Steam-Account sicher? (Steam-Inventar-Diebstahl)

    Hat sich von euch schon mal jemand tiefer mit der 2FA von Steam beschäfigt?

    Eigentlich ging ich davon aus, dass die Steam-Guard-App sicher ist - wenn man das hier aber so liest, scheint es wohl doch "immer mal wieder" Account-Hacks bzw. Account-Übernahmen zu geben, bei denen das komplette Inventar unwiederbringlich gestohlen wird:

    Aus der Community csgo auf Reddit: Lost all my inventory
    Entdecke diesen Beitrag und mehr aus der Community csgo
    www.reddit.com

    Schon ein wenig beängstigend...

    Das ist eigentlich schon ziemlich krass. Hatte vor einigen Wochen auch mal einen Fall gepostet, da hatte auch jemand sein komplettes Inventar (im Wert von mehreren Tausendeuro) leergeräumt bekommen (trotz MFA). Valve hat das erfahrungsgemäß 0 interessiert.

    Na ja, Reddit. Eine Angstplattform. Es gibt meistens einen plausiblen Grund, der aber nicht genannt wird. :rolleyes:

    Z.B. Scam über Chat, download illegaler Software (Trojaner included), multiple Passwörter, Account-Sharing, mehrere Personen nutzen den Rechner, usw. :face_with_monocle:

    Mir ist KEIN echter Fall bekannt, wo ein Acc einfach so gehackt wurde. :nerd:

    PS: Wobei Scamming und Spoofing (auch "dank" KI) immer professioneller wird. :/

    Einmal editiert, zuletzt von Darklord (18. Oktober 2023 um 19:45)

    "Mir ist KEIN echter Fall bekannt, wo ein Acc einfach so gehackt wurde. :nerd:"

    Naja... mir kommt es manchmal so vor, - eben so wie es geschrieben steht...

    Habe 2-Fach Schutz, habe sicheres Passwort, wechsle das Passwort des öfteren..

    Es gibt nur einen Worst-Case, wo man nichts machen kann und Steam verantwortlich wäre. Serverhack. Ist unwahrscheinlich, aber möglich. Gab ja vor nicht so langer Zeit eine Sicherheitslücke im Servercode, durch die Passwörter im Klartext angezeigt wurden. Ob Steam diese Lücke rechtzeitig geschlossen hat, weiß niemand. X/

    Keine dieser Arten ist zu 100% sicher. Bestes Beispiel EA 2 Wege Auth wurde mehrfach geknackt von Hackern und Spiele Accounts leergeräumt.

    Was nicht heisst das es nichts bringt. Es beruhigt auf die eine Art und macht es Angreifern schon mal etwas schwerer.

    Zitat von Zyankali

    Ich wurde vor einiger Zeit selbst Opfer wurde (nicht auf Steam bezogen): Token-Grabber. Wenn Token gegrabbt werden, dann hilft auch kein Multi-Factor-Authentisierung.

    Wie geht das? Ich googlete mal eben Token-Grabber und 1. Google-Treffer ist ein kostenloses Githhub Discord Token-Grab-Tool, dass den Server zerstören soll! =O =O =O

    WIE BITTTÄÄÄÄÄ!!! ?(

    Zitat von LiquidBurn

    Keine dieser Arten ist zu 100% sicher. Bestes Beispiel EA 2 Wege Auth wurde mehrfach geknackt von Hackern und Spiele Accounts leergeräumt.

    Was nicht heisst das es nichts bringt. Es beruhigt auf die eine Art und macht es Angreifern schon mal etwas schwerer.

    Richtig. Komplette Sicherheit gibbet nie. ABER, angeblich soll 2FA (oder mehr) super sicher sein, ABER man ist immer noch von der Sicherheitsstruktur der Plattform abhängig. Wenn die angreifbar ist, dann ist 2 oder 3FA nutzlos. :crying_face:

    Auf "Gutefrage.net" hat tatsächlich jemand eine gute Antwort dazu gepostet.

    Token grabber auf Discord?
    Schützen kannst du dich nicht, 2FA bringt rein gar nichts. Nicht auf Links klicken wäre das einzige was du aktiv gegen machen kannst.
    www.gutefrage.net

    Deshalb gilt weiterhin, Skriptblocker nutzen, keine Banner anklicken, usw. Was so ein Token (Cookie) alles machen kann, ist enorm. 8|

    Man muss Mal anmerken, das MFA (Multifactor Authentication) nicht zwangsläufig mehr Sicherheit bringt, da kommt es auch ganz auf die Implementierung an.

    Am unsichersten sind zB TOTP (Timebased OneTime Password) über SMS und E-Mail, leider eine sehr häufige Variante und auch eine von zB Steam angebotene Variante beim Steam Guard, warum das unsicher ist? SMS hoffentlich jedem klar, bei Emails das Problem eben das diese oftmals auch heute noch nicht Transportverschlüsselt sind, beziehungsweise gerade bei united internet als Anbieter oftmals mit der Sicherheit (Sprichwort MFA, etc) auch nicht so ist und wenn dann dort das selbe Passwort verwendet wird (kommt auch häufiger vor als man denkt, selbst bei digital natives, Leidwesen hier zugeben: gerade bei denen ist das extremst häufig).

    Heißt: Mail Account geknackt, bäm hast du alles.


    Was diese Token Grabber angeht, diese müssen lokal ausgeführt werden oder innerhalb der Anwendung. Bei den lokalen Apps, ist es oft so das ja Electrum verwendet wird, es ist also im Grunde die normale WebApp, nur mit Chromium dazu gepackt.

    Der Token ist übrigens kein Cookie, damit sind sogenannte JWT, JSON Web Token gemeint, ein gängiger Authentifizierungsmechanismus zwischen Javascript Frontends (auch gerne als SPA/PWA ausgelegt) und dem Backend, um eben mit der API zu interagieren.

    Ein solcher User JWT hat mehr Rechte als ein JWT für zB einen Bot, man kann damit alles was der Nutzer kann, denn man ist eben DIESER Nutzer.

    Aber das wird hier schon wieder zu viel.... Also lasse ich es lieber :) .

    Falls doch jemand es noch mehr ausgeführt mag, warum MFA nicht gleich MFA ist und das größte Sicherheitsrisiko, den layer 8, eben auch kein MFA entgegenwirkt, darf es ruhig sagen.

    Zitat von Syntafin

    und wenn dann dort das selbe Passwort verwendet wird (kommt auch häufiger vor als man denkt, selbst bei digital natives, Leidwesen hier zugeben: gerade bei denen ist das extremst häufig).

    Heißt: Mail Account geknackt, bäm hast du alles.

    Das schrub ich ja da bereits. :) Der einfachste Grund, seinen Acc zu verlieren und eben selbst geschuldet. X/

    Serverhack ist aber auch ein wichtiges Thema, über das zu wenig bekannt ist und gesprochen wird. :face_with_monocle: