Accountsicherheit
Verfasst: Sa 24. Apr 2010, 15:25
Kann mir wirklich mein Account gehackt werden?
Da immer wieder Leute behaupten, ihnen wurde der Account gehackt, oder sie könnten deinen Account hacken, soll hier für ein wenig Aufschluss gesorgt werden. So soll gezeigt werden, welche Chancen ein Hacker hat, ohne dass man selbst irgendetwas dazu tut. Darüber hinaus werden reale Gefahren genannt und Schutzmaßnahmen dagegen.
Die These
1. Es grenzt an Unmöglichkeit, ohne mehr oder weniger aktives Zutun seinen Account an einen Hacker zu verlieren.
2. Solches Zutun ist üblicherweise intuitiv und mit gesundem Menschenverstand erkennbar und verhinderbar.
Was muss ein Hacker tun, um meinen Account zu hacken?
Stellen wir uns einen Möchtegern-Hacker vor. Der sieht in einem Forum oder trifft ingame einen anderen Spieler, der offensichtlich recht reich ist, Gildenführer mit voller GH ist, oder ihm in PvP übelst eins übergebraten hat. Er möchte also dessen Account haben, oder Ihm eins auswischen.
Alle Bemühungen unseres potentiellen Hackers laufen nun darauf hinaus, den Accountnamen und das dazugehörige Passwort der Zielperson herauszufinden. Bei GuildWars ist schon dadurch die Sicherheit erhöht, dass der Accountname anderer Spieler nicht ersichtlich ist, im Gegensatz zu anderen (älteren) Spielen, wie z.B. Diablo 2.
Im folgenden wollen wir immer davon ausgehen, dass man selbst niemandem die Accountdaten gegeben hat und keinerlei Keylogger etc. auf dem Rechner hat. Zu letzterem später.
Ein ganz naiver Ansatz:
Auf der Basis dieser Ausgangssituation hat der Hacker quasi gar keine Anhaltspunkte. Nehmen wir der Einfachheit halber kurz an, er hätte (auf welche Art auch immer) den Accountnamen herausgefunden. Dann bräuchte er „nur noch“ das Passwort. Das könnte er ja dann per „Brute-Force“ versuchen herauszufinden. „Brute-Force“ bedeutet, dass er einfach manuell oder algorithmisch alle möglichen Passwörter ausprobiert. Ein durchschnittliches Passwort besteht aus 6-8 Buchstaben und/oder Ziffern. Man hat also (26+10)^8 Kombinationsmöglichkeiten für das Passwort (für die Kombinatoriker unter uns: 8 aus 36 mit Wdh.). Das ergibt eine Zahl mit 13 Stellen, genauer: ca. 2,82 Billionen oder anders geschrieben 2.820.000.000.000 Möglichkeiten. Uff, das sind viele Stellen, oder? Spinnen wir das Ganze noch ein Stück weiter und nehmen für jeden Versuch aus diesen 2,82 Billionen eine durchschnittliche Zeit von 2 Sekunden an. Das ist unrealistisch wenig, selbst für eine algorithmische Durchführung, da man ja immer die Reaktion des Servers abwarten muss. Außerdem kommt unser Hacker ungewöhnlich früh zum Ziel, nämlich schon nach 10% der Gesamtanzahl der Möglichkeiten. Er braucht also 2,82 Billionen * 2 Sekunden / 10 = 5,64 * 10^11 Sekunden. Das sind immerhin noch 17.891 Jahre und 4 Monate. Nun sollte jeder einsehen, dass unserem Hacker bei der Wahl dieser Methode definitiv eher langweilig wird, als er selbst zum Ziel kommt. „Brute-Force“ scheidet also aus. Es sprechen noch weitere Dinge dagegen, z.B. eine begrenzte Anzahl fehlgeschlagener Login-Versuche pro User. Es ist nicht sicher, dass es solch einen Mechanismus gibt, aber eher unwahrscheinlich das ArenaNet so ein Scheunentor für Hacker offen ließe.
