• Herzlich Willkommen!

    Nach der Schließung von inDiablo.de wurden die Inhalte und eure Accounts in dieses Forum konvertiert. Ihr könnt euch hier mit eurem alten Account weiterhin einloggen, müsst euch dafür allerdings über die "Passwort vergessen" Funktion ein neues Passwort setzen lassen.

    Solltet ihr keinen Zugriff mehr auf die mit eurem Account verknüpfte Emailadresse haben, so könnt ihr euch unter Angabe eures Accountnamens, eurer alten Emailadresse sowie eurer gewünschten neuen Emailadresse an einen Administrator wenden.

Radiant Star Emerald 700k ...

Zuletzt bearbeitet:
Sry was kann blizzard dafür wenn hacker deine pw von ner anderen seite herbekommen und es das gleiche ist wie für deinen d3account?
Das ist dann halt schlichtweg einfach pech für dich. Wenn du nicht die zusätzlichen schutzmöglichkeiten die dir blizzard anbietet nutzen möchtest dann musst du dir halt ein weiteres zusätzliches PW merken.
Ich habe übrigens auch keinen Auth aber ich habe ein anderes PW als ich z.b. hier verwende.

Wenn du auf m oktoberfest deinen geldbeutel in der arschtasche hast und er dir gestohlen wird dann kommt auch niemand dafür auf.
 
Zuletzt bearbeitet:
Das streite ich ja garnicht ab aber wenn Blizzard ihr Rollback-System vorher ein wenig überdacht hätte, dann wäre ihnen aufgefallen, dass es löchrig ist wie ein Schmeizer Käse und ihr Authentikator-System eigentlich vor allem schützt. Warum also hat es sich der Laden nichtmal leicht gemacht und einfach ne Authentikator-Pflicht verhängt? Ich wage mal zu behaupten, dass der größte Anteil der gehackten Accounts durch genau die Methode geplündert wurde - DBs von anderen Websites. Zummindest habe ich noch von keinem anderen Fall gehört. Klar ne Teilschuld liegt beim User aber sie ist weitaus kleiner als Blizzards.

/Edit: ich weiß ja nicht wie eure Leute so ticken aber in meinem Bekanntenkreis gibt es niemanden, der einen Passwort-Container nutzt oder für jede Website ein anderes PW pflegt. Ausnahmslos alle haben ihre Standard-Passwörter und Standard-IDs.
 
Sokrates schrieb:
Wenn du auf m oktoberfest deinen geldbeutel in der arschtasche hast und er dir gestohlen wird dann kommt auch niemand dafür auf.
Zum Vergrößern anklicken....

Großartiger Vergleich :top:

Blizzard steckt in ner echten Zwickmühle der sie locker entgangen wären wenn sie jeder d3 packung nen beschissenen authenticator beigelegt hätten und das ganze zur pflicht erklärt.

Jetzt ist die situation halt entweder

a) kunden verlieren weil sie die account wiederherstellung rausnehmen müssen. Und jemand der gehackt wird und ALLES verliert wird wahrscheinlich aufhören (ich würde).

b) die Duper weiter ihr ding machen lassen.

c) unfassbar viele ressourcen aufwenden um die recovery anfragen genauer zu prüfen.

d) authenticator pflicht einhergehend mit einer anständig unterstützten kostenlosen software für alle gängigen betriebssysteme (win, mac, linux etc pp)

Keine der optionen klingt für mich so zufriedenstellend wie option d. Ich bezweifle das blizzard option b in betracht ziehen kann. Dupen ist absolutes Gift für die Economy.
 
Zuletzt bearbeitet:
Saigon schrieb:
Das streite ich ja garnicht ab aber wenn Blizzard ihr Rollback-System vorher ein wenig überdacht hätte, dann wäre ihnen aufgefallen, dass es löchrig ist wie ein Schmeizer Käse und ihr Authentikator-System eigentlich vor allem schützt. Warum also hat es sich der Laden nichtmal leicht gemacht und einfach ne Authentikator-Pflicht verhängt? Ich wage mal zu behaupten, dass der größte Anteil der gehackten Accounts durch genau die Methode geplündert wurde - DBs von anderen Websites. Zummindest habe ich noch von keinem anderen Fall gehört. Klar ne Teilschuld liegt beim User aber sie ist weitaus kleiner als Blizzards.

/Edit: ich weiß ja nicht wie eure Leute so ticken aber in meinem Bekanntenkreis gibt es niemanden, der einen Passwort-Container nutzt oder für jede Website ein anderes PW pflegt. Ausnahmslos alle haben ihre Standard-Passwörter und Standard-IDs.
Zum Vergrößern anklicken....

Wo gibt es denn ÜBERHAUPT eine auth pflicht?
Du kannst blizzard schlecht vorwerfen dass sie dich nicht dazu ZWINGEN einen auth zu haben, das ist lediglich eine zusätzliche freiwillige sicherheitsoption die du wahrnehmen kannst. Selbst jetzt nachdem dir schon einmal der acc gehackt wurde scheinst du das nicht zu machen.

Blizzard trifft da keine schuld, das ist einfach pech. Du hättest schließlich dafür sorgen können dass du überall unterschiedliche passwörter hast oder eben einen auth bestellen.

Ich verstehe die logik dahinter nicht so ganz, du willst einerseits dass man dich dazu zwingt einen zu verwenden andererseits willst du dir freiwillig keinen zulegen...

Ich gebe dir schon recht dass man sehr oft das gleiche PW verwendet, das mache ich bei vielen sachen auch so, aber seit ich das mit dem webseiten hacken gehört habe, habe ich für meine wichtigen sachen ein anderes PW.
 
Culexus schrieb:
d) authenticator pflicht einhergehend mit einer anständig unterstützten kostenlosen software für alle gängigen betriebssysteme (win, mac, linux etc pp)
Zum Vergrößern anklicken....
Die Leute verstehen nicht ganz, dass dies keine Option ist. Der Auth funktioniert im Prinzip nur, weil es eben ein physisch getrenntes Gerät ist. Das ist das Sicherheitskonzept, welches dahinter steht. Ist der Auth auf deinem Rechner, so holt sich der nächste Trojaner statt Login+PW noch den Seed des Auths - er befindet sich ja auf dem Rechner - und kann fröhlich deine Auth Codes selbst produzieren! Nicht nur das, in dem Moment wo er seinen, mit deinem Seed gefütterten, Auth in Betrieb nimmt, wird deiner deaktiviert.
 
Du scheinst aber nicht zu verstehen dass sich d3 account hacker nicht diesen aufwand machen und extra nen trojaner auf nen rechner einschleußen nur um an ein paar lumpige häufchen gold zu kommen.

Die hacken einfach ein forum, schauen email und pw an und versuchen das beim d3/wow/wasauchimmmer login.

Besteht nämlich n gewaltiger unterschied zwischen rnd forum pws beim d3 login zu versuchen oder gezielt nen speziellen rechner mit nem trojaner zu infizieren.
 
Argon schrieb:
Die Leute verstehen nicht ganz, dass dies keine Option ist. Der Auth funktioniert im Prinzip nur, weil es eben ein physisch getrenntes Gerät ist. Das ist das Sicherheitskonzept, welches dahinter steht. Ist der Auth auf deinem Rechner, so holt sich der nächste Trojaner statt Login+PW noch den Seed des Auths - er befindet sich ja auf dem Rechner - und kann fröhlich deine Auth Codes selbst produzieren! Nicht nur das, in dem Moment wo er seinen, mit deinem Seed gefütterten, Auth in Betrieb nimmt, wird deiner deaktiviert.
Zum Vergrößern anklicken....

Der punkt ist doch ein ganz anderer. Na sicher ist ein auth auf dem rechner unsicherer als ein auth auf dem handy oder gar der keytoken. Das habe ich auch niemals bezweifelt. Fakt ist aber das er die accountsicherheit nichtsdestotrotz um ein vielfaches erhöht. Blizzard hat dadurch wesentlich weniger recovery anfragen und kann viel genauer hinschauen bei moderaterem ressourceneinsatz.
Es wird immer wege und methoden gehen an accounts ranzukommen die frage ist wie hoch der aufwand ist und die damit verbundenen kosten. Ich bin überzeugt davon, das das gros der leute die ge"hackt" wurden ihre zugangsdaten vollkommen freiwillig preis gegeben haben. Die beispielsweise wird es immer geben. Aber passwörter weglassen tun wir deshalb ja auch nicht, oder?
 
Zuletzt bearbeitet:
Diese freiwillige Herausgabe der Daten kann simpel um das Herausgeben des Seeds erweitert werden, wodurch wir wieder am Anfang stehen. Um ein vielfaches erhöht der Auth auf dem Rechner erstmal gar nichts, unter deiner Prämisse, die meisten Leute wurden gephished.
Der Auth auf dem Rechner ist nichts anderes, als ein zweites PW Feld, welches nicht mit dem ersten übereinstimmen darf. Es hilft in genau den selben Fällen und ist in genau den gleichen Fällen anfällig. Solch ein Sicherheitskonzept 'schützt in eins bis zwei Situationen zusätzlich' ist einfach kein Sicherheitskonzept, sondern ein Flick für die jeweilgie Situation. Davon bräuchtest du dann denkbar viele, im worst-case für jede (neue) Situation eine weitere Methode.
Der physisch getrennte Auth ist nach wie vor die simpelste, zeitgleich aber effizienteste Methode, solange der Algorithmus dahinter noch nicht geknackt ist.
 
Zuletzt bearbeitet:
Sokrates schrieb:
Selbst jetzt nachdem dir schon einmal der acc gehackt wurde scheinst du das nicht zu machen.
Zum Vergrößern anklicken....
Nach einem Rollback herrscht Auth-Pflicht. Ich hätte wahnsinnig gern den Windows-Dingsbums genommen aber nee Blizzad musste ja das Teil über MS ZUNE anbieten und ich für meinen Teil das Ding wiederum kaufen. Hat mich ziemlich angepisst. Wiegesagt, Blizzard hat 2 dicke Fehler gemacht:

ausgehend davon, dass sie wussten, dass Account-Rollbacks für sie eigentlich keine Option sind, haben die

a) 2 Rollbacks angeboten und
b) Nicht-Starmphone-Besitzern, die noch nicht auf den tollen Google-Code-Link gestoßen sind, in den Arsch getreten.
 
Argon schrieb:
Diese freiwillige Herausgabe der Daten kann simpel um das Herausgeben des Seeds erweitert werden, wodurch wir wieder am Anfang stehen. Um ein vielfaches erhöht der Auth auf dem Rechner erstmal gar nichts, unter deiner Prämisse, die meisten Leute wurden gephished.
Der Auth auf dem Rechner ist nichts anderes, als ein zweites PW Feld, welches nicht mit dem ersten übereinstimmen darf. Es hilft in genau den selben Fällen und ist in genau den gleichen Fällen anfällig. Solch ein Sicherheitskonzept 'schützt in eins bis zwei Situationen zusätzlich' ist einfach kein Sicherheitskonzept, sondern ein Flick für die jeweilgie Situation. Davon bräuchtest du dann denkbar viele, im worst-case für jede (neue) Situation eine weitere Methode.
Der physisch getrennte Auth ist nach wie vor die simpelste, zeitgleich aber effizienteste Methode, solange der Algorithmus dahinter noch nicht geknackt ist.
Zum Vergrößern anklicken....


Ist doch wieder typisches "computerclub" oder "c't" gelaber.
Blablabla nicht sicher blabla.

Die allermeisten werden nicht gehackt, selbst wenn sie ihre pws von onlineforen für d3 verwenden.
Jeder kann sich selbst überlegen wie sicher er im ineternetz sein will, nur man sollte es hackern eben nicht zu leicht machen. Da reicht es schon aus nicht immer das selbe PW zu nehmen.
 
Was soll mir dein Post sagen? #care Sicherheitsmaßnahmen, betrifft eh nicht viele, sollen sich halt ein sicheres PW machen? Praxis sagt: klappt nicht.
 
Hä? Das genau gegenteil sage ich, wenn jemand sicher sein will soll sich einen auth holen und/oder keine gleichen pws verwenden. Komm mir jetzt bitte nicht mit dem lächerlichen "ist nicht 100% sicher" gelaber. Dann kannst du genauso gut selbstschuss anlagen in deiner wohnung aufbauen weil der hacker könnte dich auch persönlich mit einer waffe zwingen dein d3 pw einzugeben.

Nochmal: Die hacker hacken nicht blizzard und kommen so an accdaten sondern sie hacken foren und andere websiten und versuchen dann die ergaunerten daten bei d3 einzugeben in der hoffnung der user verwendet das gleiche PW und die gleiche email.

Saigon schrieb:
Nach einem Rollback herrscht Auth-Pflicht. Ich hätte wahnsinnig gern den Windows-Dingsbums genommen aber nee Blizzad musste ja das Teil über MS ZUNE anbieten und ich für meinen Teil das Ding wiederum kaufen. Hat mich ziemlich angepisst. Wiegesagt, Blizzard hat 2 dicke Fehler gemacht:

ausgehend davon, dass sie wussten, dass Account-Rollbacks für sie eigentlich keine Option sind, haben die

a) 2 Rollbacks angeboten und
b) Nicht-Starmphone-Besitzern, die noch nicht auf den tollen Google-Code-Link gestoßen sind, in den Arsch getreten.
Zum Vergrößern anklicken....

Da sind wir doch genau am anfang unserer diskussion. Keine rollbackmöglichkeit.
 
sehe ich genauso wie sokrates. Ob das PW nun 8 stellen und 3 sonderzeichen oder 20 stellen und 12 sonderzeichen hat spielt keine rolle.
einfach keine schadprogramem auf'm pc haben und keine pw doppelt verwenden. Seit 8 Jahren in denen ich online bin wurde bei mir noch nie etwas kompromittiert
 
Auth pflicht (wird beim Spiel beigelegt) --> problem solved oder ganz einfach : beim Rollback Items account gebunden machen
 
LordSnake schrieb:
Ich frage mich nur wenn sich diese ganzen vermeintlichen "Duper" das Gold jetzt ausbezahlen lassen in echte Währung müsste das doch ein massives Verlustkonto für Blizzard sein, eine Firma die einer Aktiengesellschaft angehört, muss bei sowas doch EXTREM schnell reagieren. Daher bin ich noch skeptisch das es wirklich so funktioniert wie hier beschrieben.
Zum Vergrößern anklicken....

Das ist nicht richtig, denn Blizzard selbst bezahlt dir keinen Cent für die vielen Millionen Gold auf deinem D3 Konto. Wenn du Gold in echtes Geld aus dem RMAH eintauschen möchtest, kommt dieses Geld immer von anderen Usern. Sprich es kann nicht mehr eingetauscht werden, als von anderen irgendwann mal bezahlt wurde. Blizzard verliert da gar nichts, im Gegenteil die kassieren die Gebühren beim Umwandeln und anschließendem Auszahlen auf Paypal. ;)

Keine Ahnung wieviel Geld mittlerweile im RMAH System im Umlauf ist, aber ich halte es für sehr zweifelhaft dass man durch Gem Dupen xx.xxx Tausend Euro einfach mal so erwirtschaften kann. Soviele Käufer gibt es wahrscheinlich nicht.

Argon schrieb:
Diese freiwillige Herausgabe der Daten kann simpel um das Herausgeben des Seeds erweitert werden, wodurch wir wieder am Anfang stehen. Um ein vielfaches erhöht der Auth auf dem Rechner erstmal gar nichts, unter deiner Prämisse, die meisten Leute wurden gephished.
Der Auth auf dem Rechner ist nichts anderes, als ein zweites PW Feld, welches nicht mit dem ersten übereinstimmen darf. Es hilft in genau den selben Fällen und ist in genau den gleichen Fällen anfällig. Solch ein Sicherheitskonzept 'schützt in eins bis zwei Situationen zusätzlich' ist einfach kein Sicherheitskonzept, sondern ein Flick für die jeweilgie Situation. Davon bräuchtest du dann denkbar viele, im worst-case für jede (neue) Situation eine weitere Methode.
Zum Vergrößern anklicken....

Das stimmt nicht, der Authentificator Code gilt nur für eine bestimmte Zeit (30 Sekunden oder so). Das Phishen des Authentificator Codes bringt demzufolge überhaupt nichts, da der Code bis zur Eingabe durch den Phisher längst verfallen ist und der eigentliche Algorhytmus nicht gephisht werden kann.

