleibt über diesen Zeitraum aktiv. Und selbst wenn ich unter CONNECTED DEVICES in den Sicherheitseinstellungen das Gerät aktiv entferne funktioniert das Gerät weiter ohne erneuten Login :confused:

 

Ist das einfach nur ein Bug - oder soll das gar so in der Alpha bleiben? Irgendwie empfinde ich eine unfertige User Authentication nicht so pralle :mad:

 

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich hoffe ich verstehe das richtig was du geschrieben hast. Die 2FA dient nicht dazu, vor fremden Zugriff auf deinem Gerät zu schützen. Das liegt in deiner eigenen Verantwortung. Die 2FA ist dafür da, wenn zum Beispiel deine Passwörter durch Brute-Force oder Man in the middle geknackt werden. So kann sich keiner mit deinen Daten von einem anderen Gerät aus anmelden. Und deine Sitzung ist wahrscheinlich erst beendet, wenn du Cookies löscht oder Reboot machst.

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also auf dem PC wird nur der Handle gespeichert, kein Password, denn das braucht man nur für den SC Launcher. Das wird dann alles in der "loginData.json" Datei abgelegt. Auf SC kann also nur Jemand zugreifen, der auch Zugang zu dem PC hat. Der PC bleibt aber nach Beenden nicht weiter eingelogt. Man kann die Datei leicht mit einem Editor öffnen und nachschauen, was gespeichert wird.

 

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Geschrieben (bearbeitet)

Danke für den Hinweis auf die Datei (nicht der Handle, sondern der Username wird darin gespeichert. Zusammen mit einem beim Login generierten Token).

Zu dem (vermutlich während des vollwertigen Logins über den Launcher) generierten Token sollte meiner Ansicht nach beim CIG-Dienst zur Benutzererkennung ein Ablaufdatum (für die befristete MFA) hinterlegt werden. Auch sollte das Token beim Entfernen des Gerätes unter CONNECTED DEVICES im CIG-Dienst zur Benutzererkennung gesperrt (oder entfernt) werden.

 

@Marcel Hast du schon ausprobiert, ob das Token (also die Datei) auf einer fremden SC-Installation ebenfalls funktioniert? Im Idealfall kann das Token nur Installations/System-spezifisch genutzt werden. 

 

@Zwiebo Korrekt - es soll die Authentifizierung des Nutzer durch einen dritten nicht öffentlichen - und besonders wechselnden - Faktor stärken (Username, Password, Onetimesecret). Allerdings sollte die Authentifizierung über alle Wege gleichwertig und vollwertig sein. Auch sollte man sich sicher sein können, dass nach Nutzung eines fremden Clients (z.B. Computer eines Freundes) der Account nicht ein weiteres Mal ohne erneuten vollwertigen Login geöffnet werden kann.

 

Weiter ist mir grad noch aufgefallen, dass in der besagten Datei der eigentlich geheime Username unnötigerweise verwendet wird. Vermutlich aus Gründen der Usability um diesen im Launcher anzuzeigen - allerdings zulasten der Sicherheit. Alles leider nicht so 100% :down:

 

bearbeitet von lkwpeter
0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Browserseitig funktioniert aber alles wunderbar.

Wenn ich mich auf RSI einlogge, später wieder auslogge UND den Browser schließe, werde ich bei erneutem Login nach dem Authentifizierungscode gefragt. Vorausgesetzt das entsprechende Cookie wurde beim Schließvorgang gelöscht.

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 8 Stunden schrieb Skkylar:

Browserseitig funktioniert aber alles wunderbar.

Genauso funktioniert auch der Launcher korrekt. Vermutlich besteht einzig das Problem, dass "alte/abgelaufene" Authentifizierungen vom Game-Server noch weiterhin akzeptiert werden. Und nein, das ist nicht normal ;)  

 

Ich denke (hoffe), dass es lediglich das Testen in der Alpha vereinfachen soll, sodass nicht nach jedem Absturz wieder der Login vollzogen werden muss. Und da kein Schaden über den Game-Client am Account entstehen kann (anders wie im Webshop) ist es auch noch ok so.

 

vor 8 Stunden schrieb Skkylar:

Vorausgesetzt das entsprechende Cookie wurde beim Schließvorgang gelöscht.

Auch der Logout funktioniert tadellos bei mir (unabhängig vom Löschen der Cookies). 

 

btw: Hab jetzt solange rum gespielt, dass ich feststellen durfte, dass es noch weitere Bruteforce-Sicherungen gibt :pinch:

 

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

30 Minuten ban? Ich würde erstmal so zufrieden sein. Ist die erste alpha wo ich 2Fa erlebe. Außer bei Blizzard, aber da ist der launcher ja nicht Alpha, wenn man da testet

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 32 Minuten schrieb Zwiebo:

30 Minuten ban? 

Sowas noch nicht. Hab jetzt Google-Captcha beim Login. Im Grunde gut zu wissen, dass die ihr Business im Griff haben.

 

vor 34 Minuten schrieb Zwiebo:

Ich würde erstmal so zufrieden sein. Ist die erste alpha wo ich 2Fa erlebe. 

Unterschreibe ich zu 100% ! Die zügige MFA mit Unterstützung des Google Authenticator war einer der Momente, wo für mich bestätigt wurde, dass CIG nicht nur die üblichen Zeit-Gegen-Geld-Tauscher im Office sitzen hat. Siehe das Drama über Jahre hinweg bei Paypal um die zig unausgereiften MFA Lösungen.

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 19 Minuten schrieb lkwpeter:

Sowas noch nicht. Hab jetzt Google-Captcha beim Login. Im Grunde gut zu wissen, dass die ihr Business im Griff haben.

 

Unterschreibe ich zu 100% ! Die zügige MFA mit Unterstützung des Google Authenticator war einer der Momente, wo für mich bestätigt wurde, dass CIG nicht nur die üblichen Zeit-Gegen-Geld-Tauscher im Office sitzen hat. Siehe das Drama über Jahre hinweg bei Paypal um die zig unausgereiften MFA Lösungen.

Ich hab zwar nur so ne Art prepaid PayPal über meine prepaid Kreditkarte und da nicht viel mitbekommen, aber ich halte das für die unsicherste Bezahlmethode. In den richtigen Foren kann man tausende geklaute Accounts kaufen. Die scheinen das echt nicht auf die Kette zu kriegen.

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gast
Du kommentierst als Gast. Wenn du bereits einen Account hast kannst du dich hier anmelden.
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoticons maximum are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor