Lords of Heaven

Scheint so, als hätten sie vor kurzem erstmal groß Accountdaten abgefischt und plündern sie nun am Fließband. Wird sicherlich noch den ein oder anderen mehr treffen, sofern nicht bereits geschehen. Auch wenn das Zeug in den meisten Fällen von Blizzard sicher wiederhergestellt werden kann, ist das doch unschön und sollte durch entsprechende Maßnahmen vermieden werden. "Mein PC ist sicher, ich surfe auf keinen Tittenseiten (als ob!) und wenn schon, meine privaten Daten interessieren eh keinen" ist ziemlich dumm.

1. Alles auf dem neusten Stand halten

a) Windows Update. Jeden Monat ist Patchday bei MS und den sollte auch jeder wahrnehmen. Entweder per Autoupdate oder für die Kontrollfreaks eben manuell. Wenn ihr irgendein vergammeltes gecracktes Windows habt und ihr entweder nicht patchen könnt oder wollt, dann besorgt euch entweder endlich eine gescheite Version oder patcht es verdammt (Microsoft geht in keinster Weise direkt gegen "Kunden" vor, selbst wenn ihr ihnen auf die Nase bindet, dass ihr es kopiert habt)

b) sonstige Updates (Acrobat Reader, Adobe Flash, Java, Browser): Hier gilt das gleiche; wenn ihr es nicht auf die Reihe bekommt, ASAP Sicherheitspatches zu installieren, dann schaltet das ganze Zeug auf Autoupdate.

c) direkter Check: http://www.heise.de/security/dienste/Upd…eck-843063.html (braucht Java Runtime Environment)

2. Gefahren vermeiden:

Ist ungefähr so sicher wie Coitus Interruptus zur Empfängnisverhütung, wenn selbst Flashbanner auf seriösen Seiten Trojaner verbreiten. Trotzdem gibts Dinge, die helfen:

a) Adblock Plus für Firefox installieren (incl. vorgefertiger Filterliste) bzw. Äquivalent für euren Browser

b) keine unseriösen Tools (hallo Keygen für den neusten ROFL-Shooter) nutzen bzw Keygens in ner Sandbox ausführen (=VirtualPC mit nem eigenen Windows drauf) - bekommt ihr eh nicht hin, auch wenn ihr es euch einredet

3. Passwortsicherheit:

(Nutzt natürlich rein gar nichts gegen abgehörte Passwörter / Trojaner, sondern eher gegen manuelle Angriffe)

a) enigma06 ist kein sicheres Passwort, pizza1986 auch nicht. Solche Passwörter werden zwar nicht direkt per bruteforce geknackt oder sogar erraten, aber man kann sie "knacken", indem man die per MD5 gehashten Passwörter (an die kommt der Admin des ROFL-Weed-Forums bzw. alle die 20 Leute, die per Sicherheitslücke aus Spaß seinen Account kennen) in MD5-Cracker stopft (gibts Webseiten für) und dann entweder das Passwort direkt für den WoW-Account benutzt oder PNs mit Accountdaten abfängt

b) Benutzt für verschiedene Dinge verschiedene Passwörter und besonders das Battle.Net-Passwort nirgendwo anders. Am besten ist ein zufälliges Passwort mit 10+ Zeichen (die Rainbowtables = vorberechnete Tabellen der MD5-Cracker umfassen in der Regel bis 8 Zeichen) aus einem möglichst hohen Zeichenvorrat, d.h. auch mit Groß/Kleinschreibung, Zahlen und idealerweise paar Sonderzeichen.

Problematisch wirds dann mit der Usability, d.h. man muss dieses Passwort dann auch noch behalten können. Obwohl sonst immer sehr davon abgeraten wird, empfehle ich für WoW-Accounts in den meisten Fällen einen Zettel am Monitor / Pinnwand (ohne Kontext). Warum? Weil ihr eh alle Kellerkinder ohne soziale Kontakte seid (:P ) und die potenziellen Angreifer nicht eure Familie / Freunde sind, sondern irgendwelche bösen Fremden aus dem Internet, die niemals euer Zimmer sehen können (ausser, ihr seid ne Camwhore und stellt euer Bild mit Monitor im Hintergrund ins Internetz).
Immer überlegen, gegen wen man sich schützt: Gegen Online-Angreifer ist der Zettel sicherer als der "Sonstiges"-Ordner auf eurem Desktop. Gegen Familie & Co (=eure Pr0nsammlung) irgendein 6-Buchstabiges-Kindersicherungspasswort, was ihr euch dafür gut merken könnt.

c) Sicherheitsfragen sind die Pest. Man sichert seinen Account mit einem 20stelligen Zufallspasswort, aber jeder kann per Passwort-Vergessen-Funktion a la "Wie ist das Geburtsjahr Ihrer Mutter" das Passwort resetten. Wenn man also sowas benutzt, überlegen was man da eingibt und es nicht unsicherer lassen als das eigentliche Passwort. Eine Kette ist nur so stark wie ihr schwächstes Glied.

d) Wenn ihr in Wohnheimen / Uni seid, ist es von besonderer Bedeutung, dass ihr drauf achtet, ob euer Zugang verschlüsselt ist (zB über nen VPN-Client). Wenn ihr euch den Äther oder sonst einen Abschnitt eurer Leitung mit anderen teilt (mit geteiltem Schlüssel), können und werden es irgendwelche Nerds abhören, wenn ihr unverschlüsselt euch ins Forum etc einloggt. Solltet ihr irgendwelche uber-Nerds mit im Netz haben, müsst ihr rein theoretisch bei SSL/TLS-Verbindungen besonders auf die Zertifikate achten (was ihr sonst mit an Sicherheit grenzender Wahrscheinlichkeit normalerweise nicht tut), aber das IMHO nicht wirklich praxisrelevant. Der WoW-Login selber ist sicher.

e) Wenn ihr eure Accountdaten weitergebt (was einige leichtfertig tun), dann denkt daran, dass es nicht nur darauf ankommt, ob ihr den anderen für vertrauenswürdig haltet. Es bringt nichts, wenn ihr selber euren PC paranoid absichert und die Daten dann dem coolen Typen gebt, der nie was damit anstellen würde. Natürlich würde er nicht, aber darum geht es nicht, sondern es geht um den Sicherheitsaufwand, den die andere Person pflegt und der wird unter Umständen geringer sein als euer eigener.

4. Mächtiger Blizzard-Authenticator

Ist auf jeden Fall die beste Lösung und ist in Relation zu allen anderen Maßnahmen bombensicher. Warum? "Normale" Logins benutzen, egal was sie alles abfragen, nur eine Methode: "something you know". Es gibt grundsätzlich zwei weitere Methoden - "something you own" (=man muss etwas besitzen, also zB eine Chipkarte, einen Schlüssel oder eben ein ID-Token) und "something you are" (=Identifizierung über biometrische Merkmale wie Fingerabdruck).
Der Blizzard-Authenticator verbindet zwei Methoden und stellt damit eine sog. "Two-Factor Authentication" dar. Um damit in euren Account zu kommen, muss man also sowohl euer Token stehlen, als auch an das Passwort kommen. Raubüberfall mit Folter quasi.

Blöderweise scheint man dieses Ding nur mit Kreditkarte zu bekommen, aber ein GM hat mich darauf hingewiesen, dass es auch mit Maestro ginge und damit mit den meisten Bankkarten - hab ich allerdings noch nicht überprüft.

/Edit: Der GM hat sich natürlich vertan, es bleibt dabei - man braucht eine Kreditkarte

Es gibt allerdings für Leute, die bisher keine Kreditkarte haben, weitere Möglichkeiten:

a) kostenlose Kreditkarten wie die Barclaycard: http://www.barclaycard.de/

b) virtuelle Kreditkarten: http://www.wirecard.de/
Man erstellt hier ein Online-Konto, was per SMS überprüft wird. Daraufhin überweist man mind. 10 Euro und hat, sobald das Geld eingetroffen ist, eine MasterCard-kompatible virtuelle PrePaid-Kreditkarte ohne großes Risiko.