Deshalb erhöht eine Authentificator Pflicht und sei es durch ein Programm auf dem eigenen Rechner sehr wohl die Sicherheit immens. Das Einschleusen eines Trojaners ist wesentlich aufwendiger als simples Phishing. ;)
 
Demkon schrieb:
[...]
Das stimmt nicht, der Authentificator Code gilt nur für eine bestimmte Zeit (30 Sekunden oder so). Das Phishen des Authentificator Codes bringt demzufolge überhaupt nichts, da der Code bis zur Eingabe durch den Phisher längst verfallen ist und der eigentliche Algorhytmus nicht gephisht werden kann.

Deshalb erhöht eine Authentificator Pflicht und sei es durch ein Programm auf dem eigenen Rechner sehr wohl die Sicherheit immens. Das Einschleusen eines Trojaners ist wesentlich aufwendiger als simples Phishing. ;)
Zum Vergrößern anklicken....

Ihm ging es nicht darum, dass man einen mit dem Auth erzeugten Code phisht, sondern den Authenticator selber (bzw. dessen zur Generierung der Codes verwendeter Seed). Dadurch kann sich der Phisher die Codes mehr oder weniger selbst generieren.

(In wie weit das möglich ist, weiß ich nicht, da ich nicht weiß, welcher Algorithmus hinter dem Authenticator steckt und auch garnicht weiß, ob das überhaupt irgendwie öffentlich ist. :D)
 
Nehmen wir mal an, die Rollback-Dupemethode wird angewendet. Die Möglichkeiten sind, was Items angeht, begrenzt. Besondere Items fallen auf (diabloprogress.com), was die Duper nicht gerne haben. Also werden Gems geduped.

Nun kaufen sich nur wenige Gems für 16 Mio weil sie schlicht das Gold dafür nicht haben. Also werden die Preise billiger, mit dem geringeren Ertrag im Einzelfall aber mehr in der Masse verkauft, damit gute Items gekauft und diese im RMAH vertickt.

@ PW-Geschichte: Ich habe einen PW-Container und an drei Orten Sicherungen ...die wichtigsten weiß ich sowieso auswendig, der Rest läßt sich mit einer neuen Standardmailadresse für solche Fälle ersetzen. Das ist vielleicht nicht ganz so sicher wie überall eine neue Mailaddy, aber überall ( oder fast überall) ein neues PW halte ich für wichtig. Mit oder ohne Auth.

Das Angebot des Rollbacks war zumindest im Anfang ein Muss. Blizz ist nicht so blöd, dass sie nicht mit einer Acc-Klau-Schwemme kurz nach Release gerechnet hätten. Um die lieben User nicht zu verärgern ...

Bind on Acc der Items nach Rollback finde ich hier auch eine gute Idee, seit ein paar Monaten hört man nicht mehr viel von Acc-Übernahmen, die waren nämlich (um sich einen Vorsprung zu verschaffen) vor allem am Anfang wichtig.

Daher spricht nichts gegen ein Bind-on-Acc. Ausser der Gedanke, dass die bösen Buben dann noch intensiver versuchen, eine technische Dupemethode zu finden, die funktioniert.
 
vor monaten gab es schon eine wiz off-hand die jeder top dps wiz auf dem us server hatte.
ist also nicht wirklich neu das ganze. zZ gibts die exakt selbe IK brust 12 mal am na server..

gems sind natürlich unauffälliger aber das item dupen via rollback ist längst im gange.
das ganze ist also schon seit monaten bekannt. passiert is nichts! blizzard schweigt..
 
Sokrates schrieb:
Ist doch wieder typisches "computerclub" oder "c't" gelaber.
Blablabla nicht sicher blabla.

Die allermeisten werden nicht gehackt, selbst wenn sie ihre pws von onlineforen für d3 verwenden.
Jeder kann sich selbst überlegen wie sicher er im ineternetz sein will, nur man sollte es hackern eben nicht zu leicht machen. Da reicht es schon aus nicht immer das selbe PW zu nehmen.
Zum Vergrößern anklicken....

Argon hat einfach recht. Wenn Du das nicht nachvollziehen kannst, fehlt Dir eventuell Fachwissen - ist ja nicht schlimm, niemand weiß alles. Wenn Du keine Sicherheitstipps beherzigen willst, ist das Deine Entscheidung, aber sich dann ggf. beschweren, wenn was passiert, finde ich ... schwierig.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben