Änderungen bezüglich des Battle.net-Authenticators #2

Technischer Support
1 2 3 6 Weiter
Da das Postlimit im alten Beitrag erreicht wurde, hier das Folgethema.

Das alte Thema findet ihr hier:
http://eu.battle.net/wow/de/forum/topic/2226156049

Falls ihr – wie wir hoffen – einen Authenticator verwendet, werdet ihr vielleicht schon bald bemerken, dass ihr nicht bei jedem Login nach dem Code gefragt werdet. Wir haben unser Authentifizierungssystem umgestellt, um auf intelligente Weise eure Login-Orte zu verfolgen. Wenn ihr euch durchgängig vom selben Ort aus einloggt, werdet ihr eventuell nicht nach einem Authenticator-Code gefragt. Diese Änderung wird vorgenommen, damit der Authentifizierungsprozess weniger aufdringlich ist wenn wir sicher sind, dass es sich beim Einloggen in euren Account um euch handelt.

Wir hoffen das Authenticator-System noch weiter zu verbessern, um dieselbe oder noch bessere Sicherheit sowie Neuerungen für eine nutzerfreundlichere Erfahrung zu bieten. Falls ihr noch keinen Battle.net-Authenticator mit eurem Account verbunden habt, wartet nicht bis es zu spät ist!
Ich habe mir tatsächlich die Mühe gemacht und alle (guten UND schlechten) Posts aus dem ersten Beitrag zu diesem Thema gelesen. Unter dem Strich ergibt sich für mich PERSÖNLICH folgendes Fazit:

- Der Account wir von MIR bezahlt. Daher möchte ICH im Bezug auf eine solch wichtige Änderung SELBST BESTIMMEN ob ich den Code nun jedesmal oder nur gelegentlich nach den neuen intelligenten Maßstäben eingebe.

- ICH bestimme über mein Sicherheitsverhalten. Auch wenn die neue Methode nach technischen Maßstäben sicher ist möchte ICH den Code weiterhin jedesmal eingeben. Schließlich ist es auch MEINE GEFÜHLTE SICHERHEIT die hier bei mir persönlich im Fordergrund steht. Mit dem neuen System (so gut es auch sein mag) fühle ICH mich NICHT sicher.

- Ich wünsche mir als Kunde eine Lösung die beide Situationen abdeckt. Eine Option die man in der ACC-Verwaltung anhaken kann und die zum einen den Leuten (die diese Gefühlte Sicherheit" einfach haben wollen) die Möglichkeit gibt jedesmal den Code einzugeben. Oder man lässt den Haken einfach raus wenn man damit zufrieden ist dass man den Code nur zu gewissen Ereignissen eingeben muss.

mfg
Kann ich so nur unterschreiben. Mir wäre es ebenfalls lieber, man könnte selbst entscheiden ob man erhöhte Sicherheit möchte, oder nicht.

Das geht schon damit los, dass ich nciht möchte, das jemand meinen PC kompromitiert und dann einfach als "ich" sich in meinen Account einloggt. Wenn er zusätzlich zu einem gehackten Rechner noch einen Authenticator Code braucht, wird ein Hackversuch schon fast unmöglich.

Bitte dringenst um Rückgägnigmachung!

MfG
was ich komisch finde, das diese code abfrage bis jetzt nur das spiel betrifft.
auf den blizzard webseiten brauch ich noch immer für jeden login einen code vom code spender.
wenn ihr (blizzard) schon so nen mist macht dann machts auch einheitlich und steht dazu. ;)

Eine Option die man in der ACC-Verwaltung anhaken kann .....

wie mancher geschrieben hat halte ich für gut, ABER....

wir wissen doch alle wie langsam die mühlen bei blizzard mahlen.
die haben es bis heute nicht geschaft einem die möglichkeit zu geben die chars in der Charakter auswahl zu sortieren.
also warum sollten sie einen haken möglich machen, das würde ja in arbeit ausufern.

nichts für ungut Malte ;)
Ihr könnt mir 100 mal sagen , dass ich mir keine Sorgen machen muss das mein Account gehackt wird.
Ich habe für mein Authenticator damals bezahlt und möchte in auch nutzen, so einfach ist das.
Ihr könnt nicht einfach etwas ändern, wofür Leute Geld an Euch bezahlt haben.
Und kommt mir jetzt bitte nicht mit..... Die Rechte liegen bei uns,wir können machen was wir wollen.
Hallo,

bin nicht gerade ein regelmäßiger Forenuser, aber dazu mag ich auch meine Meinung kundtun.

