Steam: Neue Sicherheitsregeln für den Marktplatz & gegen die zunehmenden Account-Hacks

Bild von CK
CK 2087 EXP - 14 Komm-Experte,R5,S5,A1
Loyalist: Ist seit mindestens einem Jahr bei GG.de dabeiBronze-Schreiber: Hat Stufe5 der Schreiber-Klasse erreichtKommentierer: Hat 100 EXP mit Comments verdientVorbild: Hat mindestens 100 Kudos erhaltenTop-News-Schreiber: Hat mindestens 5 Top-News geschriebenSammler: Hat mindestens 50 Spiele in seiner Sammlung

11. Dezember 2015 - 13:09 — vor 51 Wochen zuletzt aktualisiert

In einem Forenthread äußerte sich Steam-Betreiber Valve zu den Verschärfungen der Sicherheitsvorkehrungen, die aufgrund der steigenden Accountdiebstähle kürzlich inkraft traten. Laut Valve beläuft sich die Zahl der gehackten Steam-Accounts pro Monat mittlerweile auf circa 77.000, mit steigender Tendenz. Ein Problem, das nach eigenen Aussagen nur sehr schwer in den Griff zu bekommen ist, da es organisierte Netzwerke gibt, die jeden Steam-Account als potentielles Ziel im Auge haben.

Besonders gefährdet sind Accounts, die über Inventargegenstände aus Counter Strike - Global Offensive verfügen, da diese ein besonders lohnendes Ziel darstellen sollen. Um dem Accountdiebstahl entgegenzuwirken, führte Valve vor einiger Zeit die Zwei-Phasen-Autorisierung (Steam Guard Mobile Authenticator) ein. Hierzu wird ein Mobilgerät mit der Steam-App benötigt. Jedes Mal, wenn ihr euch einloggt oder einen Handel auf dem Marktplatz vollziehen wollt, wird nach der Passworteingabe ein Code an euer Mobilgerät geschickt, der von euch eingegeben werden muss, um Zugriff auf das Konto zu erhalten oder den Handel durchzuführen.

Da jedoch viele Nutzer auf diese Sicherheitsmaßnahme verzichten, sieht sich Valve laut eigenen Aussagen gezwungen, zu deren Schutz weitere Maßnahmen zu ergreifen. Nutzer, die den Steam Guard Mobile Authenticator benutzen, um Handelsangebote zu bestätigen, können weiterhin ohne Einschränkungen Handel betreiben. Diejenigen, die auf die Sicherheitsvorkehrung verzichten, müssen bis zu drei Tage warten, bevor ihre Transaktion durchgeführt wird.

Diese Sicherheitsvorkehrung soll sowohl Steam als auch den Usern die Zeit einräumen, einen eventuellen Hack des Accounts zu erkennen und den Handel zu stoppen, bevor die Gegenstände gestohlen werden können. Valve ist sich bewusst, dass jeder Schritt, der zwischen die Nutzeraktionen und das Ergebnis gestellt wird, die Nutzung von Steam unkomfortabler macht. Doch vor die Wahl gestellt, entweder den Steam Guard Anthentificator verpflichtend einzuführen oder das Handelssystem komplett zu entfernen, hat sich der Hersteller eben für diesen Mittelweg entschieden.

CBR 20 Gold-Gamer - P - 20263 - 11. Dezember 2015 - 12:48 #

Das Ansinnen von Valve klingt ehrenhaft. Ich dachte, die wollten nur noch mehr persönliche Daten von mir haben. Wie sieht die Aktion unter diesem Gesichtspunkt aus?

falc410 14 Komm-Experte - 2354 - 11. Dezember 2015 - 12:56 #

Die wollen in erster Linie weniger Arbeit mit dem Kundendienst haben. Eine Zwei-Faktor Authentisierung ist immer gut. Da bekommt Valve auch keine zusätzlichen persönlichen Informationen über dich.

Bastro 15 Kenner - 3092 - 11. Dezember 2015 - 13:06 #

Die Mobilfunkdaten?

Jonas -ZG- 17 Shapeshifter - - 6907 - 11. Dezember 2015 - 13:49 #

Die schenke ich ihnen. Da gibt es weitaus schlimmere Apps die mehr Berechtigungen (zum Teil ohne Sinn) wollen als Valve.

Lobo1980 14 Komm-Experte - P - 2517 - 12. Dezember 2015 - 0:41 #

Da macht es Blizzard viel besser, die haben neben der MobileApp auch den "Blizzard Battle.net Authenticator", wo ich unabhänig vom Handy meinen Account schützen kann

gar_DE 16 Übertalent - P - 5790 - 12. Dezember 2015 - 14:57 #

Es geht sogar noch besser. Bei Guildwars 2 kannst du eine beliebige Authentification-App nutzen, z.B. Google Authenticator (für ganz Paranoide von F-Droid).
Denn die nutzen fast alle den gleichen Algorithmus und man kann eine App für mehrere Konten nutzen.

MrFawlty 17 Shapeshifter - P - 6323 - 11. Dezember 2015 - 12:59 #

Zwei-Phasen-Autorisierung ist eigentlich ein bewährtes Mittel zur Erhöhung der Sicherheit, kommt in vielen Bereichen zum Einsatz.

Soweit ich das überschaue bekommt Valve nur noch deine Mobil-Nummer, wenn du die nicht eh schon beim Kauf eines Spiels angegeben hast (eine Tel-Nummer ist Pflichtangabe, soweit ich das in Erinnerung habe).

Kamuel 12 Trollwächter - 1162 - 11. Dezember 2015 - 13:16 #

Die wird aber nicht überprüft ob die nun so ganz dem Wahren entspricht *hüstel*

MrFawlty 17 Shapeshifter - P - 6323 - 11. Dezember 2015 - 16:23 #

Du bekommst eine Verifizier-SMS mit einem Code an die angegebene Nummer gesendet und erst nach dessen Eingabe wird das aktiviert.

Sonst würdest du dich ja selbst aussperren, wenn du absichtlich oder aus versehen eine falsche Nummer angibst^^

Kamuel 12 Trollwächter - 1162 - 11. Dezember 2015 - 13:15 #

Ich hab kein Handy, ich liebe die Welt.. alles und jeder möchte gerne, dass ich mein Handy oh wait "Smartphone" mit irgendwas verbinde damit es nun so richtig "smart" wird...
Sollen sie halt wie Blizzard, dass Ding auch extern anbieten, zahl ich auch 5-10euro für, kein Problem... aber nope...

Spiritogre 18 Doppel-Voter - 11042 - 11. Dezember 2015 - 13:26 #

Ich finde höhere Sicherheit ja gut aber generell das mit den Smartphone-Apps zur doppelten Überprüfung recht nervig und umständlich, weswegen ich das nie machen würde, wenn es nicht unbedingt Pflicht ist. Mir reicht das schon, wenn mir verschiedene Anbieter immer Freischaltcodes per Mail schicken, wenn sie denken, ich würde mich von einem neuen Standort aus anmelden. Auf jeden Fall sollten die Systeme aber eine Warnung ausgeben, wenn sich mal wieder jemand aus Russland oder China versucht einzuloggen. Eine Weile bekam ich fast täglich von Google so eine Warnmail, weil irgendwer meinen Blog kapern wollte.

Grombart 14 Komm-Experte - P - 1836 - 11. Dezember 2015 - 13:41 #

Gibt's die Steam App denn mittlerweile auch für Windows Phone? Als mich Steam das letzte Mal wegen der Sicherheit genervt hatte, hatte ich als Besitzer eines solchen nämlich mangels kompatibler App schlicht keine Chance, diesen zusätzlichen Sicherheitsschritt einzurichten.

PeterS72 15 Kenner - P - 2825 - 11. Dezember 2015 - 14:25 #

Ich bin auch Besitzer eines Windows Phones. Ich hätte mir gewünscht, daß der Google Authenticator Standard (gibts ja von Microsoft) genutzt wird statt einer eigener App, dann würde das auch problemlos auf Windows Phone laufen.
Ich mag es nicht, wenn für jedes Programm eine eigene Authenticator App installiert wird, da finde ich den Ansatz eines Authenticators für diverse Anwendungen viel besser. Ich nutze diese eine App für Google, LastPass, Guild Wars 2, Microsoft etc.

Jonas -ZG- 17 Shapeshifter - - 6907 - 11. Dezember 2015 - 13:50 #

Bisher ist bei mir nichts passiert. Hab doch paar CS:GO Skins im Wert von 100 Dollar aufwärts. Gut bin da wohl eher ein kleiner Fisch. Gegen die ganzen Messer Skin Bois. :>

Darth Spengler 18 Doppel-Voter - 9209 - 11. Dezember 2015 - 16:00 #

Das wird noch ein großes Problem. Je mehr alles Digital wird, desto mehr Abwehrmaßnahmen wird es gegeben. Ich persönlich schwöre auf Black Ice ^^

Tassadar 17 Shapeshifter - 7747 - 11. Dezember 2015 - 16:58 #

Black Ice?

Spiritogre 18 Doppel-Voter - 11042 - 11. Dezember 2015 - 17:41 #

Black Ice tötet einen Angreifer, bzw. grillt dessen Hirn, wenn er versucht illegal das System zu hacken.

Pomme 16 Übertalent - P - 5959 - 12. Dezember 2015 - 8:57 #

Sehr praktisch! :-)

Darth Spengler 18 Doppel-Voter - 9209 - 12. Dezember 2015 - 18:29 #

Da hilft nur ein benutzerfreundlicher chinesischer militärischer Eisbrecher^^

Toxe 21 Motivator - P - 26058 - 11. Dezember 2015 - 17:46 #

Neuromancer?

MrFawlty 17 Shapeshifter - P - 6323 - 11. Dezember 2015 - 19:04 #

Ich kenne das aus den Shadowrun Büchern.

Spiritogre 18 Doppel-Voter - 11042 - 12. Dezember 2015 - 15:16 #

Shadowrun sowie viele weitere Cyberpunk hat den Begriff übernommen, das Original stammt aber tatsächlich von Neuromancer.

ICE = Intrusion Countermeasures Electronics

Ganon 22 AAA-Gamer - P - 33767 - 11. Dezember 2015 - 16:02 #

Hm, also bisher konnte ich mir den Code einfach per E-Mail schicken lassen, auch ohne die App zu nutzen. Geht das jetzt nicht mehr?

MrFawlty 17 Shapeshifter - P - 6323 - 11. Dezember 2015 - 16:29 #

Doch geht immer noch. Aber per App ist sicherer.

Weil Mail- und Steam-Accounts kann man einfach aus der Ferne übers Internet hacken. Von deinem Handy zu lesen ist aufwändiger.

jeef 12 Trollwächter - 883 - 12. Dezember 2015 - 11:41 #

Sicherer würde ich es nicht nennen eher Langwierig als kleines Beispiel: Email des Accounts knacken und reingehen, falls nicht schon in Form von Emails vorhanden. Warten bis die Person einen Steamkauf tätigt zb. via Paypal oder einen Retail/Download Gamekey in einem Shop kauft oder einfach selbst was kaufen^^. Steamsupport-Ticket aufmachen - Paypal Transaktions-Code vorlegen, support bitten alles zu Reseten. Fertig ^^

MrFawlty 17 Shapeshifter - P - 6323 - 13. Dezember 2015 - 11:55 #

Langwierig = sicherer

Du kannst grundsätzlich alles hacken, sogar PCs, die gar keinen Netzwerk-Anschluss haben!
Nur je langwieriger und aufwändiger das ist, desto kleiner ist das Risiko, dass jemand so etwas macht.

Ich bin auch nicht sicher, ob der Steam-Support auf so einen Trick rein fällt. Wenn die gut sind, verlangen die vor dem Reset einen Festnetz-Telefonanruf mit CLIP, eine Ausweiskopie oder irgendeine weitere Identifikation.

Wenn eine Zwei-Faktor-Authentifizierung die Sicherheit nicht erhöhen würde, würde sie bestimmt nicht seit zig Jahren in so vielen Bereichen eingesetzt.

Elfant 15 Kenner - P - 3810 - 13. Dezember 2015 - 14:07 #

Das ist doch eine Frage wie die Zwei-Faktor-Authentifizierung durchgeführt wird. Die Banken haben jenes über M - Tan an die Telekommunikationsfirmen abgeschoben und ich würde jede Tan - Liste als sicherer erachten.
Ohne einen separaten Generator ist aus meiner Sicht jede Zwei-Faktor-Authentifizierung schlicht fragwürdig.

MrFawlty 17 Shapeshifter - P - 6323 - 13. Dezember 2015 - 16:07 #

Es gibt sicherlich besserer und schlechtere Zwei-Faktor-Authentifizierungen.

Aber ich würde schon sagen, dass ein Verfahren mit Code von Authenticator/Smartphone-App deutlich sicherer ist als einfach USER+PW.

Tassadar 17 Shapeshifter - 7747 - 11. Dezember 2015 - 19:15 #

Ich wollte eigentlich mal WinAuth dafür ausprobieren (https://winauth.com/), aber wie es aussieht, braucht man auch damit jetzt leider zumindest einmalig eine Mobilnummer, die eine SMS empfangen kann.

Leser 14 Komm-Experte - P - 1964 - 11. Dezember 2015 - 21:05 #

Das mit der Steam-App ist doch Quatsch. Die sollen einfach RFC 6238 wie der Rest der Welt umsetzen. Dann kann ich auch für Steam den Google Authenticator nutzen.

Hedeltrollo 16 Übertalent - P - 5164 - 12. Dezember 2015 - 11:41 #

Jo, genau so. Wenn ich für jeden Dienst eine separate OTP-App bräuchte, hätte ich da mächtig Lust drauf. Das ist der Grund, warum ich auf 2-Faktor-Authentifizierung bei Steam auch verzichte.

Decorus 16 Übertalent - 4246 - 12. Dezember 2015 - 14:58 #

Dir werden die Items auf dem Handy angezeigt, die gehandelt werden. Einfach einen externen Code einzugeben nützt nichts, dann könnte dir Malware einen Faketrade unterjubeln während du mit deinem echten Auth-Code einen ganz anderen Trade (deine wertvollsten Items gegen.... nichts) authorisierst.

Leser 14 Komm-Experte - P - 1964 - 13. Dezember 2015 - 11:29 #

Da ich nicht trade und über Steam auch nicht chate juckt mich das nicht. Hindert ja niemand Valve dran dennoch auch noch ihre eigene App anzubieten. Sie müßten nur den Standard so wie der Rest der Welt implementieren.

jeef 12 Trollwächter - 883 - 12. Dezember 2015 - 12:47 #

Völlig unnötiges "Feature" zumindest so wie es aktuell ist,
wenn jemand sich doppelt schützen will kann er dies auch gerne tun.
Aber jemanden dazu zu zwingen eine Android oder iOS App zu benutzen
und vor allem erst mal zu haben? Wieso keine SMS oder eine andere Alternative?

Oder halt einfach wie mit der Einführung mit der Email-Auth, einfach
keinen Support zu stellen, falls etwas passiert, dann muss dies jeder
selbst entscheiden bzw. hat halt leider Pech wenn er nicht die Möglichkeit hatdies zu nutzen oder es halt einfach nicht will.

In erster Linie geht es Valve ja nicht wirklich um die Sicherheit, zu verhindern das ein Account gestohlen wird sondern das er "angeblich leer geräumt" wird und vor allem Support zu sparen. Und genau bei diesem Punkt frage ich mich wie dies Helfen Mobil-Auth Zeug soll.

10,020 Handelsgeschäfte ohne die ganzen Bundle-Tauscherein, mir
ist bis Heute noch nicht wieder fahren, weder wurde ich beklaut noch
Abgezockt in irgendeinen Form von Betrug. Noch ist mir je irgendwas
großartiges begegnet aus den Verlust eines Accounts verursachen hätte
können. Mal ab von den Ganzen Lvl 1 Bots die einem Keylogger oder gefakete Seiten unterjubeln wollen, wer da drauf klickt hat größere Problem als das er mal seinen Steam Account oder Items verliert^^

Auch habe ich in über 20 Jahren nur einmal Zugriff auf einen Account
verloren und das war nicht mal meine Schuld -> Heartbleed-Bug mein Mailprovider hat komplette User-Daten verloren und jemand war in meinem GW2 Account - böser Koreaner :/ Und das als jemand der 0 auf Sicherheit setzt.

