Wie sich einige von euch sicher erinnern, schrieb ich kurz nach dem Start von Guild Wars 2 etwas zum Thema Account-Sicherheit. Damals erläuterte ich, wie Hacker Accounts stehlen können, wenn das gleiche Passwort auf mehreren Websites genutzt wird. Ich riet euch, ein exklusives Passwort für euren Guild Wars 2 Account zu verwenden, das ihr für nichts anderes verwendet, und eure Freunde und Gilden-Mitstreiter ebenfalls auf dieses Thema hinzuweisen.
Leider wächst mit Guild Wars 2 auch das Risiko. Da schon bald Guild Wars 2: Heart of Thorns™ erscheint, kommen mit jedem Tag neue Spieler hinzu, und es wird immer wichtiger, den Schutz der Daten jedes Einzelnen zu gewährleisten.
Heute geht es um eine neue Möglichkeit zur Sicherung eures Accounts. Wir bitten euch zudem erneut um eure Mithilfe dabei, diese Informationen mit euren Mitspielern zu teilen.
Sicherheit – warum?
Spiel-Accounts sind für Hacker wie bares Geld. Wenn sie sich einen aneignen, verkaufen sie Gold und Gegenstände und nutzen den Account dann für Botting oder Spamming. Dazu darf es auf keinen Fall kommen, in eurem Interesse wie auch in unserem.
Wie werden Accounts gestohlen? Als Erstes werden Listen möglicher Kombinationen von E-Mail-Adressen und Passwörtern erstellt. Diese haben Hunderte Millionen Einträge. Diese Einträge wurden bei Übergriffen auf Webseiten und Spielplattformen gestohlen oder durch Malware gesammelt. Hierüber liest man ja immer wieder mal etwas. Mit diesen Listen sowie Zugang zu zahlreichen Computern und Internet-Adressen zum Testen unternehmen sie fortwährend Login-Versuche. Auf diese Weise soll festgestellt werden, ob jemand einen Guild Wars 2 Account mit einer E-Mail-Adresse und einem Passwort angelegt hat, die sich bereits auf der Liste befinden.
Doch in der Regel genügt es nicht, E-Mail-Adresse und Passwort eines Benutzers zu besitzen. Wenn sich der Hacker in einen Account einloggen will, erkennt Guild Wars 2, dass der Login von einem anderen als dem üblichen Computer erfolgen soll. Zur Überprüfung wird eine E-Mail an den Account-Inhaber gesendet. Doch wenn sich das Guild Wars 2-Passwort auf der Liste des Hackers befindet, hat dieser oftmals auch das Passwort des zugehörigen E-Mail-Accounts. Also holt er sich die Überprüfungs-E-Mail und führt mit ihr die Verifizierung durch.
Einmalige Passwörter
Die einfachste Maßnahme zur Sicherung eures Guild Wars 2 Accounts – sowie aller anderen Accounts – ist die Verwendung eines exklusiven Passworts für jeden Account. Benutzt ein Passwort für Guild Wars 2, das ihr noch nie zuvor verwendet habt. Und wenn ihr es für Guild Wars 2 nutzt, setzt es nirgendwo sonst ein.
Über die letzten Jahre haben wir die Nutzung exklusiver Passwörter für Guild Wars 2 durch die Erstellung unserer eigenen Liste unterstützt. In ihr befinden sich Hunderte Millionen Passwörter, die Hackern bekannt sind und bei uns folglich nicht für neue Accounts zugelassen werden. Das ist ein gutes Konzept, und Guild Wars 2 hat seit dem Einsatz dieser Liste nur sehr wenige Account-Hacks zu verzeichnen.
Doch auch dieses System ist nicht vollkommen. Die Verwendung neuer Passwörter für Guild Wars 2 führt dazu, dass viele Spieler diese neuen Passwörter vergessen. Allein in diesem Jahr werden sich Hunderttausende von euch an unseren Kundendienst wenden und um Hilfe bei der Wiederherstellung eines Passworts bitten. Wir wissen, dass es frustrierend ist, sich an den Kundendienst wenden zu müssen, nur um in seinen Account zu kommen – und auch für uns bedeutet das eine Menge Arbeit. Wir setzen hierzu zwar ein automatisiertes System ein, doch unsere Nachweisstandards für eine automatische Wiederherstellung sind sehr hoch. Zahlreiche Spieler, die länger nicht gespielt haben, können die nötigen Nachweise nicht erbringen. Wir können die Standards allerdings nicht senken, da Hacker dann Accounts unter Verwendung dieser Funktion stehlen könnten. Es muss also eine andere, bessere Methode her.
Die SMS kommt ins Spiel
Und die gibt es auch. Ihr kennt dieses Verfahren womöglich schon von anderen Sites wie Google oder Yahoo!
In den nächsten Wochen werden wir euch bitten, eine Telefonnummer mit eurem Account zu verknüpfen. Keine Bange, wir spammen euch nicht voll! Die Nummer wird ausschließlich zur Sicherung eures Accounts verwendet.
Sobald diese Verknüpfung abgeschlossen ist und jemand versucht, von einem neuen Ort aus auf euren Account zuzugreifen, senden wir euch eine SMS oder rufen euch an, um sicherzustellen, dass ihr es auch wirklich seid. Wenn ihr dann mal euer Passwort vergesst oder keinen Zugang zu eurem Account habt, könnt ihr eine SMS auf euer Mobiltelefon oder einen Anruf auf eine Festnetznummer anfordern und erhaltet einen Code, mit dem ihr ein neues Passwort festlegen könnt. Mit diesem System verbessern wir die Account-Sicherheit und Account-Wiederherstellung auf einen Schlag.