Ich fänds sehr positiv, wenn ich das selbst entscheiden könnte, ob mir das neue System ausreichend für meine Accountsicherheit wäre.

Daher würde ich das sehr begrüßen wenn es da alsbald eine Auswahlmöglichkeit geben würde, die mir die Wahl zischen dem alten und dem neuen System lässt.

Daher "Vote for Option" !

Sollte jeder selbst selbst entscheiden können wie sicher er/ sie/ es/ seinen Account haben mag.

So wie es im moment ist bin ich sehr unzufrieden damit!

Gruß Mênhir
Gibt es eigentlich nun irgendwo (Europa oder USA) nen Statement von Blizzard zu der ganzen Sache? Immerhin "jammern" nicht nur wir Deutschen über diese Umstellung, sondern auch die Amis.

Gruss
Steve

EDIT: Ok, in den Staaten gibts nun mittlerweile 9 (!!!) Beiträge mit max. Antworten, welche diesem Beitrag gleich sind. Alle 9 Topics wurden NICHT von Blizzard beantwortet ausser einem gelegentlichen "Alles ist ok, ihr braucht Euch keine Sorgen machen. Das neue System ist sicher.".

Der Itemshop war ja schon dreist, und auch diverse andere Änderungen, aber das hier ist echt die Härte: Da wird man erst über lange Zeit gedrängt, sich einen Authi zu kaufen und dann wird das Ding, grade als man die komplette Gilde dafür motiviert hat, mehr oder weniger wieder "abgestellt".
Hi, ich weiß nicht ob es etwas mit der kürzlichen Änderung zu tun hat.
hab mich heute 2x im Spiel eingeloggt (1x mit Codeabfrage) und 1x im Battlenet für nen Chartransfer. Nach Bestätigung des Chartransfer wollt ich wieder auf die Accountverwaltung und erhalte den blanko-Anmeldescreen https://eu.battle.net/login/de/login.xml mit dem Vermerkt, ich hätte mich heute schon zu häufig angemeldet, Fehlercode: "Anzahl der erlaubten Versuche überschritten. (403)"
Anmeldungen waren wie gesagt heute nur insgesamt 3: 1x Battlenet mit Code + 2x Spiel (hiervon 1x mit Code) - wäre sehr eng geschnitten, wenn das das LImit ist :-)

JFYI
Puh, einerseits fällt mir ja ein kleiner stein vom herzen, dass die fehlende authenticator-abfrage "working as intented" ist. als sicherheits-paranoiker hatte ich schon das horror-szenario des virenbefallenen rechners vor augen ...

anderseits ... wie schon die geehrte goblin-schamanin anmerkte: ich würde schon gern selbst entscheiden, wie sicher mein account ist. die 6 zahlen zu tippen ist nun wirklich nicht der aufwand und in den meisten fällen meldet man sich ja doch nur einmal an und spielt dann entspannt bis zum selbstgewählten logout :)

was mit in dem zusammenhang noch auffiel: wenn ich nach einem disconnect den rechner neustarte, muss ich den code eingeben, ohne neustart nicht. und schrägerweise meldet mein virenscanner nach der disconnect/neustart-sequenz "verdächtige aktivitäten" bei den autostart-dateien - was es nicht tut, wenn ich den rechner "normal" hochfahre oder neustarte ....

schön ist das nicht. ich wäre für eine rückkehr zum alten system ^^

liebe grüße
undo
20.06.2011 23:39Beitrag von Undomiel
was mit in dem zusammenhang noch auffiel: wenn ich nach einem disconnect den rechner neustarte, muss ich den code eingeben, ohne neustart nicht. und schrägerweise meldet mein virenscanner nach der disconnect/neustart-sequenz "verdächtige aktivitäten" bei den autostart-dateien - was es nicht tut, wenn ich den rechner "normal" hochfahre oder neustarte ....


Das dürfte etwas mit der Registry zu tun haben. Bei Erfolgreichem login wird in der Registry ein Cache eintrag hinterlegt, frei nach dem Motto: Dieser PC ist aktiviert und darf sich ohne Authi einloggen.". Ich vermute nun einfach, dass der Registry eintrag, wie auch die WTF-Einstellugen erst beim beenden/erfolgreichen ausloggen gespeichert werden. Wenn dein PC nun neustaret, blockt dein antivir scheinbar die eintragung in die Registry. Soweit aber alles nur Theorie.

Gruss
Steve

PS: Groß/Kleinschreibung sowie Rechtschreibfehler sind Uhrzeitbedingt. Ich geh nun ins Bett. Nacht Euch allen.
Moin,

Vor 1 Woche wusste ich davon nicht. Nach dem Tag war ich kurz im WoW nachgucken mehr nicht und schon nicht besonders, dann war ich off gegangen vorher war Authenticator aktiviert für immer. Bis später am Nacht wollte ich wieder WoW einloggen plötzlich war mir etqas eingefallen da es etwas fehlte also Authenticator. Dann hatte ich gedacht jemand würde schon mit meinem Account benutzen unmöglich das ich niemand mit meinem Account verteilt hatte. Wie wars möglich? Danach sofort zum Battle.net Accountverwaltung und ich wollte Passwort ändern. Häh? Da kommt doch eine Authenticatorcode-abfrage. Es funktioniert. Und dann kurz sicher reingeguckt ob meine Daten immer noch stimmten. Kein Problem. Alles ist immer korrekt. Und wieder WoW einloggen war mir klar das Abfrage gefehlt hatte.
ich hatte echt schlechten Schock bekommen.. tzzzz

Und über das Blauen Post vom anderen ersten Thread. Was meint es?
ich verstehe ein bisschen nichts davon.

Das heisst: Wenn ich an gleichen Ort (gleichen PC und zuhause) einlogge, kommt kein Authenticatorcode-Abfrage mehr?

Und wenn ich bei meinem Freunds Ort zb Lanparty (PC mitnehmen bei ihm besuchen) und einlogge, kommt das Code-Abfrage wieder?

Meine ich recht oder so?

Wenn nicht, dann erklärt mir wer mal leicht und deutlich keine komplizierte Sätze bitte :)
Das heisst: Wenn ich an gleichen Ort (gleichen PC und zuhause) einlogge, kommt kein Authenticatorcode-Abfrage mehr?

Und wenn ich bei meinem Freunds Ort zb Lanparty (PC mitnehmen bei ihm besuchen) und einlogge, kommt das Code-Abfrage wieder?

Meine ich recht oder so?


Ja, das hast Du richtig verstanden.

Es kommt nun immer dann eine Eingabeabfrage des Authi, wenn Du an einem anderen PC oder einer anderen Internetleitung einloggen möchtest, als beim Login davor.

Gruss
Warpit
Das heisst: Wenn ich an gleichen Ort (gleichen PC und zuhause) einlogge, kommt kein Authenticatorcode-Abfrage mehr?

Und wenn ich bei meinem Freunds Ort zb Lanparty (PC mitnehmen bei ihm besuchen) und einlogge, kommt das Code-Abfrage wieder?

Meine ich recht oder so?


Ja, das hast Du richtig verstanden.

Es kommt nun immer dann eine Eingabeabfrage des Authi, wenn Du an einem anderen PC oder einer anderen Internetleitung einloggen möchtest, als beim Login davor.

Gruss
Warpit


Moin nochmal,

@Warpit: ok danke ich verstehe jetzt..

@Topic:
ich denk es gibt eine Risiko, was ist wenn euer Verbesserung am Authenticator durchführen einen Fehler hat. Es könnte sein irgendwann oder später wird man möglicherweise gehackt (wer weiss). Es kommt keinen Code-Abfrage bei dem Accountdieb (Hack*r) hat Glück und kann alles stehlen und zerstören.

Wäre besser, sollte mit dem Code des Authenticator immer benutzen und eingeben. Das ist warum wir es für 20eur bezahlt haben. Nicht einmal oder gar nicht benutzen finde ich echt blöd.

Ich setze meinen Streik auf.. ich akzeptiere gerne nicht was Ihr Authenticator verbessert habt.

MfG,
Chíno
Mich würde mal interessieren WANN genau diese Änderung implementiert wurde.

Ich war von Freitag bis einschließlich heute Abend definitiv NICHT in WoW online und beim Einloggen vorhin, bekam ich KEINE Code-Abfrage des Authenticators.