Weiterhin hat der Hacker die Alternative, die Spieleserver zu hacken und aus der dortigen Datenbank die mit Sicherheit verschlüsselten Accountdaten herauszufischen. Aber er hat ja nicht einmal den Accountnamen. Woher auch, gesagt haben wir ihm den ja nicht. Darüber hinaus haben die findigen Leute von ArenaNet sicherlich jede erdenkliche Maßnahme getroffen, das unerlaubte Herumstöbern auf ihren Servern zu verhindern, selbst der Spielclient wird dazu maximal beschränkte Befugnisse haben. Diese Art von Fremdzugriff ist zwar theoretisch möglich, aber inzwischen längst nicht mehr so einfach wie Laien sich das vorstellen.
Fassen wir soweit zusammen: Ohne dass er den Accountnamen und das Passwort eines Accounts besitzt, hat ein Pseudo-Hacker schlechte Chancen.
So dumm sind manche Hacker nun leider doch nicht, oder kennen mittlerweile von anderen Hackern, oder im übertragenen Sinn von Drückerkolonnen, Heizdeckenverkäufern, oder Wundermittelherstellern perfiedere Methoden um an die begehrten Daten zu kommen.
Denn er kommt auf die Idee, dass es ja vielleicht doch leichter ist, der Zielperson die begehrten Informationen zu entlocken. Aber wie? In seinem Kopf schwirren zusammenhaltlos Worte wie „Keylogger“, „Cheat Programme“, „Item Duper“ umher. Kommen wir also nun zu den realen Gefahren.
Welche realen Gefahren bestehen für meinen Account?
Nun kommt der eigentlich interessantere Teil, denn hier geht es nicht mehr weiter, ohne dass die Zielperson durch unüberlegtes Handeln, Arglosigkeit oder einfach durch Dummheit oder Habgier seine Accountdaten verrät.
Eine der simpelsten Versionen eines derartigen Betrugsversuches besteht darin, auf einer schnell zusammengeklickten Internetseite geschenkte Items oder Geld zu versprechen. Da man aber selten online ist, soll der gierige Spieler doch Accountname und Passwort hinterlegen, damit man für ihn so bequem wie möglich die Items direkt auf den Account legen kann. Beim nächsten Login stellt dann der überraschte Spieler fest, dass keineswegs eingezahlt, sondern abgehoben wurde. Das Prinzip beruht aber offensichtlich wahlweise auf extremer Naivität oder Dummheit des angeblich Begünstigten. Weil kaum jemand darauf hereinfällt (hoffentlich)
eine andere Betrugsmasche:
Der Hacker stellt eine Website in’s Netz, auf der er einen Cheat oder Hack anbietet. Natürlich keinen echten. Denn sobald das Programm heruntergeladen und gestartet wurde, passiert das unfassbare: Der Cheat geht nicht, da er eigendlich ein Trojaner ist und einen Keylogger eingeschleust hat.Das runterlöschen des "cheat" bringt nichts, das Programm hat sich im Hintergrund installiert und läuft fortan im Hintergrund, loggt die gedrückten Tasten und sendet sie an unseren Hacker. Der sieht sich nun einer ungeheuren Datenflut gegenüber, aus der er mit ein bisschen Geduld die Zugangsdaten zu bergen hofft.
Eine weitere beliebte Masche ist, sich als Mitarbeiter der Spieleschmiede (in diesem Falle ANet) auszugeben und den Spieler zu "administrativen" Zwecken nach seinem Passwort zu fragen.
Zu diesen Varianten gesellen sich viele weitere, aber meist nicht grundsätzlich andere Versuche, einem Spieler die Zugangsdaten zu entlocken. Sie haben alle eins gemeinsam: Sie sind üblicherweise auch für ungewarnte Spieler durchschaubar und verstoßen prinzipiell gegen eines der beiden folgenden Prinzipien, die uns nicht grundlos bei jedem Login in GuildWars unter die Nase gerieben werden: Erstens niemals die Accountdaten an Dritte weiterzugeben und zweitens niemals Programme Dritter (im engeren Sinne) herunterzuladen und zu benutzen.
Womit wir auch schon bei wirksamen Schutzmaßnahmen angekommen wären:
Wie kann ich mich schützen?
Wer einfache aktive bzw. passive Schutzmaßnahmen ergreift, ist vor Accountdieben nahezu 100%ig sicher:
1. Benutze halbwegs sicher wirkende Passwörter. Also vielleicht nicht gerade deinen Vornamen, mische Zahlen und Sonderzeichen ins Passwort
2. Traue niemandem und teile deinen Account mit niemandem.
3. Traue niemandem und gib niemandem deine Accountdaten. Auch nicht deinen Geschwistern, oder dem besten Freund/Freundin, notfalls erstelle extra eine mail Adresse, die weder deinen Vor und Nachnamen enthält, noch etwas mit Facebook, Lokalisten oder ähnliches zu tun hat.
