http://diablo3.ingame.de/520113/diablo-3-warnung-vor-accountdiebstahlen/

Ist im großen Thread glaub ich untergegangen.

e: sry schreibe vom smartphone, irgendwie ist das kein link geworden

http://diablo3.ingame.de/520113/diablo-3-warnung-vor-accountdiebstahlen/

Ist im großen Thread glaub ich untergegangen.
Einzigartig. Wenigstens scheint der authenticator etwas Schutz zu bieten.

Einzigartig. Wenigstens scheint der authenticator etwas Schutz zu bieten.

Wohl eher nicht...

http://www.computerbase.de/news/2012-05/hijacking-unbekannte-pluendern-diablo-3-accounts/

Na toll. Wird immer besser.
Hier jemand betroffen?

Na toll. Wird immer besser.
Hier jemand betroffen?

werd ich sehen wenn ich nach hause komme.
ausser du sagst mir,dass ich just in diesem moment online bin.dann hat sich das erledigt. :ugly:

Bisher wurde nicht bestätigt, dass es sich um eine Lücke bei Blizzard handelt. Es liegt die Vermutung nahe, dass hier auf klassische Art und Weise gehackt wurde, sprich Trojaner o.ä. inkl. Auslesen des Passworts/Authenticator-Codes. Dass hierbei der Authenticator wenig Schutz bieten kann, sollte klar sein.

Dass hierbei der Authenticator wenig Schutz bieten kann, sollte klar sein.
Gerade da bietet der Authenticator eben Schutz. Diablo 3 würde nämlich sofort einen neuen Token anfordern da sich die IP Adresse anders ist.

Auch der "Trick" mit der Session-ID funktioniert nicht. Da zwar die Session ID gleich ist, aber trotzdem eine andere IP Adresse versucht auf den Account zuzugreifen (=> neuer Token wird beim Einloggen abgefragt)

Es handelt sich also definitiv nur um Accounts die den Authenticator nicht nutzen...

Viper;9309984']Gerade da bietet der Authenticator eben Schutz. Diablo 3 würde nämlich sofort einen neuen Token anfordern da sich die IP Adresse anders ist.

Auch, wenn der Benutzer sowieso grad einen neuen Authenticator-Code eingeben muss und dieser abgefangen wird (durch Keylogger/Proxy/Trojaner/Whatever)?

Das Problem bei dem "Session ID Hack" liegt wohl darin, das der eigentlich Datentransfer nicht mehr über die auth Server geht.
Wenn jemand also die ID klaut im laufenden Spiel, dann wird nicht mehr geprüft ob die ID auch zum passenden ACC gehört.
Wenn es diesen Hack denn wirklich gibt.

Laut Blizz waren alle gemeldeten Hacks "klassischer" Natur

Quelle: http://eu.battle.net/d3/de/forum/topic/4210122893?page=12#237

Auch, wenn der Benutzer sowieso grad einen neuen Authenticator-Code eingeben muss und dieser abgefangen wird (durch Keylogger/Proxy/Trojaner/Whatever)?
Wenn es so ähnlich funktioniert wie bei VPN (was ich vermute), dann ist dieser Code immer nur 1x gültig. Ist er einmal genutzt, dann ist er sozusagen "entwertet" und kann nicht mit einer anderen IP Adresse genutzt werden.

Das Problem bei dem "Session ID Hack" liegt wohl darin, das der eigentlich Datentransfer nicht mehr über die auth Server geht.
Wenn jemand also die ID klaut im laufenden Spiel, dann wird nicht mehr geprüft ob die ID auch zum passenden ACC gehört.
Wenn es diesen Hack denn wirklich gibt.

Laut Blizz waren alle gemeldeten Hacks "klassischer" Natur

Quelle: http://eu.battle.net/d3/de/forum/topic/4210122893?page=12#237
Schon nicht falsch - aber um die Session-ID zu nutzen musst du ja trotzdem wieder an den Loginservern vorbei. Es ist ja nicht so, als startest du Diablo 3 und bist direkt wieder im Spiel.. nein.. die Accountdaten werden vom Loginserver nochmals abgefragt und wenn sich dann die IP Adresse geändert hat (was ja in diesem Fall so ist), dann verlangt er definitiv wieder nach einem neuen Token.

Viper;9309995']Wenn es so ähnlich funktioniert wie bei VPN (was ich vermute), dann ist dieser Code immer nur 1x gültig. Ist er einmal genutzt, dann ist er sozusagen "entwertet" und kann nicht mit einer anderen IP Adresse genutzt werden.
Das ist mir klar, aber in dem Fall wird der Code ja gar nicht genutzt, sondern durch den Hacker abgefangen und dann selbst verwendet. Der Code wird ja nicht auf Basis der IP-Adresse erstellt.

Viper;9309995']Wenn es so ähnlich funktioniert wie bei VPN (was ich vermute), dann ist dieser Code immer nur 1x gültig. Ist er einmal genutzt, dann ist er sozusagen "entwertet" und kann nicht mit einer anderen IP Adresse genutzt werden.
Nicht wenn die Malware das Senden des Tokens an die B.net Server unterbindet. Dann hat der Angreifer ein kleines Zeitfenster wo er mit dem ausgespähten Token zuschlagen kann.

Das ist mir klar, aber in dem Fall wird der Code ja gar nicht genutzt, sondern durch den Hacker abgefangen und dann selbst verwendet.
Das kann dann aber nicht funktionieren bzw. hat nichts mit dem "Klau" zu tun der in Diablo 3 der Fall war.

Dort haben sich ja Leute beschwert, dass sie gehackt wurden nachdem sie ein öffentliches Spiel betreten haben. Damit ist der Token ja direkt ungültig geworden.

Im Prinzip müssten sie den Token klauen und entwerten noch während er Spieler diesen im Diablo 3 Loginfenster eingibt. Dann würde das gehen ja...
Die Diebe müssten also den Code in Echtzeit auslesen und schneller auf "ok" klicken damit der Token eher angenommen wird als der Spieler auf "ok" klickt.

Nicht wenn die Malware das Senden des Tokens an die B.net Server unterbindet. Dann hat der Angreifer ein kleines Zeitfenster wo er mit dem ausgespähten Token zuschlagen kann.
Aber auch dann ist Blizzard nicht das Problem (irgendwo ist auch Schluss mit "Sicherheit") sondern eben der Spieler selber, wenn sein System verseucht ist und nicht genug Grundschutz bietet.

Es gibt nun mal kein 100% sicheres System.

Viper;9310002']
Die Diebe müssten also den Code in Echtzeit auslesen und schneller auf "ok" klicken damit der Token eher angenommen wird als der Spieler auf "ok" klickt.
Nein, sie müssten nur dafür sorgen, dass das "echte" Login nie ankommt (z.B. durch einen Proxy).

Natürlich kann dafür Blizz nix, wenn das System des Users infiziert ist.

Der Token wird nicht durch das 'OK' entwertet, sondern nachdem die Zeit abgelaufen ist.

Viper;9309997']Schon nicht falsch - aber um die Session-ID zu nutzen musst du ja trotzdem wieder an den Loginservern vorbei. Es ist ja nicht so, als startest du Diablo 3 und bist direkt wieder im Spiel.. nein.. die Accountdaten werden vom Loginserver nochmals abgefragt und wenn sich dann die IP Adresse geändert hat (was ja in diesem Fall so ist), dann verlangt er definitiv wieder nach einem neuen Token.

Ich habe das so verstanden, das der engreifende deine Session ID übernimmt und nicht dein ACC. Ein Loginvorgang gibts es bei dem Hack nicht.
Du fliegst aus dem Spiel, deine Session läuft aber weiter, dein Char ist Online, auf einem anderen Bnet ACC, da dieser die Session ID übernommen hat.

Deshalb sind angeblich auch nur die Chars betroffen die man als letztes gespielt hat, weil ein Zugriff auf den ACC nicht möglich ist. Und auch ein Authenticator bringt in diesem Fall nichts.

Alles sehr ominös. Ich weiss nicht was ich davon halten soll. Ich vertrause da einfach Blizz, das die Hacks klassicher Natur waren/sind.

Nein, sie müssten nur dafür sorgen, dass das "echte" Login nie ankommt (z.B. durch einen Proxy).
Ja.. aber dann ist das nicht das Problem von Blizzard. Daraus Blizzard einen Stick drehen zu wollen ist ziemlich dreist.

Vor allem um das alles wirklich umzusetzen, bedarf es mehr als einem "Hinterwaldhacker"... da müssen schon richtige Profis ran.

Das das mit dem Authenticator super funktioniert, zeigen doch alle anderen MMOs. Seitdem es das dort gibt, gibt es sogut wie keine Accounts mehr die gehackt wurden. Es ist in fast allen Fällen auf Fehler der Spieler zurückzuführen - wenn es mal passiert.

Der Token wird nicht durch das 'OK' entwertet, sondern nachdem die Zeit abgelaufen ist.
Ok, dann müsste der Angreifer schon in Echtzeit dabei sein, weil der Code ja nur relativ kurz gültig ist (20/30 Sekunden?).

Ich habe das so verstanden, das der engreifende deine Session ID übernimmt und nicht dein ACC. Ein Loginvorgang gibts es bei dem Hack nicht.
Du fliegst aus dem Spiel, deine Session läuft aber weiter, dein Char ist Online, auf einem anderen Bnet ACC, da dieser die Session ID übernommen hat.
Das glaube ich beim besten Willen nicht. Accounts und Sessions-IDs sind stark miteinander verknüpft. Mit einem anderen Account die Charaktere bzw. einen Charakter eines anderen Bnet-Accounts nutzen? Ich glaube das ist unmöglich.

Desweiteren müssten die Hacker ja den ganzen Diablo 3 Client dafür umprogrammieren. Wie willst du sonst die Session ID "übernehmen"? Bist du einmal in Diablo 3 eingeloggt, kannst du nichts weiter machen als spielen. Es gibt keine Console...

Der Token wird nicht durch das 'OK' entwertet, sondern nachdem die Zeit abgelaufen ist.
Nein. Sobald du dich mit dem Token eingeloggt hast ist dieser entwertet. Definitiv. Der Token wird zwar auf dem Authenticator weiter angezeigt, aber ist trotzdem nicht mehr gültig. Das ist "Standard" bei jedem System was diese Art der Authentification nutzt. Alles andere wäre hochgradig unsicher.

Viper;9310013']Das glaube ich beim besten Willen nicht. Accounts und Sessions-IDs sind stark miteinander verknüpft. Mit einem anderen Account die Charaktere bzw. einen Charakter eines anderen Bnet-Accounts nutzen? Ich glaube das ist unmöglich.

Desweiteren müssten die Hacker ja den ganzen Diablo 3 Client dafür umprogrammieren. Wie willst du sonst die Session ID "übernehmen"? Bist du einmal in Diablo 3 eingeloggt, kannst du nichts weiter machen als spielen. Es gibt keine Console...

Ich kann es mir auch nicht vorstellen wie das funktionieren soll. So wird das Problem aber größtenteils beschrieben.
Naja mal abwarten, früher oder später wird es konkrete Infos geben

http://diablo3.gamona.de/2012/05/22/verdacht-account-hack-durch-bug-im-spiel/

hier stehts es nochmal

Ok, dann müsste der Angreifer schon in Echtzeit dabei sein, weil der Code ja nur relativ kurz gültig ist (20/30 Sekunden?).
Korrekt. Es sind 30 Sekunden. Soweit ich es testen konnte, überschneiden sich die Codes jeweils um ca. 5 Sekunden. Das bedeutet, dass der alte immer noch gültig ist, obwohl der neue schon angezeigt wird.

Habe das mal mit einem Tool unter Windows getestet. Zur Sicherheit in einer VM auf einem anderen PC.
http://www.abload.de/img/unbenanntr2k77.jpg

Viper;9310018']Nein. Sobald du dich mit dem Token eingeloggt hast ist dieser entwertet. Definitiv. Der Token wird zwar auf dem Authenticator weiter angezeigt, aber ist trotzdem nicht mehr gültig. Das ist "Standard" bei jedem System was diese Art der Authentification nutzt. Alles andere wäre hochgradig unsicher.
Ich habe mich aber schon einmal mit dem selben Token zwei Mal eingeloggt. Hmm ... :confused:
Dann checke ich das System nicht.

Man muss das aber auch in Relation sehen. Wenn man bedenkt wieviele Millionen Diablo 3 Spieler es jetzt Weltweit gibt und selbst wenn 100 Accounts oder 1000 Accounts gehackt wurden (wovon dann sicher ein Großteil davon keinen Authenticator hatten..), dann ist das immernoch verschwindend gering...

Das Accounts gehackt werden gab es immer und wird es immer geben. Der Frust dieser Spieler ist nachvollziehbar aber eben in den meisten Fällen selbst verschuldet.

Viper;9310013']Das glaube ich beim besten Willen nicht. Accounts und Sessions-IDs sind stark miteinander verknüpft. Mit einem anderen Account die Charaktere bzw. einen Charakter eines anderen Bnet-Accounts nutzen? Ich glaube das ist unmöglich.

Desweiteren müssten die Hacker ja den ganzen Diablo 3 Client dafür umprogrammieren. Wie willst du sonst die Session ID "übernehmen"? Bist du einmal in Diablo 3 eingeloggt, kannst du nichts weiter machen als spielen. Es gibt keine Console...
Indem man Man in the Middle spielt und die eigenen Datenpakete manipuliert. Ich stell mir das in etwa so vor. Der Angreifer ist mit dir im Game und von einen auf den anderen Moment fliegt man raus, und der Angreifer spielt fuer dich weiter. (Sein eigener Char steht still) dann raeumt er dich leer und swicht wieder zurueck. Das alles passiert in einem Spiel. Und warscheinlich ist deswegen auch nur ein Char betroffen.

Indem man Man in the Middle spielt und die eigenen Datenpakete manipuliert. Ich stell mir das in etwa so vor. Der Angreifer ist mit dir im Game und von einen auf den anderen Moment fliegt man raus, und der Angreifer spielt fuer dich weiter. (Sein eigener Char steht still) dann raeumt er dich leer und swicht wieder zurueck. Das alles passiert in einem Spiel. Und warscheinlich ist deswegen auch nur ein Char betroffen.
Aber dann müsste er ja

a) seinem Diablo 3 Client klarmachen, dass er nicht mehr seinen Char steuern muss
b) dem Blizzard Server klar machen, dass die Daten die von "ihm" kommen jetzt zu dem anderen (gehackten) Spieler gehören

Ähm... :ugly:

Wo (b) vielleicht noch realisierbar ist, wüsste ich nicht, wie man (a) realisieren sollte... Wie will man dem eigenen D3-Client klarmachen, dass dieser jetzt den anderen Spieler/Charakter steuern soll und nicht mehr den eigenen?
Das stelle ich mir unmöglich vor solange man den D3-Client nicht umprogrammiert...

Man muss den D3-Client nicht umprogrammieren. Der Client sendet ja Datenpakete raus, die könnte man durch eine Middleware manipulieren (sprich, z.B. die Session-ID ändern), bevor sie ins Internet gesendet werden (oder bevor sie wieder vom D3-Client empfangen werden).

Ich glaube nicht, dass das SO einfach ist Eco...
Wenn das der Fall wäre, dann hätten wir immernoch massig Accounthacks in allen möglichen MMOs....

Ich glaube es auch nicht, weil das eine massive (Konzept-)Lücke auf seiten der Blizzardserver wäre. Aber irgendwas ist ja im Busch.

