Nö - Wenn das in den Steameinstellungen von Haus aus eingeschaltet war (und ich fürchte,das war es......).....
Auf DIESEM PC. Das ist aber ein FREMDER PC. Wie soll das so gehen?
Steam-Account gehackt, trotz 2FA
-
Venora Valyria Khoon -
20. Oktober 2024 um 07:55 -
Unerledigt
-
-
Alles anzeigen
...
per Kauf über meine Kontonummer
oder des letzten aktivierten Keys an !!!
...
das Prob ist, das me's letzter Einkauf, direkt bei Steam war, me hat es gerade überprüft !!!
...
Hast vielleicht nich die Mail, welche deinen Kauf da bestätigt hat? Bei Steam-Kauf sieht man ja keine Keys, so als Argument...
-
Auf DIESEM PC. Das ist aber ein FREMDER PC. Wie soll das so gehen?
z.B. mit einem Keylogger oder Ähnliches auf Ihrem/seinen PC.
-
Keylogger oder Ähnliches sind eigentlich old-fashioned, aber das ist möglich.
-
Heute nimmt man eher den weg des geringsten widerstandes:
Man klaut einfach den Token (auch Cookie gerne genannt).
Dann umgeht man solche Abfragen einfach direkt, ziemlich "einfach" wenn man sich mit aktuellen Sicherheitslücken auseinander setzt, oder eine kennt die noch nicht bekannt ist.
Gerade der CoinMiner Browser hängt oft hinterher was Sicherheitslücken angeht, wobei ich das für Intended halte.Ansonsten ja, Steam Authenticator verwenden, leider entzieht sich da ja Valve der allgemeinen Lösung bei TOTP, sonst könnte man das selbe wie für alle anderen Nutzen (Google Authenticator, MS Authenticator, Authy, Bitwarden, etc).
-
Die Frage, die sich mir da krass aufdrängt, ist die, warum diese verschissenen Millionen-$-Konzerne nicht ihre verschissenen Nutzerdaten selber sichern können?
Warum muss User XY 1000-Hoops in Kauf nehmen und sich etlichen Sicherheitschecks unterziehen, damit der Bums dann sicher ist? Ich versteh's nicht.
-
Was meinst du mit "Nutzerdaten selber sichern" und "1000-Hoops" und "Sicherheitschecks"?
-
Die Frage, die sich mir da krass aufdrängt, ist die, warum diese verschissenen Millionen-$-Konzerne nicht ihre verschissenen Nutzerdaten selber sichern können?
Warum "sichern" ? Bringe ja nixe Kohle - Verkaufe ist da eher der Weg.
-
Was meinst du mit "Nutzerdaten selber sichern" und "1000-Hoops" und "Sicherheitschecks"?
Was ist denn daran nicht zu verstehen?
Die Konzerne müssen gewährleisten, dass die Daten der Nutzer sicher sind. PUNKT.
Breaches werden ja oft erst durch die Presse bekannt.
Immer mehr Sicherheitsmaßnahmen kommen on-top. Erst heißt es, du musst haben Virenscanner, du musst haben megalanges, komplziertes PW, du musst PW oft wechseln, du musst TAN nutzen, du musst CHIP-TAN nutzen, du musst MTAN nutzen, du musst 2FA haben, du musst 3FA haben, du musst 4FA haben, usw., usf.
Gleichzeitig sollst du aber immer mehr Konten verknüpfen...
Nur, weil die Konzerne stinkefaul sind und die komplette Verantwortung auf den Kunden auslagern wollen.
-
...dem Einem wird der Account gehackt und diese Person versucht ihn nun wieder um (fast) jeden Preis zurückzubekommen...
...der Andere will seinen Account um (fast) jeden Preis loswerden.....
Ein Passus auch nicht ganz unwichtig,vielleicht ist so was Ähnliches passiert bei unsererem Venora Valyria Khoon
ZitatManche Händler bieten Ihnen an, sich auf Ihrem Account anzumelden und Ihnen als Teil des Handels Steam-Guthaben zukommen zu lassen. Auch wenn sie Ihren Account nicht stehlen, haben diese Betrüger, falls Sie Ihnen dies gestatten, Zugriff auf Ihren Account und können sich anschließend gegenüber dem Steam-Support als dessen Besitzer ausgeben. Ferner kann der Steam-Support später Informationen zu dieser Transaktion von Ihnen anfordern. Erlauben Sie niemandem sich auf Ihrem Account anzumelden, um etwas hinzuzufügen.
-
Da habe ich auch dran gedacht.
Ein paar wenige Händler bieten das an. Ist bequem aber mordsgefährlich.
-
Wie jetzt, da gibt jemand ernsthaft seine Credentials raus?
Ich kenne das z. B. nur von SEGA, dass man die berechtigt, dass sie DLCs im Account aktivieren dürfen. Dabei bekommen die aber keine Credentials zu Gesicht.
-
Alles anzeigen
Was ist denn daran nicht zu verstehen?
Die Konzerne müssen gewährleisten, dass die Daten der Nutzer sicher sind. PUNKT.
Breaches werden ja oft erst durch die Presse bekannt.
Immer mehr Sicherheitsmaßnahmen kommen on-top. Erst heißt es, du musst haben Virenscanner, du musst haben megalanges, komplziertes PW, du musst PW oft wechseln, du musst TAN nutzen, du musst CHIP-TAN nutzen, du musst MTAN nutzen, du musst 2FA haben, du musst 3FA haben, du musst 4FA haben, usw., usf.
Gleichzeitig sollst du aber immer mehr Konten verknüpfen...
Nur, weil die Konzerne stinkefaul sind und die komplette Verantwortung auf den Kunden auslagern wollen.
Sorry, aber wie willst du als Konzern Level 8 absichern? Die größte Sicherheitslücke ist und bleibt für ewig der Benutzer (Level 8).
Und wie man sieht sind auch 2FA Lösungen nicht umbedingt sicher, wenn Level 8 sich entscheidet auf Postkarten zu setzen (Email, SMS, WhatsApp), statt auf wirklich sichere Methoden (TOTP, Passkey, WebAuthN, U2F).Und jeder der sich wirklich mit Sicherheit auskennt, weiß das der Zwang zum Passwortwechsel dazu führt das Leute schwache Passwörter verwenden, sieht man bei uns zB im Betrieb, da wird das Standard-Passwort einfach um eine Zahl die alle 6 Monate um eins erhöht wird erweitert.
Wenn dir aber bekannt ist, wie man Layer 8 vor sich selbst schützt, gerne her damit. Ich würde es zumindest in mein CMS und in eine andere in Entwicklung befindlichen App sofort einbauen.
-
...dem Einem wird der Account gehackt und diese Person versucht ihn nun wieder um (fast) jeden Preis zurückzubekommen...
...der Andere will seinen Account um (fast) jeden Preis loswerden.....
Ein Passus auch nicht ganz unwichtig,vielleicht ist so was Ähnliches passiert bei unsererem Venora Valyria Khoon
ääähhh, nööö !!!
sowas hat me,
nie in Betracht bezogen !!!
Guthaben,
hat me bspw. bei MMO's,
immer direkt beim Publisher,
sowas von aufgeladen
bzw. ein Abo abgeschlossen !!!
und Gratis-Keys,
hat sich me auch immer nur,
bei Prime geholt oder sie waren,
bei Games-Magazinen dabei !!!
-
PoooMukkel
22. Oktober 2024 um 15:46 Hat den Titel des Themas von „Steam Account gehackt, trotz F2A“ zu „Steam-Account gehackt, trotz 2FA“ geändert. -
Syntafin hier geb ich Darklord schon Recht. Bei Sony gibt man sich unglaublich viel Mühe in jedes Spiel den PSN Zwang zu drücken. Und was hatten wir vor zig Jahren? Ein Account Leak biblischen Ausmaßes. In Klarnamen! Wessen Seite soll sich da absichern? Der Konzern der sich Millionen um Millionen in den Rachen schraubt, oder der User der in seiner Freizeit ein Spiel spielen will?
Selbst wenn der Account vom "Level 8" gehackt oder offen gelegt wird, sollte es doch wohl das mindeste sein, das Maximum an Fallback Sicherheit zu haben. Wie das genau aussieht ist nicht Aufgabe des Users. Da schließt sich der Kreis zu dem ewigen Vormarsch der digitalen "Güter". Es sollte eine einheitliche Funktion für Logins bzw Passwörter geben die jeder Anbieter unterstützten muss. Pass-Keys zb. Wenn er das nicht kann hat er nichts am Markt zu suchen. Viel mehr muss der User nicht können müssen. Meine Meinung. Es gibt genug Dreck um den man sich sonst noch kümmern muss. Aber doch nicht auch noch um die Eskapaden der Konzerne.
-
Syntafin hier geb ich Darklord schon Recht. Bei Sony gibt man sich unglaublich viel Mühe in jedes Spiel den PSN Zwang zu drücken. Und was hatten wir vor zig Jahren? Ein Account Leak biblischen Ausmaßes. In Klarnamen! Wessen Seite soll sich da absichern? Der Konzern der sich Millionen um Millionen in den Rachen schraubt, oder der User der in seiner Freizeit ein Spiel spielen will?
Da Darklord seine Aussage nicht konkretisiert hat, und in einem Thema wo jemand eine unsichere Methode verwendet hat, von "Konzerne müssen unsere Daten sichern!!!!111elf1!" geht man prinzipiell von Account-Sicherheit aus, nicht von Grundlagen des Datenschutz.
Das Sony wie viele andere Firmen auch vieles nur im Klartext speichern, ist ja nichts neues. Würde mich zB nicht wundern wenn auch Unternehmen mit Banken-Lizenz wie PayPal oder auch Amazon Zahlungsinformationen (Kreditkartennummer, SEPA Mandat, etc) im Klartext speichern.
-
Das Sony wie viele andere Firmen auch vieles nur im Klartext speichern, ist ja nichts neues.
Und damit hat sich das Thema erledigt.
-
Mich würde jetzt schon sehr interessieren, wie das denn nun passiert ist. Da bekommt man ja Paranoia
Venora Valyria Khoon Hoffe, es läuft alles glatt und du bekommst den Account unbeschadet zurück
-
Da Darklord seine Aussage nicht konkretisiert hat, und in einem Thema wo jemand eine unsichere Methode verwendet hat, von "Konzerne müssen unsere Daten sichern!!!!111elf1!" geht man prinzipiell von Account-Sicherheit aus, nicht von Grundlagen des Datenschutz.
*HÜSTEL*
Sorry, aber wie willst du als Konzern Level 8 absichern? Die größte Sicherheitslücke ist und bleibt für ewig der Benutzer (Level 8).
Und wie man sieht sind auch 2FA Lösungen nicht umbedingt sicher, wenn Level 8 sich entscheidet auf Postkarten zu setzen (Email, SMS, WhatsApp), statt auf wirklich sichere Methoden (TOTP, Passkey, WebAuthN, U2F).Solche Methoden werden ja nicht oder kaum angeboten oder promotet. Kennt fast keine normale User-Sau. Stattdessen wird man zu Two-Fuck-All gezwungen.
Ist das logisch?
-
Solche Methoden werden ja nicht oder kaum angeboten oder promotet. Kennt fast keine normale User-Sau. Stattdessen wird man zu Two-Fuck-All gezwungen.
Ist das logisch?
Ganz ehrlich? Ich würd von Nutzern eine Strafe die jeden Tag sich verdoppelt verlangen, sobald Geld in dem Account im Spiel ist, es muss wehtun.
Wer sich dann entscheidet eine unsichere Methode zu nutzen, muss weiterhin Strafe zahlen, aber diese verzehnfacht sich pro Minute, damit es erst recht weh tut. Solche Menschen verursachen Support-Aufwand, Kosten und unnötige Probleme.
Es ist 2024, nicht 1971. Jedes Skript-Kiddie da draußen findet einen Bausatz da draußen für Schadsoftware, Suchmaschinen wie ChatGPT machen es noch einfacher und effektiver eine echt aussehende Fake-Login Seite von Bank X zu erstellen.
Ja es klingt rabiat und brutal was ich hier vorschlage, aber ohne finanzielle Konsequenzen lernen Menschen nun mal ungerne aus ihren Fehlern.
Denn gerne darfst du weiterhin mir erklären wie es zB Valve schaffen soll das du als Nutzer deinen Account korrekt sicherst, beziehungsweise wie sie verhindern sollen das Jeremy Jimmy Joshua Zimmerman sich mit ein wenig Trial & Error oder durch geklaute Cookies bei deinem Account einloggen kann.Denn irgendwo ist das Ende der Fahnenstange was man als Anbieter/Entwickler machen kann. Also ja bitte, noch penetranter werden mit 2FA. Viel penetranter, vielleicht sollte Valve und Co. auch das starten von Spielen verbieten, solange 2FA nicht richtig eingerichtet ist.
Und was es mit "Cookie-Diebstahl" auf sich hat, das erklärt euch Dr. Google oder zur Not auch eine Suchmaschine wie ChatGPT/Gemini, dann brauchts nämlich weder Passwort, noch 2FA. Man ist ja schließlich eingeloggt. (Ja diese Vorgehensweise kann man erschweren, aber wer hindert den 11 jährigen weiter oben im Text auch gleich eure IP-Adresse zu verwenden dafür?)