4. Installiere einen Virenscanner und eine Firewall und halte diese aktuell. (meist sind diese schon beim Kauf einer Flatrate, oder im Systempaket enthalten. Es gibt sie auch im Fachhandel oder online zu kaufen oder kostenlose Versionen zum download)
5. Gib nirgendwo deine Accountdaten ein außer im Spiel selbst und lade keine angeblichen Cheats/Hacks von irgendwelchen Seiten herunter. Es handelt sich in 99% der Fälle um eine Art Keylogger. Egal wie groß die Versuchung sein könnte, abgesehen davon im Fall das ArenaNet Dich ertappt einen sonstwie gestalteten Cheat, Hack, oder Bot zu benutzen bist Du deinen Account bald los, oder im milderen Fall für eine Weile gesperrt.
6. Spielst du zu Hause an einem privaten Rechner, dann lasse das Spiel deinen Accountnamen speichern, so dass du nur das Passwort eingeben musst. Denn was du nicht eintippst, kann auch kein Keylogger sehen. Das aber bitte nicht in Internetcafés probieren, am besten garnicht erst dort Guild Wars spielen.
um ganz sicher zu gehen noch weitere Möglichkeiten:
1. Installiere einen SpyWare-Checker und lasse ihn regelmäßig durchlaufen.
2. Installiere einen Passwort-Manager mit einer Zusatzfunktion, um laufende Keylogger und/oder Programme aufzuspüren, die auf Speicherbereiche fremder Prozesse zugreifen.
Sollte man eh schon alle Vorsichtsmasnahmen ergriffen haben, kann man sich bisweilen beruhigt wieder seiner Lieblingsbeschäftigung widmen.
Den grössten Teil habe ich aus einem Post von Luzzifus im Guild Wars Forum entnommen und etwas verändert (nur die wichtigen Zeilen nicht) sein Artikel hat meine Nerven besser beruhigt, als es jedes abgeschnittene Internetkabel oder Kamillentee könnte.
Da immer wieder Leute behaupten, ihnen wurde der Account gehackt, oder sie könnten deinen Account hacken, soll hier für ein wenig Aufschluss gesorgt werden. So soll gezeigt werden, welche Chancen ein Hacker hat, ohne dass man selbst irgendetwas dazu tut. Darüber hinaus werden reale Gefahren genannt und Schutzmaßnahmen dagegen.
Die These
1. Es grenzt an Unmöglichkeit, ohne mehr oder weniger aktives Zutun seinen Account an einen Hacker zu verlieren.
2. Solches Zutun ist üblicherweise intuitiv und mit gesundem Menschenverstand erkennbar und verhinderbar.
Was muss ein Hacker tun, um meinen Account zu hacken?
Stellen wir uns einen Möchtegern-Hacker vor. Der sieht in einem Forum oder trifft ingame einen anderen Spieler, der offensichtlich recht reich ist, Gildenführer mit voller GH ist, oder ihm in PvP übelst eins übergebraten hat. Er möchte also dessen Account haben, oder Ihm eins auswischen.
Alle Bemühungen unseres potentiellen Hackers laufen nun darauf hinaus, den Accountnamen und das dazugehörige Passwort der Zielperson herauszufinden. Bei GuildWars ist schon dadurch die Sicherheit erhöht, dass der Accountname anderer Spieler nicht ersichtlich ist, im Gegensatz zu anderen (älteren) Spielen, wie z.B. Diablo 2.
Im folgenden wollen wir immer davon ausgehen, dass man selbst niemandem die Accountdaten gegeben hat und keinerlei Keylogger etc. auf dem Rechner hat. Zu letzterem später.