SMS oder Authenticator
Einige von euch haben ihre Accounts bereits durch eine klassische Zwei-Faktor-Authentifizierung gesichert und eine App wie den Google Authenticator mit ihrem Account verknüpft. In einem solchen Fall könnt ihr diese Authentifizierung weiter nutzen. Wir werden euch dann nicht um die Eingabe eurer Telefonnummer bitten.
Für die meisten Benutzer stellt die SMS allerdings eine bessere Lösung als Authenticator-Apps dar. Was die Sicherheit angeht, sind die beiden Lösungen nahezu identisch: Wenn ihr euch von einem neuen Ort aus einloggen wollt, fordern wir von euch einen Code an. Diesen erhaltet ihr entweder per SMS oder über den Google Authenticator. Für eine Account-Wiederherstellung ist die SMS der klare Gewinner. Wenn ihr nach einer passiven Phase ins Spiel zurückkehrt, habt ihr wahrscheinlich noch dieselbe Telefonnummer, aber nicht unbedingt einen für euren Account konfigurierten Google Authenticator.
SMS bietet gegenüber einem solchen Authenticator noch einen weiteren Vorteil. Wenn ein Hacker einen ungesicherten Account stiehlt, kann er leicht einen Authenticator für diesen Account konfigurieren, was es dem eigentlichen Besitzer des Accounts schwer macht, wieder Zugriff zu erhalten. Es kann sein, dass wir die Nutzung solcher Authenticator-Apps für neue Accounts irgendwann beschränken müssen, um dies zu verhindern. Auch ist es für einen Hacker nicht ganz so einfach, einen Account mit einer Telefonnummer zu verknüpfen. Wir akzeptieren nur legitime Mobilfunk- und Telefonnummern, aber keine Nummern von Anbietern wie Google Voice. Zudem werden die Nummern überprüft. Hacker haben keinen Zugriff auf eine unbegrenzte Anzahl Handys oder Telefone.
Wir sind sehr froh über die Einführung der SMS-Lösung und finden, sie bietet gegenüber dem Authenticator klare Vorteile. Dennoch sei gesagt, dass beide Verfahren die Account-Sicherheit drastisch erhöhen. Wählt einfach das Verfahren, das euch eher zusagt.
Schutz vor Plünderung
Wir raten euch dringend dazu, dass ihr eines dieser Verfahren nutzt, um euren Account zu sichern. Für euch, unsere treuen Guild Wars 2 Spieler werden wir das aber nicht zur Pflicht machen. Ihr habt euren Account schon lang, und er wurde nie gehackt. Die Sicherheit eures Accounts ist somit erwiesen.
Die Accounts mit dem größten Risiko sind neu angelegte Accounts. Dies gilt insbesondere für neu angelegte Accounts, deren Benutzer Blogposts wie dieses nicht kennen, und denen auch noch niemand einen guten Rat bezüglich ihrer Account-Sicherheit gegeben hat. Wir haben die Pflicht, unsere Spieler zu schützen – ganz gleich, ob sie sich mit Account-Sicherheit auskennen oder nicht.
Für einen Spieler ist der schlimmste Teil eines Account-Hacks der Verlust von Gold und Gegenständen. Genau diese sind die größte Motivation für Hacker. Auch wenn sich nicht alles verhindern lässt, so können wir zumindest versuchen, solche Plünderungen zu unterbinden.
In den kommenden Monaten werden wir daher neu angelegte Accounts mit einer Sperre versehen, durch die Gold und Gegenstände nicht aus dem Account entfernt werden können (also auch nicht geplündert), bis der Account durch eine Telefonnummer oder einen Authenticator gesichert ist. Bevor das aber losgeht, geben wir nochmal Bescheid. Und wie gesagt: Dies bezieht sich nur auf Accounts, die ab diesem Datum eingerichtet werden.
Die Implementierung
Jetzt habt ihr viel über die Bedeutung der telefonbasierten Sicherheitsoption erfahren. Doch wie geht das Ganze vonstatten?
Das Programm beginnt sofort und erstreckt sich über mehrere Phasen. Heute bieten wir das neue System einer kleinen Zahl zufällig ausgewählter Accounts an, wodurch es sich auch für uns bewähren kann. Danach fügen wir weitere Accounts in Wellen hinzu – mit dem Ziel, den Vorgang in etwa zwei Wochen abzuschließen. Wenn es bei euch soweit ist, merkt ihr das daran, dass ihr nach dem Login eine Meldung erhaltet, die euch auffordert, den Account mit einer Telefonnummer zu verknüpfen.
Als Dank für euren Einsatz bei der Sicherung eures Accounts erhalten alle Spieler, die ihren Account mit einer Telefonnummer oder einem Authenticator verknüpfen, einen Mini Mystischen Drachen. Wenn ihr den Mini Drachen heute schon wollt, könnt ihr euch natürlich jederzeit für die Zwei-Faktor-Authentifizierung einschreiben. Wenn ihr telefonbasierte Sicherheit bevorzugt, sollte es aber auch nicht länger als zwei Wochen dauern, bis dieses System euch zur Verfügung steht.
Danke, dass ihr bis hierher gelesen habt. Offensichtlich liegt euch die Sicherheit eures Accounts am Herzen, und ihr seid nunmehr besser informiert als die meisten anderen. Bitte seid unsere Botschafter. Informiert Freunde und andere Spieler. Helft ihnen, auch ihre Accounts zu sichern.
Mike O’Brien