Also entweder das wurde schon viel früher gemacht als hier gepostet wurde, oder aber das System muss fehlerhaft sein, wenn ich mich nach 3 Tagen ohne Code einloggen kann.

Wenn man so ein System macht, dann sollte man es doch so machen das man mindestens 1x am Tag, beim 1. Einloggen, den Code eingeben MUSS.

Sorry aber da habe ich jetzt NULL Verständnis für diese Änderung. Blizzard selber sagt wir sollen unsere Accounts schützen, man kauft sich innerhalb 1 Jahres 2 von den Authenticatoren weil der erste nach knapp 1 Jahr den Geist aufgegeben hat, und dann kommt sowas.

Wie viele schon geschrieben haben, möchte auch ich eine Möglichkeit haben selbst zu entscheiden ob ich das System so haben möchte, oder ob ich mir die "Mühe" mache den Code jedesmal eingeben zu müssen.

*edit*
sorry grad erst gelesen das der ursprünglich Bluepost vor 4 Tagen verfasst wurde.
Ändert aber nichts an meiner Meinung dazu!
Ich verstehe auch wirklich nicht warum man sich so Sachen ausdenkt die nicht notwendig sind, viel besser wäre es mal die eigendlichen Fehler zu beheben und beim umloggen z.b. die Verbindungsabbrüche zu fixen..Es gibt wirklich noch zahlreiche Bugs, fehlende Items beim einloggen die nicht angezeigt werden...e.t.c...

Das wäre mal ne sinvolle Aufgabe


/sign

Ich habe heute mal mit meiner Mutter getestet wie es sich verhält, wenn ich mich von meinem PC aus mit ihren Daten und dem Authenticator Code einlogge (wir wohnen nicht zusammen) !TADA! konnte mich einloggen wann ich wollte.. auch jetzt noch.. DAS kanns nicht sein! (erst wenn sie sich wieder bei sich eingeloggt hätte, wärs das für mich gewesen, aber dennoch..)

Ich finde es frech, dass man nicht mal vorher gefragt wurde, und dass es keine Option gibt, um selbst entscheiden zu können, wie meine Vorredner schon schrieben.

Macht den Blödsinn rückgängig, ich habe mir den Authenticator nicht umsonst gekauft!

Gruß Lili
Wir machen die Abfrage oder eben die Nicht-Abfrage von mehr Kriterien abhängig als nur der IP Adresse, damit auch weiterhin die Sicherheit eures Accounts gewährleistet ist.

Welche weiteren Kriterien dies jedoch sind, kann ich euch leider aus Sicherheitsgründen nicht mitteilen. Bitte entschuldigt dies.

In solchen Fällen muss ich immer aus einer bekannten deutschen IT-Zeitschrift, deren Name aus zwei Buchstaben und einem Apostroph besteht, zitieren, die mal wahrheitsgemäß formuliert hat: Eine Maßnahme zur Sicherung von IT-Systemen ist nur dann maximal sicher, wenn sie sich trotz umfassender Kenntnis der Sicherungsmethoden nicht aushebeln lässt.

Wenn also jemand "aus Sicherheitsgründen" nicht verraten will, wie eine Maßnahme die Einhaltung der Sicherheit gewährleisten soll, bedeutet das im Umkehrschluss, dass die Maßnahme schon vom Anbieter als "nicht sicher" angesehen werden muss. Denn wenn ein Sicherungsmechanismus darauf basiert, dass Teile von ihm geheim bleiben müssen, reicht nur ein einziges Informationsleck um die Sicherheit als ganzes zu kompromittieren.

Oder einfach mal im Klartext meine Meinung: Wie auch immer euer neues System funktioniert, ich bin nicht davon überzeugt, dass mein Account weiterhin die gleiche Sicherheit vor Hackern (oder vor Familien- oder WG-Mitgliedern) genießt wie zuvor und unterstütze voll und ganz die Forderung, dieses neue "Feature" über die Accountverwaltung optional ein- oder ausschalten zu können.

Danke.
... erhalte den blanko-Anmeldescreen https://eu.battle.net/login/de/login.xml mit dem Vermerkt, ich hätte mich heute schon zu häufig angemeldet, Fehlercode: "Anzahl der erlaubten Versuche überschritten. (403)"

*smile*

Ich glaub ich muss dir da mal was erklären. Die "403" ist eine definierte Fehlernummer, die für die Kommunikation deines Internet-Browsers mit dem Webserver vorgesehen ist. Es gibt noch ein paar andere, aber in diesem Fall deutet der Fehler darauf hin, dass der Webserver das Abrufen der Daten, die dein Browser zur Darstellung einer Seite benötigt, blockiert hat, weil der Browser die "Anzahl der erlaubten Versuche, mit dem Webserver Kontakt aufzunehmen, überschritten" hat.

Das hat nichts - aber auch gar nichts! - mit deiner "Anzahl der Loginversuche" zu tun.

Zudem ist dieser Fehler nicht unbedingt auf fehlerhafte Bedienung durch den Benutzer zurückzuführen, sondern hängt vor allem von Faktoren ab, die die Internetverbindung, das Routing zwischen deinem PC und dem Webserver oder der Auslastung des Servers insbesondere durch weitere Benutzer betreffen.
Solang nicht offengelegt ist *wie* genau der "intelligente" Mechanismus funktioniert kann das System nur als unsicher angesehen werden.

Ernsthaft: Security by Obscurity funktioniert nicht, hat noch nie funktioniert, kann nicht funktionieren.

Das Kerckhoffs’sche Prinzip wurde ja auch erst im 19ten Jahrhundert formuliert und seitdem sehr sehr häufig auch in der Praxis bestätigt, daher ist es vllt. verzeihbar dass gut 130 Jahre danach IMMER noch irgendwelche Heinis meinen dass das nicht stimmt :).

Was mich hier aber eigentlich im Gesamtbild deutlich besorgter macht: Ich gehe etwas davon aus, dass eine Änderung an einem Sicherheitskonzept im Umfeld WoW jemand abgenickt hat der bei euch den Hut auf hat im Umfeld "IT Security". Wenn so jemand Security by Obscurity Konzepte durchwinkt macht mich das nicht gerade besonders beruhigt bzgl. der allgemeinen Sicherheit rund ums battle.net.

Aber was solls, nachdem bereits durch offensichtliche Unfähigkeit beim Anbieter (wenn man die Details die bekannt geworden sind genauer beleuchtet kommt man nur zu dem Resultat) eh schon mehrfach Datensätze von mir in anderer Leute Hände gefallen sind (im MMO Umfeld betrafen mich bereits die Angriffe auf SOE und Codemasters) hab ich eh schon überlegt meine kompletten Daten inkl. Bankverbindungen etc auf einer Webseite zu veröffentlichen. Wenn hier auch so Spezialexperten in Sachen IT Security Zugange sind (und danach sieht das hier vorgestellte Thema sehr stark aus) ists wohl nur eine Frage der Zeit bis man auch hier sackweise Kundendaten abgreifen wird.
21.06.2011 23:25Beitrag von Lilianda
Ich habe heute mal mit meiner Mutter getestet wie es sich verhält, wenn ich mich von meinem PC aus mit ihren Daten und dem Authenticator Code einlogge (wir wohnen nicht zusammen) !TADA! konnte mich einloggen wann ich wollte.. auch jetzt noch.. DAS kanns nicht sein! (erst wenn sie sich wieder bei sich eingeloggt hätte, wärs das für mich gewesen, aber dennoch..)


Was bedeutet, dass Jemand der dein Passwort kennt(!!!!) sich an einem PC an dem du angemeldet warst noch mal ohne Authenticator Code anmelden kann falls du dich nicht in der Zwischenzeit woanders eingeloggt hast.

Klar, wenn du Jedem dein Passwort gibst ist das natürlich sehr unsicher. ^_^
Ansonsten seh ich da nicht wirklich ein Problem. Höchstens eins mancher Leute hier mit Ihren "Freunden". :/
ich finde das neue System nicht gut wir sind hier 8 Personen im Haushalt davon 5 Kinder und wie Kinder nun mal so sind gucken sie auch zu beim Spielen und Spielen ab und an selber nun zum Problem bis jetzt konnte ich mein Rechner auch an stehen lassen und es konnte sich keiner einlogen weil ich den authi immer bei mir habe das ist nun anders mein Sohn kann es nun was ihn sehr freut mich natürlich nicht ich bitte doch darum es wieder zu ändern und keine spruche von wegen pw vor den benutzer das ist ein Pc für die Familie

Nimm an der Unterhaltung teil!

Zurück zum Forum