Ein ganz naiver Ansatz:
Auf der Basis dieser Ausgangssituation hat der Hacker quasi gar keine Anhaltspunkte. Nehmen wir der Einfachheit halber kurz an, er hätte (auf welche Art auch immer) den Accountnamen herausgefunden. Dann bräuchte er „nur noch“ das Passwort. Das könnte er ja dann per „Brute-Force“ versuchen herauszufinden. „Brute-Force“ bedeutet, dass er einfach manuell oder algorithmisch alle möglichen Passwörter ausprobiert. Ein durchschnittliches Passwort besteht aus 6-8 Buchstaben und/oder Ziffern. Man hat also (26+10)^8 Kombinationsmöglichkeiten für das Passwort (für die Kombinatoriker unter uns: 8 aus 36 mit Wdh.). Das ergibt eine Zahl mit 13 Stellen, genauer: ca. 2,82 Billionen oder anders geschrieben 2.820.000.000.000 Möglichkeiten. Uff, das sind viele Stellen, oder? Spinnen wir das Ganze noch ein Stück weiter und nehmen für jeden Versuch aus diesen 2,82 Billionen eine durchschnittliche Zeit von 2 Sekunden an. Das ist unrealistisch wenig, selbst für eine algorithmische Durchführung, da man ja immer die Reaktion des Servers abwarten muss. Außerdem kommt unser Hacker ungewöhnlich früh zum Ziel, nämlich schon nach 10% der Gesamtanzahl der Möglichkeiten. Er braucht also 2,82 Billionen * 2 Sekunden / 10 = 5,64 * 10^11 Sekunden. Das sind immerhin noch 17.891 Jahre und 4 Monate. Nun sollte jeder einsehen, dass unserem Hacker bei der Wahl dieser Methode definitiv eher langweilig wird, als er selbst zum Ziel kommt. „Brute-Force“ scheidet also aus. Es sprechen noch weitere Dinge dagegen, z.B. eine begrenzte Anzahl fehlgeschlagener Login-Versuche pro User. Es ist nicht sicher, dass es solch einen Mechanismus gibt, aber eher unwahrscheinlich das ArenaNet so ein Scheunentor für Hacker offen ließe.
Weiterhin hat der Hacker die Alternative, die Spieleserver zu hacken und aus der dortigen Datenbank die mit Sicherheit verschlüsselten Accountdaten herauszufischen. Aber er hat ja nicht einmal den Accountnamen. Woher auch, gesagt haben wir ihm den ja nicht. Darüber hinaus haben die findigen Leute von ArenaNet sicherlich jede erdenkliche Maßnahme getroffen, das unerlaubte Herumstöbern auf ihren Servern zu verhindern, selbst der Spielclient wird dazu maximal beschränkte Befugnisse haben. Diese Art von Fremdzugriff ist zwar theoretisch möglich, aber inzwischen längst nicht mehr so einfach wie Laien sich das vorstellen.
Fassen wir soweit zusammen: Ohne dass er den Accountnamen und das Passwort eines Accounts besitzt, hat ein Pseudo-Hacker schlechte Chancen.
So dumm sind manche Hacker nun leider doch nicht, oder kennen mittlerweile von anderen Hackern, oder im übertragenen Sinn von Drückerkolonnen, Heizdeckenverkäufern, oder Wundermittelherstellern perfiedere Methoden um an die begehrten Daten zu kommen.
Denn er kommt auf die Idee, dass es ja vielleicht doch leichter ist, der Zielperson die begehrten Informationen zu entlocken. Aber wie? In seinem Kopf schwirren zusammenhaltlos Worte wie „Keylogger“, „Cheat Programme“, „Item Duper“ umher. Kommen wir also nun zu den realen Gefahren.
Welche realen Gefahren bestehen für meinen Account?
Nun kommt der eigentlich interessantere Teil, denn hier geht es nicht mehr weiter, ohne dass die Zielperson durch unüberlegtes Handeln, Arglosigkeit oder einfach durch Dummheit oder Habgier seine Accountdaten verrät.
Eine der simpelsten Versionen eines derartigen Betrugsversuches besteht darin, auf einer schnell zusammengeklickten Internetseite geschenkte Items oder Geld zu versprechen. Da man aber selten online ist, soll der gierige Spieler doch Accountname und Passwort hinterlegen, damit man für ihn so bequem wie möglich die Items direkt auf den Account legen kann. Beim nächsten Login stellt dann der überraschte Spieler fest, dass keineswegs eingezahlt, sondern abgehoben wurde. Das Prinzip beruht aber offensichtlich wahlweise auf extremer Naivität oder Dummheit des angeblich Begünstigten. Weil kaum jemand darauf hereinfällt (hoffentlich)
eine andere Betrugsmasche:
Der Hacker stellt eine Website in’s Netz, auf der er einen Cheat oder Hack anbietet. Natürlich keinen echten. Denn sobald das Programm heruntergeladen und gestartet wurde, passiert das unfassbare: Der Cheat geht nicht, da er eigendlich ein Trojaner ist und einen Keylogger eingeschleust hat.Das runterlöschen des "cheat" bringt nichts, das Programm hat sich im Hintergrund installiert und läuft fortan im Hintergrund, loggt die gedrückten Tasten und sendet sie an unseren Hacker. Der sieht sich nun einer ungeheuren Datenflut gegenüber, aus der er mit ein bisschen Geduld die Zugangsdaten zu bergen hofft.