Was mir auch im Bezug mit D3 aufgefallen ist: Ich musste den Authenticator-Code nicht bei jedem Login eintippen, sondern war direkt nach der Passwort-Eingabe eingeloggt.

Was mir auch im Bezug mit D3 aufgefallen ist: Ich musste den Authenticator-Code nicht bei jedem Login eintippen, sondern war direkt nach der Passwort-Eingabe eingeloggt.
Das soll so. Wenn deine HW-ID und deine IP gleich bleibt, dann fragt der Client nicht immer nach. Zumindest sollte das so laufen.

Das soll so. Wenn deine HW-ID und deine IP gleich bleibt, dann fragt der Client nicht immer nach. Zumindest sollte das so laufen.
Richtig. Solange sich deine IP nicht ändert, brauchst du den Token nur 1x am Anfang eingeben.

Viper;9310028']Man muss das aber auch in Relation sehen. Wenn man bedenkt wieviele Millionen Diablo 3 Spieler es jetzt Weltweit gibt und selbst wenn 100 Accounts oder 1000 Accounts gehackt wurden (wovon dann sicher ein Großteil davon keinen Authenticator hatten..), dann ist das immernoch verschwindend gering...

Das Accounts gehackt werden gab es immer und wird es immer geben. Der Frust dieser Spieler ist nachvollziehbar aber eben in den meisten Fällen selbst verschuldet.

es liegt nicht am authentificator und das mit der ip ist auch blöd, wenn sich der router eine neue holt.
du fliegst aus dem spiel und auf dem server lebt dein char weiter und DANN loggt sich der hacker über deine session id ein! Er spielt quasi nur deinen char weiter.

es liegt nicht am authentificator und das mit der ip ist auch blöd, wenn sich der router eine neue holt.
du fliegst aus dem spiel und auf dem server lebt dein char weiter und DANN loggt sich der hacker über deine session id ein! Er spielt quasi nur deinen char weiter.

Wenn es denn tatsächlich so ist. Und sollte es so sein, dann kann man als User ehh nichts mehr machen

Na toll. Wird immer besser.
Hier jemand betroffen?

Ja, ich :-(

Vor 4 Wochen Windows 7 frisch installiert.
Nur zwei Programme sind drauf BF3 und D3, und das übliche Malwarebytes Anti-Malware, Avira.
E-Mails werden nicht unter Windows 7 gelesen (OS X ist MainOS)
Gesurft wird auf dem Windows7 rechner auch nur auf bekannten Seiten wie 3dcenter.de gamestar.de etc.


Betroffen ist der zu letzt gespielte Char.

Dem zu letzt gespielten Char (lv38) fehlen alle Items und Gold.
Der andere Chars (lvl 54) mit weis aus besseren Items, besitzten alle seine Items.

Es ist sehr verdächtig, dass bei allen die gehackt wurden, nur der zu letzt gespielte Char betroffen ist.
Naja, abwarten, so lange kein Statement von Blizzard. Macht ein weiter spielen keinen Sinn.

Naja, abwarten, so lange kein Statement von Blizzard. Macht ein weiter spielen keinen Sinn.

Gibt es doch schon längst: alle gehackten sind selber Schuld.

http://eu.battle.net/d3/de/forum/topic/4309702733

Ich zitiere mal:

Obendrein möchte ich an dieser Stelle auch festhalten, dass wir die Meldungen über kompromittierte Accounts sehr ernst nehmen und ihnen sehr genau nachgehen. Allen Theorien zum Trotz konnten wir jedoch bisher keinen Vorfall bestätigen, in dem auf einen Account nicht auf die "traditionelle" Art und Weise zugegriffen wurde; sprich mit dem Passwort des betroffenen Nutzers.

Und selbst wenn dein System jetzt sauber ist, heißt es nicht, dass dies in der Vergangenheit der Fall war.

Anonsten:

1. Verwendung des identischen Passwortes an anderer Stelle im Web in Kombi mit deiner Mail Adresse.

2. Bist auf Phishing reingefallen.

Mein Beileid. Hast Du den Authenticator benutzt?

Viper;9310034']Aber dann müsste er ja

a) seinem Diablo 3 Client klarmachen, dass er nicht mehr seinen Char steuern muss
b) dem Blizzard Server klar machen, dass die Daten die von "ihm" kommen jetzt zu dem anderen (gehackten) Spieler gehören

Ähm... :ugly:

Wo (b) vielleicht noch realisierbar ist, wüsste ich nicht, wie man (a) realisieren sollte... Wie will man dem eigenen D3-Client klarmachen, dass dieser jetzt den anderen Spieler/Charakter steuern soll und nicht mehr den eigenen?
Das stelle ich mir unmöglich vor solange man den D3-Client nicht umprogrammiert...

Das ist implementierungs-abhaenig wenn der client so wie eine art x-server funtioniert, also eingaben gehen raus und der neue input geht rein, dann koennte das alleinige umswitchen der Identitaet (ueber die sessionID) vielleicht schon alleine ausreichen das der client umswitched.
b Muesste ziehmlich einfach zu schliessen sein, indem man eine SessionID an eine IPAdresse koppelt. Vielleicht handelte es sich hier um einen Bug.

1. Verwendung des identischen Passwortes an anderer Stelle im Web in Kombi mit deiner Mail Adresse.

2. Bist auf Phishing reingefallen.

In beiden Fällen sollte dann nicht nur ein Char betroffen sein, sondern der komplette Account leer sein (imo), da ein Vollzugriff möglich ist.

Aus irgendeinem Grund muss das Problem ja dann derart gelagert sein, dass nur der letzte aktive Char betroffen ist.

In beiden Fällen sollte dann nicht nur ein Char betroffen sein, sondern der komplette Account leer sein (imo), da ein Vollzugriff möglich ist.

Dir aber schon klar, dass das Gold sich alle Chars sharen und ebenso die Truhe? Die Items auf dem Char sind ja beim NPCs Verkauf nichts Wert und daneben läuft sowas eh über ein automatisiertes Tool. Ein Tool kann da auch nicht mal eben schnell entscheiden was "gut" ist und was nicht gut ist beim Gear. Mehr als einen Char braucht der Eindringling nicht.

Dazu ist so ein automatisiertes Tool simpler zu machen wenn es einfach den zuletzt eingeloggten Char nimmt welcher ja im Startmenü "Preselected" ist.

Daneben haben sich dort genügend Leute gemeldet die nie in MP Spiel gemacht haben und trotzdem eben ein leer geräumten Char hatten was eben gegen die These spricht.

Gibt es doch schon längst: alle gehackten sind selber Schuld.

http://eu.battle.net/d3/de/forum/topic/4309702733

Ich zitiere mal:
Und selbst wenn dein System jetzt sauber ist, heißt es nicht, dass dies in der Vergangenheit der Fall war.
Anonsten:
1. Verwendung des identischen Passwortes an anderer Stelle im Web in Kombi mit deiner Mail Adresse.

2. Bist auf Phishing reingefallen.

Der Battle.net Account wurde nach dem Kauf des spieles erstellt.
Zu 1. nein, ich verwende 1Password, das generiert mir immer neue Passwörter.
2. Ganz sicher nicht.



Mein Beileid. Hast Du den Authenticator benutzt?

Nein, habe ich nicht für nötig gehalten.

Dir aber schon klar, dass das Gold sich alle Chars sharen und ebenso die Truhe? Die Items auf dem Char sind ja beim NPCs Verkauf nichts Wert und daneben läuft sowas eh über ein automatisiertes Tool. Ein Tool kann da auch nicht mal eben schnell entscheiden was "gut" ist und was nicht gut ist beim Gear. Mehr als einen Char braucht der Eindringling nicht.

Dazu ist so ein automatisiertes Tool simpler zu machen wenn es einfach den zuletzt eingeloggten Char nimmt welcher ja im Startmenü "Preselected" ist.

