Heute Morgen erst wieder gelesen, dass jetzt auch noch vermehrt Dev-Accounts angegriffen/übernommen werden, nur um dann bei Steam ein mit Malware infiziertes neues Build (eines Spiels) einzustellen/zu pushen... wird ja immer spannender...
Kannst mal raushauen, WO du das gelesen hast? 
Heute Morgen erst wieder gelesen, dass jetzt auch noch vermehrt Dev-Accounts angegriffen/übernommen werden, nur um dann bei Steam ein mit Malware infiziertes neues Build (eines Spiels) einzustellen/zu pushen... wird ja immer spannender...
Das ist ein GANZ übles Szenario. Wo man als Nutzer gar nichts gegen tun kann. 
Meistens fliegen solche Hacks aber schnell auf. 
Steam prüft die Builds als Host ja auch vor Release auf deren Plattform, denke ich mal stark. 
Der Token ist übrigens kein Cookie, damit sind sogenannte JWT, JSON Web Token gemeint, ein gängiger Authentifizierungsmechanismus zwischen Javascript Frontends (auch gerne als SPA/PWA ausgelegt) und dem Backend, um eben mit der API zu interagieren.
Ein solcher User JWT hat mehr Rechte als ein JWT für zB einen Bot, man kann damit alles was der Nutzer kann, denn man ist eben DIESER Nutzer.
Aber das wird hier schon wieder zu viel.... Also lasse ich es lieber
.
Falls doch jemand es noch mehr ausgeführt mag, warum MFA nicht gleich MFA ist und das größte Sicherheitsrisiko, den layer 8, eben auch kein MFA entgegenwirkt, darf es ruhig sagen.
Super spannendes und wichtiges Thema. Definitiv einen Extra-Thread wert.
Interessante Seite mit Input dazu gefunden
Zitat:
"A JWT can be viewed but not manipulated on the client side. You can take your token to jwt.io, choose the algorithm you used to sign, and see the data. You just can’t tamper with it because it’s issued on the server.
The lifespan of a JWT should be kept short to limit the risk caused by a leaked toke."
Fazit: Der Serveradministrator ist für die Dauer des Tokens und Sicherheit des Nutzers, bezogen auf den Token, verantwortlich. 
und wenn dann dort das selbe Passwort verwendet wird (kommt auch häufiger vor als man denkt, selbst bei digital natives, Leidwesen hier zugeben: gerade bei denen ist das extremst häufig).
Heißt: Mail Account geknackt, bäm hast du alles.
Das schrub ich ja da bereits. Der einfachste Grund, seinen Acc zu verlieren und eben selbst geschuldet. 
Serverhack ist aber auch ein wichtiges Thema, über das zu wenig bekannt ist und gesprochen wird.
Auf "Gutefrage.net" hat tatsächlich jemand eine gute Antwort dazu gepostet.
Deshalb gilt weiterhin, Skriptblocker nutzen, keine Banner anklicken, usw. Was so ein Token (Cookie) alles machen kann, ist enorm. 
Nutze den zweiten GitHub-Link.
Will ich nicht. Wieso ist so ein Zerstörungstool top gelistet??? Verstehe ich nicht.
Keine dieser Arten ist zu 100% sicher. Bestes Beispiel EA 2 Wege Auth wurde mehrfach geknackt von Hackern und Spiele Accounts leergeräumt.
Was nicht heisst das es nichts bringt. Es beruhigt auf die eine Art und macht es Angreifern schon mal etwas schwerer.
Richtig. Komplette Sicherheit gibbet nie. ABER, angeblich soll 2FA (oder mehr) super sicher sein, ABER man ist immer noch von der Sicherheitsstruktur der Plattform abhängig. Wenn die angreifbar ist, dann ist 2 oder 3FA nutzlos.
Ich wurde vor einiger Zeit selbst Opfer wurde (nicht auf Steam bezogen): Token-Grabber. Wenn Token gegrabbt werden, dann hilft auch kein Multi-Factor-Authentisierung.
Wie geht das? Ich googlete mal eben Token-Grabber und 1. Google-Treffer ist ein kostenloses Githhub Discord Token-Grab-Tool, dass den Server zerstören soll! 
WIE BITTTÄÄÄÄÄ!!! 
Mal Zeit für eine Tasse Kaffee, diese kann nicht gehackt werden.
NOCH nicht.
Es gibt nur einen Worst-Case, wo man nichts machen kann und Steam verantwortlich wäre. Serverhack. Ist unwahrscheinlich, aber möglich. Gab ja vor nicht so langer Zeit eine Sicherheitslücke im Servercode, durch die Passwörter im Klartext angezeigt wurden. Ob Steam diese Lücke rechtzeitig geschlossen hat, weiß niemand.
Habe 2-Fach Schutz, habe sicheres Passwort, wechsle das Passwort des öfteren..
Ja, das kann man alles haben, aber wenn man die anderen Dinge (s.o.) missachtet, dann kann man relativ easy gehackt bzw. beklaut werden. 
Na ja, Reddit. Eine Angstplattform. Es gibt meistens einen plausiblen Grund, der aber nicht genannt wird. 
Z.B. Scam über Chat, download illegaler Software (Trojaner included), multiple Passwörter, Account-Sharing, mehrere Personen nutzen den Rechner, usw.
Mir ist KEIN echter Fall bekannt, wo ein Acc einfach so gehackt wurde.
PS: Wobei Scamming und Spoofing (auch "dank" KI) immer professioneller wird.