Eine weitere beliebte Masche ist, sich als Mitarbeiter der Spieleschmiede (in diesem Falle ANet) auszugeben und den Spieler zu "administrativen" Zwecken nach seinem Passwort zu fragen.
Zu diesen Varianten gesellen sich viele weitere, aber meist nicht grundsätzlich andere Versuche, einem Spieler die Zugangsdaten zu entlocken. Sie haben alle eins gemeinsam: Sie sind üblicherweise auch für ungewarnte Spieler durchschaubar und verstoßen prinzipiell gegen eines der beiden folgenden Prinzipien, die uns nicht grundlos bei jedem Login in GuildWars unter die Nase gerieben werden: Erstens niemals die Accountdaten an Dritte weiterzugeben und zweitens niemals Programme Dritter (im engeren Sinne) herunterzuladen und zu benutzen.
Womit wir auch schon bei wirksamen Schutzmaßnahmen angekommen wären:
Wie kann ich mich schützen?
Wer einfache aktive bzw. passive Schutzmaßnahmen ergreift, ist vor Accountdieben nahezu 100%ig sicher:
1. Benutze halbwegs sicher wirkende Passwörter. Also vielleicht nicht gerade deinen Vornamen, mische Zahlen und Sonderzeichen ins Passwort
2. Traue niemandem und teile deinen Account mit niemandem.
3. Traue niemandem und gib niemandem deine Accountdaten. Auch nicht deinen Geschwistern, oder dem besten Freund/Freundin, notfalls erstelle extra eine mail Adresse, die weder deinen Vor und Nachnamen enthält, noch etwas mit Facebook, Lokalisten oder ähnliches zu tun hat.
4. Installiere einen Virenscanner und eine Firewall und halte diese aktuell. (meist sind diese schon beim Kauf einer Flatrate, oder im Systempaket enthalten. Es gibt sie auch im Fachhandel oder online zu kaufen oder kostenlose Versionen zum download)
5. Gib nirgendwo deine Accountdaten ein außer im Spiel selbst und lade keine angeblichen Cheats/Hacks von irgendwelchen Seiten herunter. Es handelt sich in 99% der Fälle um eine Art Keylogger. Egal wie groß die Versuchung sein könnte, abgesehen davon im Fall das ArenaNet Dich ertappt einen sonstwie gestalteten Cheat, Hack, oder Bot zu benutzen bist Du deinen Account bald los, oder im milderen Fall für eine Weile gesperrt.
6. Spielst du zu Hause an einem privaten Rechner, dann lasse das Spiel deinen Accountnamen speichern, so dass du nur das Passwort eingeben musst. Denn was du nicht eintippst, kann auch kein Keylogger sehen. Das aber bitte nicht in Internetcafés probieren, am besten garnicht erst dort Guild Wars spielen.
um ganz sicher zu gehen noch weitere Möglichkeiten:
1. Installiere einen SpyWare-Checker und lasse ihn regelmäßig durchlaufen.
2. Installiere einen Passwort-Manager mit einer Zusatzfunktion, um laufende Keylogger und/oder Programme aufzuspüren, die auf Speicherbereiche fremder Prozesse zugreifen.
Sollte man eh schon alle Vorsichtsmasnahmen ergriffen haben, kann man sich bisweilen beruhigt wieder seiner Lieblingsbeschäftigung widmen.
Den grössten Teil habe ich aus einem Post von Luzzifus im Guild Wars Forum entnommen und etwas verändert (nur die wichtigen Zeilen nicht) sein Artikel hat meine Nerven besser beruhigt, als es jedes abgeschnittene Internetkabel oder Kamillentee könnte.