Wenn das Gold aus dem Verkauf nichts wert ist, wieso hat er meinen stash leer geräumt, und alles aus dem Inventar verkauft? Selbst so nutzloses wie Pages of Blacksmith.
Ich denke schon alleine aus Neugierde was der LVL 54 Char hat, schaut man es sich an.

Wenn das Gold aus dem Verkauf nichts wert ist, wieso hat er meinen stash leer geräumt, und alles aus dem Inventar verkauft? Selbst so nutzloses wie Pages of Blacksmith.
Ich denke schon alleine aus Neugierde was der LVL 54 Char hat, schaut man es sich an.

Weil es eben automatisiert abläuft (deswegen wird auch alles verkauft) und es stumpf alles verkauft wenn er schon auf den Char eingeloggt ist (kostet ja kaum zusätzliche Zeit). Es ging mehr darum wieso die Eindringliche nicht die anderen Chars leer räumen.

Weil es eben automatisiert abläuft (deswegen wird auch alles verkauft) und es stumpf alles verkauft wenn er schon auf den Char eingeloggt ist (kostet ja kaum zusätzliche Zeit). Es ging mehr darum wieso die Eindringliche nicht die anderen Chars leer räumen.

Das sage ich doch damit.
Wenn Gold für die alles ist, räume ich auch die anderen Chars aus.
oder schaue mir die wenigstens mal an.

Wenn Gold für die alles ist, räume ich auch die anderen Chars aus.
oder schaue mir die wenigstens mal an.

Ach ja.....

1. Das Gold wird gesharet zwischen den Chars.

2. Auf den eingeloggten Char macht der Schnellverkauf noch eventuell sinn. Alles andere lohnt sich nicht. Selbst Inferno Gear bringt im Verkauf an NPCs....10.000 Gold? Bis das Tool den Char umgeloggt hat kann man schon den nächsten Account erleichtern. Für den Eindringlich zählt eben jede Sekunde.

3. Da "schaut" sich kein Mensch was an. Da laufen Makro Skripte und solche Sachen ab.

4. An dem Gerar haben die Eindringlinge vermutlich sowieso zur Zeit kein Interesse. Dies wird kommen sobald man per Memory Read schnell "gute" Items identifizieren kann usw.

Ach ja.....

1. Das Gold wird gesharet zwischen den Chars.

2. Auf den eingeloggten Char macht der Schnellverkauf noch eventuell sinn. Alles andere lohnt sich nicht. Selbst Inferno Gear bringt im Verkauf an NPCs....10.000 Gold? Bis das Tool den Char umgeloggt hat kann man schon den nächsten Account erleichtern. Für den Eindringlich zählt eben jede Sekunde.

3. Da "schaut" sich kein Mensch was an. Da laufen Makro Skripte und solche Sachen ab.

4. An dem Gerar haben die Eindringlinge vermutlich sowieso zur Zeit kein Interesse. Dies wird kommen sobald man per Memory Read schnell "gute" Items identifizieren kann usw.


Wie dem auch sein.
Wie erklärst du dir das ich gehackt wurde?

1. Frisches Windows mit NUR 2 Programmen.
2. Battlenet Account am 15.05.2012 erstellt.
3. Passwort hat 14 Stellen
4. Malwarebytes Anti-Malware, Spybot, Microsoft Security Essentials, Kaspersky und Nod32 habe nichts gefunden.

Hattest du ein offenes Spiel?
Auf jeden Fall hattest du keinen Authenticator. Mein WoW-Account wurde auch mal gehackt und ich konnte mir nicht erklären, wie sie das geschafft haben (gibt hier auch einen Thread). Von daher, es ist passiert ...

Wie erklärst du dir das ich gehackt wurde?


Verwendung von 1Passwort?

Unfug

Verwendung von 1Passwort?
Die 1Password Datenbank ist mit einem 23 Stelligen Password gesichert.
Standardmässig ist diese mit 256 Bit AES verschlüsselt.

Zu dem befindet sich auf meiner Mac Partion.
Wäre die Datei einsehbar, dann hätte ich ganz ganz andere Probleme.

Hattest du ein offenes Spiel?
Auf jeden Fall hattest du keinen Authenticator. Mein WoW-Account wurde auch mal gehackt und ich konnte mir nicht erklären, wie sie das geschafft haben (gibt hier auch einen Thread). Von daher, es ist passiert ...

Nein das Spiel war nicht offen.

Zu dem befindet sich auf meiner Mac Partion.
Wäre die Datei einsehbar, dann hätte ich ganz ganz andere Probleme.

Du hast ein virtualsiertes Windows laufen? Genau so gut kann dein MacOS kompromittiert sein.

Es geht nicht darum ob die Datei einsehbar ist sondern wie "robust" die generierten Passwörter von 1Password sind.

Du hast ein virtualsiertes Windows laufen? Genau so gut kann dein MacOS kompromittiert sein.

Es geht nicht darum ob die Datei einsehbar ist sondern wie "robust" die generierten Passwörter von 1Password sind.

Nein, ich schrieb doch, dass ich windows frisch installiert habe.
Das passwort sieht in etwa so aus Q\Hf;[xhei:RA:( . Ich sagt es ist unknackbar.

http://diablo3.ingame.de/520113/diablo-3-warnung-vor-accountdiebstahlen/

Ist im großen Thread glaub ich untergegangen.

e: sry schreibe vom smartphone, irgendwie ist das kein link geworden
Das ist das zweite dicke ding von Blizzard erst der Gold Hack Bug und nun dser Accountdiebstahl Bug.

Aber den Usern sagen der Online Zwang ist besser als ein Offline Spiel.

Man muss sich schon fragen was Blizzard bei der 10 Jährigen Endwicklung von Diablo 3 gemacht hat. Und wo das Qualitätsmanagement bei Blizzard ist. Oder gibt es bei Blizzard kein QM. Das ist doch heute in IT Bereich Standard.

Aber den Usern sagen der Online Zwang ist besser als ein Offline Spiel.

Der Onlinezwang kann keine solchen Hacks verhindern, dafür aber eventuell eine ganze Reihe anderer.

Und wo das Qualitätsmanagement bei Blizzard ist. Oder gibt es bei Blizzard kein QM. Das ist doch heute in IT Bereich Standard.
Es gibt kein 100% sicheres System.

Auch MS hat ein QM, trotzdem gibt es Sicherheitslücken in Windows. Du verwendest diesen Thread wieder zum sinnlosen Blizzard-Bashing obwohl du keinerlei Ahnung von der Materie hast.

Der Onlinezwang kann keine solchen Hacks verhindern, dafür aber eventuell eine ganze Reihe anderer.
Genau das hat aber Blizzard gesagt. Deshalb gibt es ja den Offline Modus nicht mehr.

Der Onlinezwang war imo primär als cheaterschutz vorgesehen, nicht als Hackerschutz

Blizzard weiss auch das der reine Onlinezwang nicht gegen Hacking hilft, dann gäbs ja auch beim Onlinebanking kein Risiko.

Wenn Blizzard das so gesagt hat, sollte sich ja ne Quelle finden lassen?

Genau das hat aber Blizzard gesagt. Deshalb gibt es ja den Offline Modus nicht mehr.
Genau, es gibt den onlinemodus, damit man offline nicht gehackt wird

ÄH WAS ;D

Genau das hat aber Blizzard gesagt.

Nein, haben sie nicht.. :rolleyes:

Nein, haben sie nicht.. :rolleyes:
Doch genau das haben Sie. Auch wenn du es nicht wahrhaben willst. Das war die Begründung für den Online Zwang denn rauswurf des SB Offline Modus und das der Netzwerk Lan Modus gekappt wurde.


Zum Thema ist der Accunt nun mit Authenticator sicher oder nicht? Hier in Thread bestehen dazu zwei unterschiedliche Meinungen.

Doch genau das haben Sie. Auch wenn du es nicht wahrhaben willst. Das war die Begründung für den Online Zwang denn rauswurf des SB Offline Modus und das der Netzwerk Lan Modus gekappt wurde.

Es sagen jetzt mehrere Leute, dass Du im Unrecht bist.
Bitte belege es mit einer sauberen Quelle oder sieh Deinen Irrtum ein, danke!

Zu Deiner Frage:

aths hat im Sammelthread gesagt, dass es wohl sicherer ist, ihn immer zu nutzen.
Warum sollte es auch unsicherer sein?

Die Option, ihn nur "unregelmäßig" zu nutzen halte ich aktuell imo für unnütz und unsicher

E

aths hat im Sammelthread gesagt, dass es wohl sicherer ist, ihn immer zu nutzen.
Warum sollte es auch unsicherer sein?

Die Option, ihn nur "unregelmäßig" zu nutzen halte ich aktuell imo für unnütz und unsicher
Er hier sagt das er nicht sicher ist.
http://www.forum-3dcenter.org/vbulletin/showpost.php?p=9309846&postcount=3

Er hier sagt das er nicht sicher ist.
http://www.forum-3dcenter.org/vbulletin/showpost.php?p=9309846&postcount=3

Es steht nur darin, dass mit dem Phishing der Authenticator umgangen wird (offenbar). Das ist nicht gleichbedeutend damit, dass er unsicher ist. Er ist in diesem Fall vielleicht unwirksam, aber nicht unsicher, weil er ansonsten ein Hackingrisiko erhöhen würde. Das tut er imo def. nicht. Insofern kann man ihn ruhig nutzen.

Es steht nur darin, dass mit dem Phishing der Authenticator umgangen wird (offenbar). Das ist nicht gleichbedeutend damit, dass er unsicher ist. Er ist in diesem Fall vielleicht unwirksam, aber nicht unsicher, weil er ansonsten ein Hackingrisiko erhöhen würde. Das tut er imo def. nicht. Insofern kann man ihn ruhig nutzen.
Das meinte ich nicht. Der Authenticator soll ja die Sicherheit erhöhen. Wenn er umgangen werden kann ist er nutzlos. Und das Sicherheitssystem von Blizzard hat mehr als nur ein Normales Problem.

Er ist nicht nutzlos. Er ist in diesem einen Fall nutzlos. Er ist kein Allheilmittel, welches eine Garantie verspricht. Ich denke wir brauchen nicht drüber zu diskutieren, dass er die Sicherheit grundsätzlich erhöht.
Warum Blizzard nun ein "unnormales" Sicherheitsproblem haben soll, versteh ich nicht. Da sind Millionen von Leuten aktiv und viele Begehrlichkeiten aus untersch. Gründen bestehen, an die Items der anderen zu kommen.
Ergo ist genug kriminelle Energie im Spiel, wie bspw. bei Banken/Onlinebanking auch. Dort gibt es die gleiche Art Betrug wie hier, aber haben die Banken deshalb ein Sicherheitsproblem?

In der Regel (Ausnahmen wie bspw. Sony ausgenommen) ist die Schwachstelle der Nutzer, nicht der Anbieter. Letzteres gilt es im aktuellen Fall noch nachzuweisen.
Aber das wirst Du ja wahrsch. anders sehen...

Not sure if Troll oder stupid.

Not sure if Troll oder stupid.

Ich enthalte mich mal hier. ;D

Da der Lord aber regelmäßig solche dünnen Bretter bohrt, ist die Frage aber eher unberechtigt :freak:

Ich enthalte mich mal hier. ;D

Da der Lord aber regelmäßig solche dünnen Bretter bohrt, ist die Frage aber eher unberechtigt :freak:
Lord Wotan hat sicherlich auch kein Schloss in seiner Haustüre, weil wenn er den Schlüssel unter der Fußmatte legt bringt das Schloss ja eh nix. Kostet nur Geld für keinerlei Sicherheit

Hier scheint jemand den Accunthacker gefunden zu haben.

http://eu.battle.net/d3/de/forum/topic/4210122893?page=13#247

Und hier geht es auch News zum Thema
http://winfuture.de/news,69815.html


AUSZUG
laut diversen Foren-Berichten soll aber vor allem eine Sicherheitslücke bei Blizzard für die Hack-Welle verantwortlich sein. Mit Hilfe eines Bugs soll es angeblich möglich sein, die Session ID einer aktuellen Diablo-3-Session auszulesen und den Account damit in weiterer Folge zu kapern.

Auszug ende



Und hier
http://winfuture.de/news,69802.html


Die entscheidende Frage und zugleich der mit Abstand am häufigsten geäußerte Kritikpunkt ist das Fehlen eines Offline-Modus. Diablo 3 ist eng an das Blizzard-Netzwerk Battle.net geknüpft, somit kann das Spiel nicht genutzt werden, wenn die Server mal nicht online sind. Ja, ein Offline-Modus wäre sicherlich wünschenswert gewesen.

Auszug ende.

Bitte Pille für Moralische Fanboys ;D
Eher Gehirn für Trollene Siths ;)

btw. was so alles laut Forenberichten wahr sein soll, naja.
Dann wurden auch schon die BlizzardServer zu wow Zeiten gehackt, tausendfach, weil NIE jemand selber schuld war, wenn sein Account mal weg war.
Kann sein, dass es eine Lücke gibt bei Blizzard, kann aber auch nicht sein. Beweisen kann man derzeit nicht viel.

Mittlerweile ist man Fanboy, weil man kritisch ist und nicht alles direkt glaubt, was Hinz und Kunz in Foren posten...

Mittlerweile ist man Fanboy, weil man kritisch ist und nicht alles direkt glaubt, was Hinz und Kunz in Foren posten...

Wer verteidigten hier andauernd Blizzard sein Vorgehen ohne es zu hinterfragen?

Nein, Fanboy wird man erst wenn man Kritiker beschimpfen anfaengt.

Nein, Fanboy wird man erst wenn man Kritiker beschimpfen anfaengt.
Genau. Ich als Kritiker der Praktiken von Blizzard wurde von Fanboys beschimpft. Gut erkannt.

Wie gesagt Blizzard arbeitet 10 Jahre an Diablo 3. Und bringt das Teil mit solchen Sicherheits Bugs raus. Das darf man scheinbar hier nicht hinterfragen. Weil sonst wird man gleich persönlich angemacht. Ein funktionierendes QM gibt es scheinbar auch nicht. Auch das darf man hier nicht Thematisieren, ohne das die üblichen Verdächtigen gleich persönlich werden.

AUSZUG
laut diversen Foren-Berichten soll aber vor allem eine Sicherheitslücke bei Blizzard für die Hack-Welle verantwortlich sein. Mit Hilfe eines Bugs soll es angeblich möglich sein, die Session ID einer aktuellen Diablo-3-Session auszulesen und den Account damit in weiterer Folge zu kapern.

Auszug ende

Von der Lücke berichten viele, einzig Blizzard bestreitet das vehement. :D
Man, ich wette, bei Blizzard ist man jetzt dermaßen am rotieren, dass die Bude wackelt. Da wird sicher auch dem ein oder anderen Mitarbeiter auf die Finger geklopft. Nach so ner langen Beta-Phase müsste so ne grobe Lücke eigentlich nach 5 Minuten auffallen. Wie konnten die das nur übersehen?

Wie dem auch sei. Ich hab meinen Authenticator nun so eingestellt, dass immer abgefragt wird, nicht wie vorher 1x am Tag. Sicher keine Lösung für das derzeitige Problem aber ich hoffe, die Hacker suchen den einfachen Weg und nehmen ehr Opfer ohne so nen Dongle. Hab eh noch keinen Level 60 Chara oder irgend welche wertvolle Ausrüstung. Gold ist bei mir auch immer knapp.

Nein, Fanboy wird man erst wenn man Kritiker beschimpfen anfaengt.

Weder hab ich wen beschimpft, noch habe ich Blizzard ausserordentlich in Schutz genommen. Ich habe lediglich LWs pauschale Keule mal etwas relativiert

Weder hab ich wen beschimpft, noch habe ich Blizzard ausserordentlich in Schutz genommen. Ich habe lediglich LWs pauschale Keule mal etwas relativiert
Entschuldige ich poste nur was auch schon in anderen Foren offiziell steht. Was ist daran bitte eine Keule? Oder willst du behaupten das ich Autor und Besitzer dieser Foren bin?

Was mir auch im Bezug mit D3 aufgefallen ist: Ich musste den Authenticator-Code nicht bei jedem Login eintippen, sondern war direkt nach der Passwort-Eingabe eingeloggt.

In der Blizzardaccounteinstellung kannst du ein Häkchen setzen das er bei jedem Login einen Auth. Code haben will.

Nimmt man das Häkchen raus fragt er nur noch 1 mal die Woche. Steht zumindestens so im Hilfetext bei mir.

Ich bin bei Kabel deutschland. Und habe somit immer die gleiche IP.

In der Blizzardaccounteinstellung kannst du ein Häkchen setzen das er bei jedem Login einen Auth. Code haben will.

Nimmt man das Häkchen raus fragt er nur noch 1 mal die Woche. Steht zumindestens so im Hilfetext bei mir.

Ich bin bei Kabel deutschland. Und habe somit immer die gleiche IP.
Es wird aber auch geraten zur Zeit keine öffentlichen Sitzungen zu machen. Damit die Hacker keinen zugriff bekommen. Ich denke beides ist sinnvoll, Authenticator mit der Einstellung bei jeder Einwahl und geschlossene Sitzungen.

Vielleicht ist das alles ja auch einfach "nur" ein Datenbankproblem.

Vielleicht ist das alles ja auch einfach "nur" ein Datenbankproblem.
Was dann aber eben ein Bug wäre.

Entschuldige ich poste nur was auch schon in anderen Foren offiziell steht. Was ist daran bitte eine Keule? Oder willst du behaupten das ich Autor und Besitzer dieser Foren bin?

Die Keule ist bspw Deine Erwartung, dass der authenticator vollen Schutz bietet. Das kann er niemals, wie jede andere Absicherung auch kann Sie nur ein Risiko mindern, aber nicht gänzlich ausmerzen

Davon ab:
Offiziell war nix von Dem was Du gepostet hast (die Quelle hast Du ja immer noch nicht angegeben). Lediglich Userposts hast du geboten, ok. Aber ob die so zu verifizieren sind, ist dann auch erstmal noch ne Sache...

Was dann aber eben ein Bug wäre.
Aber Bugs sind normal. Du hast ja auch einen Rechtschreibbug. :-) ... Um Bugfrei zu sein, ist das alles zu komplex.

Die Keule ist bspw Deine Erwartung, dass der authenticator vollen Schutz bietet. Das kann er niemals, wie jede andere Absicherung auch kann Sie nur ein Risiko mindern, aber nicht gänzlich ausmerzen
Es ging doch darum das der authenticator komplett ausgehebelt wurde. Das es keine 100% Sicherheit gibt ist mir klar. Mir ging es im meiner Kritik auch eher darum das Blizzard einst bei Diablo 2 gesagt hat, das man die Hacker aussperren wollte. Und das es deshalb keinen Offline Modus mehr gibt in Diablo 3. Punkt. Nun stellt sich aber in Verbindung mit den Server Problemen raus, das diese eben nicht der Weisheit bester Schlüssel ist.

Denn mit den Serverproblemen gehen auch keine SP Spiele. Auch das Kritisieren andere . Auch dazu habe ich einen Link gepostet.

Ich freue mich ja dank meiner Frau auch Mittlerweile auf Diablo 3. Nur wenn ich hier über Gold Bug lese. Accunt Bug lese und andauernde Serverprobleme dann hält sich meine vor Freude auch wieder arg in Grenzen. Und ja ich hinterfrage gerne Dinge und lasse mich mit fadenscheinlichen Erklärungen von Spieleherstellen nicht abspeisen.

Aber Bugs sind normal. Du hast ja auch einen Rechtschreibbug. :-) ... Um Bugfrei zu sein, ist das alles zu komplex.
Bei 10 Jahren Entwicklung?!? Und den langen Betatest?!? Diese Sicherheitslügen.

Es geht hier nicht um Grafikbug. Oder sonst welche klein Sachen. Es geht um den Goldbug, um den Accunt Bug. Und die andauernden Server Probleme. Wer meint das es diese Probleme nicht gibt, Lügt sich meiner Meinung nach in die Tasche.


Und was ich auch nicht verstehe. Auch wieder solche Fadenscheinige Erklärung, der Handel bei Ebay sollte unterbunden werden. Deshalb der Handel intern bei Blizzard. Ich weiß das Kaufhaus hat noch nicht auf. Trotzdem es werden da heiter Sachen bei Eby gehandelt und Blizzard sieht zu. Erklärt den Spieler aber das Kaufhaus bei Blizzard soll genau diesen Handel bei Ebay unterbinden. Hallo wer glaubt so was. Das ist der selbe Quatsch warum der Offline Modus nicht in Spiel ist.

Du hast anscheinend noch nie länger an was hoch komplexem gearbeitet. Da können immer Fehler auftreten, trotz aufwändigster Test etc. Da ist die Entwicklungsdauer nur bedingt ein Argument.

Fest steht dennoch, dass sowas nicht passieren darf und dass die Kommunikation atm wirklich verbesserungswürdig ist. Hier gibt Blizzard atm kein gutes Bild ab

Nimmt man das Häkchen raus fragt er nur noch 1 mal die Woche. Steht zumindestens so im Hilfetext bei mir.

Der fragt dann einmal am Tag, zumindest war es bei mir so als ich noch nicht die Abfrage bei jedem login aktiviert hatte. Hängt dann wohl mit der IP zusammen, die sich in meinem Fall alle 24h erneuert.

Der fragt dann einmal am Tag, zumindest war es bei mir so als ich noch nicht die Abfrage bei jedem login aktiviert hatte. Hängt dann wohl mit der IP zusammen, die sich in meinem Fall alle 24h erneuert.

Ich habe das Häkchen am Sonntag raus genommen und seitdem hat er nicht mehr gefragt. Also weder Montag noch Dienstag. Habe nun wieder auf "immer" gestellt :)

Viper;9310008']Ja.. aber dann ist das nicht das Problem von Blizzard. Daraus Blizzard einen Stick drehen zu wollen ist ziemlich dreist.

Vor allem um das alles wirklich umzusetzen, bedarf es mehr als einem "Hinterwaldhacker"... da müssen schon richtige Profis ran.

Das das mit dem Authenticator super funktioniert, zeigen doch alle anderen MMOs. Seitdem es das dort gibt, gibt es sogut wie keine Accounts mehr die gehackt wurden. Es ist in fast allen Fällen auf Fehler der Spieler zurückzuführen - wenn es mal passiert.
Noja. wie mans nimmt. den Strick kann man ihnen daraus drehen, das hierbei explizit auch spieler betroffen sind, die bei einem Offline/Lan Modus nicht betroffen wären. Das ist das ärgerliche.
Insofern... bisher sieht es eher so aus, als wäre das zwangsonline für die meisten doch eher fluch als segen.
und @aths... ich hatte keine verstärkte Lust dir in jedem Thread zu antworten... aber laut Wilson himself ist D3 in keinster weise ein MP spiel sondern ein SP in reinstform (mit dem schönheitsfehler zwangsonline). Laut wilson selbst (ich meine das video hattest du hier sogar selbst verlinkt) ist D3 nie nimmer nicht ein MP game... der MP modus ist ein fun extra. Ich glaube exakt so formulierte er es glaube ich selbst.
Was im uebrigen auch ganz interessant ist an dieser stelle, das mittlerweile wohl aufgefallen ist, das das PW entgegen eigener früherer AUssage nicht case-sensitiv ist. Kann jeder selbst mal ausprobieren. AUch das ist nicht wirklich professionell. finde ich.

Noch ne Frage: warum legen die eigentlich nicht bei allen Bnet Spielen grundsätzlich eine authentificator Hardware dabei? Bei den Verkaufspreisen sollte das doch problemlos möglich sein?Mindestens aber bei den etwas gehobeneren Versionen?
Update: LOL... das toolpaket was man offensichtlich für diesen angriff benötigt kann man sogar frei runterladen?:) Über google findet man es net (bevor jetzt alle auch noch die google server torpedieren) aber wer über .... zugänge verfügt...
Ich habs übrigens nicht runtergeladen, weil ichs momentan eh nicht testen könnte (und will), aber die kommentare scheinen auszusagen das es funktioniert. Ich hab den Link übrigens mal an Blizzard weitergeleitet. Ich bin zwar sicher das sies kennen, aber wenn nicht, dann kennen sies jetzt:)

Edit: damit mir nicht unterstellt wird, die aussage wo es zu finden ist wäre zu eindeutig.

Update: LOL... das toolpaket was man offensichtlich für diesen angriff benötigt kann man sogar frei runterladen?:) Über google findet man es net (bevor jetzt alle auch noch die google server torpedieren) aber wer über usenet zugänge verfügt...
Ich habs übrigens nicht runtergeladen, weil ichs momentan eh nicht testen könnte (und will), aber die kommentare scheinen auszusagen das es funktioniert. Ich hab den Link übrigens mal an Blizzard weitergeleitet. Ich bin zwar sicher das sies kennen, aber wenn nicht, dann kennen sies jetzt:)

Übrigens: da haben wir so einen Fall wo zu 99,99 % in der ausführbaren Datei irgendwelche Trojaner usw. sind. Wir wissen ja: Der Usernet Nutzer Xhao Li ist vertrauenswürdig und Blizzard ist voll der Drecksverein. :biggrin: Nächste Woche haben wir dann die nächste Welle an gehackten Accounts.

Auch gut immer wieder Maphacks (Ja...es gibt funktionierende....aber auch genügend mit Schadwsoftware durchsetzen Mist) usw.

Ich warte noch auf: 100 % working private D3 Server! Install now! Natürlich veröffentlicht bei elitepvpers weil dort ja die "Pros" abhängen. :biggrin:

Und bei einen Passwort mit 8 bis 16 Stellen bestehend aus Kleinbuchstaben, Ziffern und bestimmten Sonderzeichen UND der limitierten Anzahl an ungültigen Zugriffen spielt es gar keine Rolle und ist total "Pro".

Übrigens: da haben wir so einen Fall wo zu 99,99 % in der ausführbaren Datei irgendwelche Trojaner usw. sind. Wir wissen ja: Der Usernet Nutzer Xhao Li ist vertrauenswürdig und Blizzard ist voll der Drecksverein. :biggrin: Nächste Woche haben wir dann die nächste Welle an gehackten Accounts.

Auch gut immer wieder Maphacks (Ja...es gibt funktionierende....aber auch genügend mit Schadwsoftware durchsetzen Mist) usw.

Und bei einen Passwort mit 8 bis 16 Stellen bestehend aus Kleinbuchstaben, Ziffern und bestimmten Sonderzeichen UND der limitierten Anzahl an ungültigen Zugriffen spielt es gar keine Rolle und ist total "Pro".
Einige User haben laut der Kommentare das in einem virtuellen windows getestet und zumindest scheint es die entsprechenden Funktionen zu haben.
Mir ists auch wurscht.
Mag sein, das es dir ausreicht... ich verlass mich aber eigentlich darauf, wenn die aussage ist "case-sensitive", dann sollte das eben auch so sein. Dann spar ich mir eben der einfachkeit halber eher sonderzeichen, weil ichs besser tippen kann. Und grad bei server überlastung darf ichs ja dank onlinemodus auch das ein oder andere mal öfter tippen. Und sag jetzt bitte nicht copy &paste... das passt nun wirklich nicht, wenn wir über das thema sicherheit diskutieren...:)))

Da kann ich ja beruhigt sein, dass ich noch low-level bin und keine Items von Interesse habe :D

€: Erledigt, jetzt habe ich den Authenticator endlich komplett kapiert. :D

Der Authenticator ist einfach, wie sicher der aber nun wirklich ist, wird sich zeigen. Ich habe noch zusätzlich Mobile Benachrichtigungen zum Account aktiviert.

Der Authenticator ist einfach, wie sicher der aber nun wirklich ist, wird sich zeigen. Ich habe noch zusätzlich Mobile Benachrichtigungen zum Account aktiviert.


Dito, und ich finde es wirklich vorbildlich, dass Blizzard sowas überhaupt (kostenlos!) anbietet. :up:

Dito, und ich finde es wirklich vorbildlich, dass Blizzard sowas überhaupt (kostenlos!) anbietet. :up:
vorbildlich fände ich es, wenn bei den Preisen, die für Diablo im Release aufgerufen wurden ein entsprechender Hardware dongle mit beiläge. a) um die leute dazu zu animieren diese option zu nutzen, was im interesse aller wäre) b) die leute dazu zu animieren die bestmögliche und komfortabelste Funktion zu nutzen und c) den leuten ein gefühl von exklusiven Mehrwert zu geben. Was bei den Preisen durchaus okay wäre.

vorbildlich fände ich es, wenn bei den Preisen, die für Diablo im Release aufgerufen wurden ein entsprechender Hardware dongle mit beiläge. a) um die leute dazu zu animieren diese option zu nutzen, was im interesse aller wäre) b) die leute dazu zu animieren die bestmögliche und komfortabelste Funktion zu nutzen und c) den leuten ein gefühl von exklusiven Mehrwert zu geben. Was bei den Preisen durchaus okay wäre.

Wieso? Den Authi gibt´s eh gratis für jedes gängige Smartphone-OS. Welche Firma wird da noch einen Verlust in Kauf nehmen, indem man Hardware verschenkt?

vorbildlich fände ich es, wenn bei den Preisen, die für Diablo im Release aufgerufen wurden ein entsprechender Hardware dongle mit beiläge. a) um die leute dazu zu animieren diese option zu nutzen, was im interesse aller wäre) b) die leute dazu zu animieren die bestmögliche und komfortabelste Funktion zu nutzen und c) den leuten ein gefühl von exklusiven Mehrwert zu geben. Was bei den Preisen durchaus okay wäre.


Warum sollte Blizzard etwas beilegen was andere Firmen auch nicht beilegen und trotzdem den gleichen Preis für ihr Spiel verlangen?

Zumal laut vielen betroffener Accounts nach Überprüfung von Blizzard (bluepost (http://us.battle.net/d3/en/forum/topic/5149619846?page=29#571)) ein Passwortdiebstahl stattfand und nicht obiges Scenario wie viele Beschreiben, klar springen gleich zig Leute auf den Zug auf aber ich möchte nicht wissen wieviele es anmerken obwohl bei deren Account nix war.
Zum Thema Authentikator, der hat die selbe Technik wie das RSA-Token welches dank letztjährigem Diebstahl in der Konzernzentrale dazu führte das Milliarden von Euro wieder investiert werden mussten damit die weltweit 500 umsatzstärksten Firmen nicht auflaufen. (hier nachzulesen (http://www.com-magazin.de/sicherheit/news/detail/artikel/cyber-angriff-auf-sicherheitsfirma-rsa.html))

Wieso? Den Authi gibt´s eh gratis für jedes gängige Smartphone-OS. Welche Firma wird da noch einen Verlust in Kauf nehmen, indem man Hardware verschenkt?
Zum einen wärs sicherlich ein gewisseer Image/werbeeffekt.
Zudem sind die kosten bei entsprechenden Stückzahlen wohl überschaubar.
Wenn man berücksichtigt, welchen supportaufwand accountprobleme verursachen, glaube ich auch, das sich das Blizz auch kostentechnisch schnell rechnen wuerde.

@ GSXR-1000
Die Implementierung des Authenticators inkl. des Bachrichtigungsdienstes via Handy wird Blizzard wohl nicht geschenkt bekommen haben. Dein Kommentar klingt sehr nach dem Motto "geschenkt ist noch zu teuer".
Mittlerweile kann ich verstehen, warum die meisten anderen Member Dich mittlerweile auf »ignore« gesetzt haben...


EDIT
Die von Dir genannten Accountprobleme sind kalkulatorische Kosten, die beim Pricing des Produkts mit an Sicherheit grenzender Wahrscheinlichkeit berücksichtigt werden - Blizzard ist ja nun nicht die letzte Pommes-Bude. Zumal sich die meisten Account-Probleme sicherlich nicht mit dem Authenticator beheben ließen (Stichwort: Passwort vergessen / verlegt, Hardware-Probleme & diverse andere Probleme, die nichts mit dem Login zu tun haben).

Wenn man berücksichtigt, welchen supportaufwand accountprobleme verursachen, glaube ich auch, das sich das Blizz auch kostentechnisch schnell rechnen wuerde.
Glaube ich nicht. Ansonsten würde Blizzard dies wohl so tun.

Zum einen wärs sicherlich ein gewisseer Image/werbeeffekt.
Zudem sind die kosten bei entsprechenden Stückzahlen wohl überschaubar.
Wenn man berücksichtigt, welchen supportaufwand accountprobleme verursachen, glaube ich auch, das sich das Blizz auch kostentechnisch schnell rechnen wuerde.

Imageeffekt schon; Supportechnisch bin ich mir nicht so sicher. Grade User die was Sicherheitsmechanismen nicht so gewohnt sind vergessen/verlieren/whatever den Authi sicher gerne mal und dann hast du erst ein Support-Bombardement, das nur mehr händisch zu bewältigen ist, weil der jeweilige User für den Reset dann einen Lichtbildausweis einschicken muss und das muss ein Mensch prüfen.

Die Kosten kann ich nicht einschätzen, gratis wird´s das aber auch nicht geben, und wenn ein Stück nur 1 Euro kostet dann sind das bei den dzt. verkauften Stückzahlen gleich trotzdem mal gute 6 Millionen.

Imageeffekt schon; Supportechnisch bin ich mir nicht so sicher. Grade User die was Sicherheitsmechanismen nicht so gewohnt sind vergessen/verlieren/whatever den Authi sicher gerne mal und dann hast du erst ein Support-Bombardement, das nur mehr händisch zu bewältigen ist, weil der jeweilige User für den Reset dann einen Lichtbildausweis einschicken muss und das muss ein Mensch prüfen.

Die Kosten kann ich nicht einschätzen, gratis wird´s das aber auch nicht geben, und wenn ein Stück nur 1 Euro kostet dann sind das bei den dzt. verkauften Stückzahlen gleich trotzdem mal gute 6 Millionen.
Wie gesagt... ich kanns nicht beurteilen. ich glaub aber nicht das es per saldo so teuer wäre.
6 millionen stimmt ja auch nicht... die ganzen digitalen kopien muesste man ja rausrechnen.
ich finds ja auch ne gute sache, das Blizzard sowas überhaupt anbietet (wobei das eben bei derartigen accountbasierten systemen schon auch im eigeninteresse ist).
ich sagte nur "vorbildlich wäre es". Das impliziert ja nicht, das das jetzige angebot schlecht wäre.

Und da hats mich Live und in Farbe erwischt!°

Grad schön am zocken.....Trennung, weil sich ein anderer Benutzer einlogt.
Direkt wieder rein, da steh ich auch schon in der Stadt....grummel...Erneuter rauswurf!
Dann verklick ich mich auch noch und minimiere das Spiel.

Naja, rest kann man sich ja denken...alles, bis auf nen Gürtel (sehr witzig), weg !

Ticket is raus....da bin ich ja mal gespannt!

Hab ich nen Hals....naja...mal sehn ob Alptraum Akt I von null geht =)


UFO

Und da hats mich Live und in Farbe erwischt!°

Grad schön am zocken.....Trennung, weil sich ein anderer Benutzer einlogt.
Direkt wieder rein, da steh ich auch schon in der Stadt....grummel...Erneuter rauswurf!
Dann verklick ich mich auch noch und minimiere das Spiel.

Naja, rest kann man sich ja denken...alles, bis auf nen Gürtel (sehr witzig), weg !

Ticket is raus....da bin ich ja mal gespannt!

Hab ich nen Hals....naja...mal sehn ob Alptraum Akt I von null geht =)
UFO

Nein geht nicht von Null, du kannst nichts umhauen und stribst nach 2-3 Hits.
Wenn du keine Freunde hast die dir Items oder 100K Gold zum Shoppen geben, so lass ein Rollback machen.

100K Gold reicht für das AH um gute Waffen zu bekommen, Rüstung kaufst du dir bei den Ingame NPCs, so habe ich es gemacht.

Weiß nicht, ob das schon gepostet wurde: Blizzard-Stellungnahme zu jüngsten Problemen/Hacks (http://eu.battle.net/d3/de/forum/topic/4210124960#1)

Demnach ist die Anzahl der gehackten User gering, und bisher ist Blizzard kein Fall bekannt, bei dem ein gehackter User nachweislich den Authenticator im Vorfeld aktiviert hatte. Auch das Übernehmen von Session-IDs anderer Accounts sei nicht nachweisbar und auch technisch nicht möglich.

Weiß nicht, ob das schon gepostet wurde: Blizzard-Stellungnahme zu jüngsten Problemen/Hacks (http://eu.battle.net/d3/de/forum/topic/4210124960#1)

Demnach ist die Anzahl der gehackten User gering, und bisher ist Blizzard kein Fall bekannt, bei dem ein gehackter User nachweislich den Authenticator im Vorfeld aktiviert hatte. Auch das Übernehmen von Session-IDs anderer Accounts sei nicht nachweisbar und auch technisch nicht möglich.

War doch schon vorher klar ...

Das gerede der Kids in den Blizz Foren, ist einfach nur Peinlich. Haben sicherlich tonnenweise Malware auf ihren Rechnern und beschuldigen dann Blizz.

War schon in WoW nicht anders.

War doch schon vorher klar ...

Das gerede der Kids in den Blizz Foren, ist einfach nur Peinlich. Haben sicherlich tonnenweise Malware auf ihren Rechnern und beschuldigen dann Blizz.

War schon in WoW nicht anders.

Nunja, hier im Forum gibts ja auch Betroffene.
Und die hier dargestellten Sachverhalten lassen zumindest offen, ob das Problem durch den User verursacht wurde.

Einheitlich war es jedoch so, dass alle, von denen ich gelesen habe, Public Games mit "Fremden" gespielt haben....Zufall?

Einheitlich war es jedoch so, dass alle, von denen ich gelesen habe, Public Games mit "Fremden" gespielt haben....Zufall?

Es passt auf jeden Fall ins Bild. ;-)

Ich glaube, dass noch viel mehr Leute betroffen wären, falls wirklich jemand das D3-Netzwerkprotokoll* (bzw. den Game-Client) gehackt hätte. Die Motivation dahinter ist ja Geld - und das wenn es geht viel.

Die Daten werden nicht einfach als HTTP-Stream übertragen, wo man sich mal schnell zwischenhängen kann.

Ich tippe auch darauf, dass es nur auf Trojaner & co. bzw. "Social Engineering" herausläuft. Oder eben - wie schon von mir geschrieben - auf einen Datenbankfehler. Man weiß ja auch gar nicht, ob die verschwundenen Items irgendwo wieder aufgetaucht sind.