Als Normal-User von einem "Random-Hack" betroffen zu sein ist extrem unwahrscheinlich dann muss man sich schon in diversen Szenen rumtreiben. Im Normalfall verliert man doch nur etwas wenn der entsprechende Betreiber "geknackt" wird und da hilft dann auch kein 2.Auth wirklich.

Und die schwachsinnigen Zahlen kann sich Valve auch sonst wo hin stecken 77.000 pro Monat (und steigend)also ehrlich. Steam hat angeblich 125Mio Accounts wenn davon mehr als die Hälfte überhaupt richtige und oder aktive Accounts sind würde ich mich schon stark wundern. Selbst bei 65Mio Accounts wären demnächst bald jeder "gehackt" worden ;O
Und wenn man dann nochmal runter geht auf die Anzahl von Accounts die überhaupt erst in einer Gefahrenzone eines "hack" stehen könnten, wird die Zahl noch lächerlicher^^

Für den Steam-Handel ist das neue "Feature" auf jeden Fall eine reine Qual und schränkt nur noch weiter unnötig ein. Ich persönlich habe keinen Bock drauf und werde wohl nicht weiter Handeln obwohl ich immer sehr viel Spaß hatte und viele nette Leute kennen gelernt habe da durch, so wie es jetzt ist macht es absolut keinen Spaß mehr.

Selbst für kleine Tradeaktionen Sammelkarten, einen CSGO Skin oder TF2 Items an einen Freund geben usw. ist dieses neue System einfach nur der Tod.Oder Coupon-Tausch was will ich mit einem Coupon der abläuft in der Zeit.Mal davon ab das viele Leute gar nicht mehr mit einem Traden werden wenn sie sehen das man keinen Mobil-Auth nutzt. Wer will schon 3 Tage auf sein Zeug warten. Wenigstens hat Valve hier immerhin die Einschränkung der 3 Tage Zurückhaltung auf 24h reduziert wenn man mit einen Freund schon 1 Jahr oder länger befreundet ist. Hier würde ich mir wenigstens eine Whitelist wünschen.

Des weiteren glaube ich ja das es dann bald im Store nen physischen Authenticator geben wird. Für XX Euro um die Leute in ihrer Not noch auszunutzen. Da Steam ja eh in die Geschäfte will, Steam Machines, Controller/Link ein weiteres Produkt ist das sicher hilfreich!

Decorus 16 Übertalent - 4246 - 12. Dezember 2015 - 14:55 #

Das hilft, weil jede Transaktion freigegeben werden muss. Wenn du nur einmal die Session oder den PC freigeben musst, kann die Malware einfach warten, bis die Session oder der PC authorisiert ist. Wenn dies für jede Transaktion durchgeführt werden muss, muss der User schon aktiv beim scammen mithelfen.
Die Zahlen sind auch nicht schwachsinnig.
2011 hatte Facebook 750Mio. Konten und davon waren pro Tag 600.000 Logins kompromittiert. Verglichen mit den 125Mio. Usern (und damit dass man mit nem Steamaccount via Items sofort Geld machen kann) sind 77.000 pro Monat doch ziemlich realistisch.
Und warum es kein 3rd Party Authenticator gibt sagen sie eigentlich recht deutlich:
We needed to create our own two-factor authenticator because we need to show users the contents of the trade on a separate device and have them confirm it there. Requiring users to take a code from a generic authenticator and enter it into a hijacked PC to confirm a trade meant that hackers could trick them into trading away items they didn't intend to. This basically made it impossible to use a generic third party authenticator, such as Google Authenticator, to confirm trades.

Skeptiker (unregistriert) 13. Dezember 2015 - 15:50 #

Was hintert Dritte daran, die Mobilnummer zu ändern und dann mit der neuen Nummer zu arbeiten, schließlich will auch ich als Endkunde bequem die hinterlegte Nummer ändern können, weil die sich (bei manchen Leuten) doch auch dauernd ändert.

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit
MaverickOld LionChrisLJörg Langer
News-Vorschlag: