Accountsicherheit

Gehackt zu werden, ist eines der schlimmsten Dinge, die euch in einem Onlinespiel wie Guild Wars 2 passieren können. Da bereits einige Gildenmitglieder hiervon betroffen waren und immer wieder mal Phishingmails unterwegs sind, möchte ich euch einige Tipps geben, wie ihr euren Account schützen könnt. (Die Tipps könnt ihr übrigens auch für eure Accounts bei Amazon, eBay, iTunes oder anderen Onlinespielen verwenden.)

Accountname (oder E-Mail-Adresse)

Der beste Weg, euren Account zu schützen, ist jeweils eine eigene, separate E-Mail-Adresse zu verwenden. (Beispielsweise für Guild Wars 2: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!)

Hintergrund dieser Maßnahme: Die E-Mail-Adresse wird in den meisten Fällen unverschlüsselt abgelegt. Mit anderen Worten: Sie steht im Klartext in der Accountdatenbank. Verwendet ihr eure E-Mail-Adresse mehrfach, so reicht es oft aus, dass eine unwichtige Seite gehackt wird, um eure wichtigeren Accounts potentiell zu gefährden.

Daher als Tipp: Eure wichtigen Accounts sollten eine eigene E-Mail-Adresse erhalten. Für unwichtige Accounts wie die Webseiten der AofT oder der Kodasch-Community ist das nicht ganz so wichtig.

Wie erhaltet ihr eine separate E-Mail-Adresse? Hierfür gibt es zwei Möglichkeiten: Euer E-Mail-Provider erlaubt euch Aliase anzulegen, oder ihr nutzt einen der zahlreichen kostenlosen E-Mail-Provider (Google, Yahoo, GMX, Web.de, T-Online, ...)

Die Änderung der E-Mail-Adresse geht bei Guild Wars 2 nur über ein Ticket an den Support von ArenaNet.

Eine eigene E-Mail-Adresse ist zwar der beste Schutz, aber ihr müsst jetzt nicht panisch eure E-Mail-Adresse ändern, wenn ihr die anderen Tipps beherzigt.

Passwort

Beim Passwort sind zwei Dinge wichtig: Zum Einen, verwendet für jeden Account ein eigenes Passwort. Zum Anderen, längere Passwörter sind besser als komplizierte.

Hintergrund zum ersten Tipp: Passwörter werden zum Glück nicht im Klartext abgelegt (zumindest bei den meisten Webseiten). Statt dessen wird oft ein Hashwert abgelegt. Ein Hashwert ist vereinfacht ausgedrückt eine Quersumme des Passworts. Es gibt verschiedene Algorithmen, um einen Hashwert zu bilden. Einige, die früher sicher waren, sind es inzwischen nicht mehr, werden aber zum Teil immer noch verwendet. Wird somit eine unwichtige Seite geknackt und die Hacker schaffen es, euer Passwort zu erraten, werden sie versuchen, sich mit der E-Mail-Adresse und dem Passwort bei weiteren Webseiten einzuloggen. Verwendet ihr dann die gleiche E-Mail-Adresse und das gleiche Passwort auch auf anderen Seiten, könnt ihr euch denken, was passieren wird.

Hintergrund zum zweiten Tipp: Welches Passwort ist sicherer: "Eer+56tz/78K" oder "ichbineinlegolasuntervielen"? Was glaubt ihr? Das erste Passwort ist gut, dass zweite jedoch wesentlich besser und mit den aktuellen Mitteln nicht zu knacken. Leider werden so lange Passwörter oft nicht unterstützt. Daher als Ratschlag: Aktuell kann ein Passwort als sicher betrachtet werden, wenn es mindestens 12 Zeichen enthält und es mindestens einen Kleinbuchstaben, einen Großbuchstaben und eine Zahl enthält. Ein Passwort ab 16 Zeichen ist jedoch wesentlich sicherer, auch wenn es nur Kleinbuchstaben enthält.

Hilft es, wenn ich regelmäßig das Passwort ändere? Generelle Antwort: nein. Wenn man gezwungen wird, regelmäßig sein Passwort zu ändern, führt das letztlich zu unsicheren Passwörtern, da die Tendenz zu einfacheren Passwörtern geht, die man ggf. sogar irgendwo aufschreibt.

Aber so viele Passwörter kann ich mir nicht merken? Hierfür gibt es zwei Lösungen: Benutzt einen Passwortmanager (es gibt auch kostenfreie) oder nehmt ein Masterpasswort und ergänzt dieses um die jeweilige Webseite (Beispiel: Masterpasswort "ichbineinlegolasuntervielen", Guild Wars 2 "ichbineinlegolasuntervielenundspieleguildwars2", Amazon "ichbineinlegolasuntervielenundshoppeaufamazon", eBay "ichbineinlegolasuntervielenundverkaufeaufebay", etc.) Vorteil der zweiten Variante ist, dass dadurch die Passwörter auch länger werden.

Über folgenden Link könnt ihr prüfen, wie stark euer Passwort ist. Es wird dort nur die Anzahl der Zeichen sowie die Zusammensetzung eures Passworts abgefragt: http://passwordstrengthcalculator.org/index.php

Webseiten

WebseitensicherheitAchtet bei Webseiten darauf, dass ihr auf der richtigen Webseite seit. Phishingmails leiten euch auf Webseiten weiter, die die Originalwebseite oft täuschend echt nachgebaut haben. Moderne Webbrowser heben inzwischen die Adresse der Webseite hervor, auf der ihr euch befindet. Prüft daher, ob ihr auf der richtigen Webseite gelandet seid, wenn ihr einen Link folgt und diese Seite euch nach Accountdaten fragt.

Für den Login auf die Webseite sollten diese in der Regel eine sichere Verbindung verwenden. Diese könnt ihr an 2 Merkmalen im Browser erkennen: Erstens beginnen die Webseiten mit "https://" (HTTP ist das Internetübertragungsprotokoll, "S" steht für "secure"). Und zweitens wird inzwischen ein Schloss in der Adresszeile des Browsers angezeigt. Wenn ihr auf das Schloss klickt, erhaltet ihr mehr Informationen zum verwendeten Zertifikat. Je nach Zertifikat sind dort Informationen zur Webseite und zum Betreiber enthalten.

Kleinere Webseiten, die sich kein eigenes Zertifikat leisten können, benutzen entweder einen HTTPS-Proxy, wie ihn einige Webserverbetreiber anbieten, oder gar keine sichere Verbindung (wie es leider auch aktuell bei der AofT-Webseite der Fall ist). Eine nicht sichere Verbindung bedeutet, dass das Passwort unverschlüsselt an den Server übertragen wird! Benutzt daher in jedem Fall ein separates Passwort für diese Seiten.

Datensparsamkeit und Datenvermeidung

Datensparsamkeit und Datenvermeidung ist ein Konzept im Bereich des Datenschutzes. Die Grundidee ist hierbei, dass nur so viele personenbezogene Daten abgefragt werden, wie für die Verarbeitung benötigt werden.

Dieses Thema ist hier allerdings aus einem anderen Grund aufgeführt. Das Problem ist weniger, dass die Webseiten viele Daten abfragen, sondern eher, dass die Benutzer von sozialen Webseiten wie Facebook bereitwillig viele Daten offenlegen. Auf Basis dieser Informationen kann versucht werden, eine Beziehung zum Benutzer / Opfer aufzubauen und über diesen Weg Zugang zu weiteren Informationen oder gar Passwörtern zu erhalten. Daher: Geht mit den Informationen, die ihr in sozialen Medien wie Facebook, Google+, Xing oder gar die AofT-Webseite verbreitet, sorgsam um. Sind diese generell oder mit wenig Aufwand einsehbar, so können sie gegen euch verwendet werden. (Dieses Vorgehen wird übrigens "social engineering" genannt.)

Um euch das Thema etwas stärker zu verdeutlichen: Um ein Ticket bei ArenaNet zu öffnen, wird u.a. nach eurem Geburtsdatum gefragt. Habt ihr für Guild Wars 2, in Facebook oder auf der AofT-Webseite euer echtes Geburtsdatum angegeben?

zu guter Letzt

Um euch am Ende etwas zu beruhigen: Ein Mitarbeiter von ArenaNet oder ncsoft wird euch nie, nie, NIE nach eurem Passwort fragen. Wenn ihr ein sicheres Passwort gewählt habt, welches nur ihr kennt und welches ihr nur für Guild Wars 2 verwendet, so ist euer Account ausreichend sicher. Falls ihr das Passwort jedoch auch auf anderen Webseiten verwendet, ggf. sogar mit der gleichen E-Mail-Adresse, so würde ich euch raten, dass Passwort zu ändern. Gleiches rate ich euch auch für das Passwort zu eurem E-Mail-Account. Dieses solltet ihr auch nur dort verwenden und nirgends sonst.

Support us



Du möchtest uns unterstützen? Klicke auf den Link um zu spenden oder informier Dich hier was mit dem Geld passiert.

Besucher kamen aus

Flag Counter

Tweets@AofT

  • AofT

    Es sind bereits 2/3 der Plätze für das Gildentreffen am 12.-14. Mai vergeben. Noch gut 20 Plätze sind für euch frei. Fragt einfach mal :)

    Weiterlesen

    Copyright-Info

    ArenaNet logo ncsoft logo
    500px Guild Wars 2 HoT Texture Centered Trans
    512px Guildwars logo.svg  
    © 2016 AofT.de, Alle Rechte vorbehalten. Guild Wars, Guild Wars 2, Heart of Thorns (HoT), ArenaNet, NCsoft, das ineinandergreifende NC-Logo und alle damit in Verbindung stehenden Logos und Designs sind Warenzeichen oder eingetragene Warenzeichen der NCsoft Corporation. Alle anderen Warenzeichen sind das Eigentum ihrer jeweiligen Rechteinhaber.