Steam-Account gehackt, trotz 2FA

Guten Morgen Gast. Schön, dass Du hereinschaust! Einen angenehmen Aufenthalt wünscht das CompiWare-Team.
  • Also volle Verantwortung beim Nutzer. Konzerne können machen, was sie wollen. Tolle Einstellung.X/

    Wie Christiian Lindner's Motto auf alten Plakaten. "Digital first - Bedenken second".:rolleyes:

    Und wie bereits gesagt, andere, bessere Methoden werden so gut wie gar nicht von außen unterstützt und gefördert.:(

    Otto-Normal-User weiß das einfach nicht, dem wird suggeriert, "alles ist sicher". Ist doch :shit:

  • Ja, ich finde diese Einstellung auch Käse.
    Datensicherheit geht alle an. Aber der Fisch stinkt vom Kopf her. Das heißt die Anbieter der Plattformen sind in der Pflicht dafür Sorge zu tragen den Enduser so wenig wie möglich Arbeit aufzuhalsen und das Maximum an Sicherheit zu gewährleisten. Nicht jeder ist in der Materie oder will es sein. Funktionieren muss es. Mir kann keiner erzählen es gäbe nichts, wo er nicht "simpler Anwender" ist. Ich hab vom Brückenbau auch keine Ahnung. Möchte mich aber darauf verlassen können das sie nicht einbricht wenn ich sie nutze. Eigentlich eine einwandfreie Metapher zum Thema.
    Oder muss es unter Strafe gestellt werden, mit dem bloßen Auge nicht zu erkennen wie es um die Statik der Brücke steht? Syntafin

  • Der Endnutzer ist aber leider auch das schwächste Glied in der Kette :rolleyes: als ich ne Zeitlang nicht den Steam Guard am Laufen hatte, kamen da auch entsprechende Hinweise auf Steam...

    Zum Thema "warum werden Steam Accounts geknackt": Manche machen das einfach aus Spaß (learning by doing). Die Tools und Anleitungen bekommt man eigentlich auch ganz einfach in entsprechenden Foren (afaik). Das sind dann sogenannte Script Kiddies. Einfach weil sie es können und gerne Leute trollen... und eventuell bisschen schnelle Kohle damit machen können?

  • Mein Steam Account wurde auch gekapert. Vor Äonen. Auch der von meiner Freundin. Zu der Zeit hatte ich mir auch die Frage gestellt wieso man gerade meinen Account gekapert hatte. Eine eindeutige Antwort gibt es darauf nicht. Oft kam der Einwurf, dass es Account sind, die längere Zeit ungenutzt waren. Das würde vor allem bei dem Account meiner Freundin zutreffen. Seitdem nutze ich Steam Guard und hatte bisher nie wieder Probleme. :man_shrugging:

  • Also volle Verantwortung beim Nutzer. Konzerne können machen, was sie wollen. Tolle Einstellung. X/

    Erneut dir die Frage, wie soll "Konzern" sicherstellen das du keine scheiße baust? Denn du verlangst hier am laufenden Band, das Betreiber dir deinen Account vor deiner eigenen Dummheit absichern, die können dir nur die Möglichkeit bieten es abzusichern, machst du es nicht, geht es halt nicht. Deswegen meine Aussage mit es muss finanziell weh tun.

    Aber auch erneut die Aufforderung: Zeig mir wie man als Anbieter das machen soll. Das hast du bisher auch nicht gemacht.

  • Du klingst komisch, aggressiv und besserwisserisch.:shushing_face:

    Ein möglicher Lösungsansatz wäre etwas oldschool.:nerd:

    Man benötigt 2 Schlüssel. Ein digitaler für den Account auf Serverseite, der natürlich zusätzlich verschlüsselt sein muss und ein einzigartiger, analoger auf Nutzerseite. Also per Post.:/

    Könnte man z.B. mit dem AVS kombinieren, und sich so als Erwachsener legitimieren.:)

    Zum Einloggen muss man dann seinen analogen Schlüssel benutzen, der nur in Kombi mit dem Serverschlüssel funktioniert.:smirking_face:

    Klingt aber wieder sehr nervig und nicht besonders praktikabel.?(

    Aber für solche LÖSUNGEN sind IT-Fachleute ZUSTÄNDIG, die dafür BEZAHLT werden.:face_with_monocle:

    Genauso wie Konzerne für die Sicherheit der Kundendaten auch zuständig sind, da die Kunden (wir) die Geldgeier schließlich bezahlen.:money_mouth_face:

    Dafür kann man auch erwarten, dass die auch in IT-Sicherheit ordentlich investieren.:buba:

  • Ja, dass der Kunde das schwächste Glied ist, ist bekannt und das muss eine Firma mit einkalkulieren und ein System entwickeln, welches sowohl sicher als auch Idiotensicher ist. Dazu braucht es natürlich fähige Leute und Sicherheit kostet auch, viele Firmen sparen grade an solchen Stellen. Einfach so die Schuld auf die Kunden zu schieben, damit macht man sich das etwas leicht. :)

    Dann dürfen "einfache" Sicherheitsvorkehrungen gar nicht mehr angeboten werden. :)

    Einmal editiert, zuletzt von Badseb (23. Oktober 2024 um 12:43)

  • Du beschwerst dich über 2FA und forderst 2FA.... Gut damit ist alles klar.

    Ich fordere ein sicheres und halbwegs komfortables 2FA.:face_with_monocle:

    Meinetwegen auch MFA, aber es muss eben einfach zu händeln und sicher sein. Sodass auch der letzte Opi damit klarkommt.:)

    Nettes Bsp. finde ich Chip-TAN. Viele Banken drängen Nutzer zu MTAN, dabei ist das unsicherer, aber weniger Kosten für Banken.:rolleyes:


    Dann dürfen "einfache" Sicherheitsvorkehrungen gar nicht mehr angeboten werden. :)

    Ganz genau. Wie schon mehrfach gesagt.:rolleyes: Wenn die Anbieter das noch anbieten, dann darf der Kunde davon ausgehen, dass es sicher ist.:nerd:

    Meine Güte, wie lange ITAN angeboten wurde, obwohl es komplett unsicher war.:woozy_face:

    Einmal editiert, zuletzt von Darklord (23. Oktober 2024 um 13:04) aus folgendem Grund: Ein Beitrag von Darklord mit diesem Beitrag zusammengefügt.

  • Ich fordere ein sicheres und halbwegs komfortables 2FA. :face_with_monocle:

    Meinetwegen auch MFA, aber es muss eben einfach zu händeln und sicher sein. Sodass auch der letzte Opi damit klarkommt. :)

    Was du suchst nennt sich U2F oder eben Passkeys, das bieten immer mehr an. Passkeys werden uA von Android und Windows nativ unterstützt (letzteres in Form von Windows Hello).

    Für Linux gibt es auch einige Möglichkeiten (da muss man sich immer mal umschauen in seiner Distribution) und einige Passwort Manager wie zB Bitwarden bieten es ebenfalls an.

    U2F kennst du vielleicht auch unter dem Namen YubiKey.

    Ganz genau. Wie schon mehrfach gesagt. :rolleyes: Wenn die Anbieter das noch anbieten, dann darf der Kunde davon ausgehen, dass es sicher ist. :nerd:

    Meine Güte, wie lange ITAN angeboten wurde, obwohl es komplett unsicher war. :woozy_face:

    Das stimmt natürlich, das Anbieter da eine Mitschuld tragen wenn man es anbietet.

    Aber man sieht ja auch leider wie schwer es Menschen fällt einfach das zu tun was auf dem Bildschirm steht, denn dann wären sie auch mehr ja dazu geneigt bei fehlen dieser unsicheren Optionen direkt auf TOTP, Passkeys oder U2F als 2FA (manche nennen es auch MFA übrigens [Multi Factor Authentication]) zu setzen. Da gehen halt viele Anbieter den weg des geringsten widerstandes, unsichere Methoden anbieten in der Hoffnung das zumindest diese verwendet werden.


    Auf der anderen Seite muss man aber auch sehen das in 80% der Fälle wo Konten trotz aktiver 2FA übernommen werden, es sich nicht um ausnutzen solcher Unzulänglichkeiten handelt, sondern schlicht Sicherheitslücken in dem Anwendungen oder über Sicherheitslücken im Browser die Zugänge erbeuteten werden, in den wenigsten Fällen sind die Opfer dieser Attacken gezielt ausgesucht, sondern schlicht zufällig mit dabei.

    Gerade Attacken auf Browser mit modifizierten Headern um Cookies anderer Seiten auszulesen sind heutzutage eine gängige Methode und Anleitungen gibt es dazu zu genüge bzw. Suchmaschinen geben dir mit ein wenig probieren das direkt fertig raus.

    Im Normalfall sollte zB beim Aufruf von compiware-forum.de dies auch nur die dieser Domain zugeordneten Cookies laden, mit etwas bösartigen Willen, bringt man aber den Browser dazu zB auch den Cookie von steamcommunity.com zu übertragen.

    (Ich hab beide Seiten nur als Beispiel genommen)

  • Update:

    iMo herrscht grad Eiszeit,

    zwischen dem Steam-Support und me,

    was die Kommunikation angeht !!!


    letzter Stand:

    geforderte Nachweise wurden von me erbracht,

    es würde geprüft werden und seitdem,

    ist irgendwie Funkstille seitens des Steam-Supprt !!!


    :/=O?(:crying_face::vampir::vampir2::fledermaus::fledermaus2::sarg:

  • Update


    Krass, krass. Da hast du echt Ärger. Wäre eine Katastrophe für mich!!!

    Ich wäre letztens beinahe über das Ohr gehauen worden. Einer meiner Freunde schrieb plötzlich, ich solle ein Bild von ihm bewerten. Plötzlich schrieb er dann: "Nicht antworten!" Ich war schon drauf und dran. Am Ende kam heraus, dass er auf einer fingierten Steam-Webseite seine Accountdaten eingegeben hat, dann sein Account übernommen wurde, um damit seine Freunde zu fischen.

    Ist dir vielleicht ähnliches passiert?


    Ich drück die Daumen, dass Steam sich bald meldet.