Notiz Epic Games Store: Inanspruchnahme von Gratisspielen nur mit 2FA

[Forum-Fraggle]

Würden wir nicht gezwungen ein Login zu verwenden, das wir jedem geben (die Emailadresse), dann gäbe es eine 2fa. Das war früher der Fall. Mit dem Emaillogin haben uns alle Anbieter die 2fa ja erst genommen.

Es war von Anfang an klar, dass die Emailadresse als Login zu verwenden Accounts unsicherer machen wird. Deshalb habe ich diesen Vorgang nie verstanden.

Email Pins sind OK aber eine App werde ich nie verwenden, denn alle Apps spionieren.

Man sollte nue paischal urteilen.

Bei Authentifizierungs-Apps hab ich immer das Problem dass ich nicht weiss welche Daten die Sammeln.
Ausserdem finde ich, geht es Epic Games, Steam oder sonstwen auch nichts an welche Handynummer ich habe.
Und dann ist da noch das Problem was mit den per App gesammelten Daten geschieht. Gut möglich dass Epic alles weiterverkauft.

Vor schreiben sollte man andere Kommentare lesen. Dieser Gedanke wurde zuvor doch klar widerlegt.

Wenn ich schonmal hier schreibe, gibt es auf 2FA "Apps", die man ohne App/Playstore downloaden und verwenden kann?

z.B. FreeOTP unter F-Droid. Ist OpenSource und wäre da irgendetwas, was hier teilweise 2F vorgeworfen wird, wäre es dort nicht mehr.

Edit: andOTP dürfte besser sein, da gibts auch Backup. Einfach mal bei F-Droid nach OTP suchen

 

[Weyoun]

Reicht es denn nicht, dass ich mein lange einstudiertes Passwort ändern musste, weil es angeblich zu unsicher war?! Es hat mir jahrelang treue Dienste erwiesen, aber plötzlich ist es nicht mehr gut genug... Nur weil etwas alt ist, ist es doch nicht automatisch schlecht! Rest in peace „123456“.

Woher kennst du mein Passwort? Das hat dir der Teufel gesagt!

 

[SavageSkull]

damit solche Kommentare wie von @SavageSkull nicht wieder vorkommen.

Die Kritik ist durchaus berechtigt und zielte nicht auf das Konzept 2FA an. Ich habe jetzt drei Apps am Handy die einfach nur stupide Authenticator heißen und als Symbol einfach nur ein Schloss haben. Jedes Mal, wenn ich sie brauche öffne ich die falsche, weil ich nicht weiß welcher Authenticator zu was gehört. Es gehört sich einfach Software auch so zu gestalten, dass sie intuitiv von nicht Techies verständlich zu bedienen ist.

 

[lixxbox]

Für mich spricht nichts gegen 2FA.
Ich verstehe nur nicht, warum das bei einem relativ neuen Dienst nicht von vornherein erzwungen wird.

 

[merlin123]

Mal sehen wie lange das dauert bis sich dieser "Shop" tatsächlich mal so ausbaut, bis man es Shop nennen kann.
Bin kein Fan vom EGS aber gut das mal was positives eingeführt wird. Leider immernoch kein Grund mir zusätzlich diesen Launcher zu installieren.

 

[Nilson]

Ich habe jetzt drei Apps am Handy die einfach nur stupide Authenticator heißen und als Symbol einfach nur ein Schloss haben.

Welche benutzt du denn? Ich hab nur eine. Denn die allermeisten Diente gehen auch mit anderen Apps, auch wenn die beim Einrichten nicht Namentlich erwähnt werden. Selbst die 2FA Funktion von Microsoft lässt sich mit anderen Apps nutzen.
Ausnahme sind die proprietären Apps von Banken/Steam. Die heißen dann aber auch entsprechend eindeutig.

 

[Robert.]

F-Droid Store ist der einzige App-Store den ich am Telefon habe, werde ich mir ansehen, danke für den Tipp @Forum-Fraggle

Was nicht geht, ist so ein Schwachsinn wie die battle.net App, die man nur über google/apple bekommt.
Dennoch möchte ich außerhalb von Bank/Shopping keinerlei 2FA verwenden, weil es alles nur umständlicher und komplizierter macht.

 

[TNM]

2FA...das Heilmittel auf den verzweifelten Versuch, Accountverlust zu verhindern, bzw. die Unternehmen vor dem Aufwand manueller Verifizierungen bzw. Nutzeransprüchen zu entlasten.

Hey, easy, einfach Email+pw festlegen (natürlich mit vielen Zeichen und 1x im Monat ändern), dann 2FA aktivieren und für immer sicher sein. Ab jetzt ist der Kunde schuld selbst wenn wir seine Daten in die Öffentlichkeit blasen, geil. Startet die KI, entlasst die Supportmitarbeiter, brauchen wir nicht mehr.

Aber halt, der Nutzer sollte wissen, 2FA will gepflegt werden:

App? Super easy. Einfach installieren und verknüpfen. Achso, und natürlich Backup machen. Wie, Backup? Ja klar, du willst dich doch nicht aus der App aussperren und damit alle verknüpften Accounts unbrauchbar machen? Eben. Also, Sicherungscode am besten ausdrucken und ablegen. Hast du dann eventuell nicht dabei? Tja...Opfer muss man bringen. Oder einfach in die Brieftasche, weiß doch keiner. Außerdem, wer loggt sich denn auch außerhalb seines Heimrechnes ein, ich meine...es ist eh grad Corona.

Disclaimer: achso...der Zugang zur App muss gesichert werden. Benötigst du ein PW dafür. Wie, noch eines? Ja klar, am besten mit 2FA. Und Passwortmanager, weil wie merkt man sich sonst die PW's. Und der muss auch gesichert werden...ist doch wohl klar.
Wie, hast du nicht verstanden? Also, nochmal von vorn...
Aja, eine App reicht eventuell nicht, könntest mehrere benötigen, je nach dem was du alles so benutzt. Ist doch ein klacks, das managest du locker aus dem Handgelenk. Die paar Apps, 2FA Clients und PW Manager...notfalls ausdrucken, weiß doch niemand...pssstt.

Ok, App klingt irgendwie anstrengend, seh ich ein. Wir haben ja ein Gerät das wir immer dabei haben. Handy. Das ist die Lösung. Einfach alle Accounts mit 2FA mit Handy verknüpfen. Was kann schon schief gehen? Datenschutz, also bitte, Daten sind das neue Öl, hat man dir doch erklärt, oder?
Handy ist doch das zuverlässigste Stück Technik das nie kaputt wird und nie keine Empfang hat. Wir sind hier in Deutschland, top Netz. Wie, außerhalb Deutschlands...was meinst du damit?
Außerdem, wir wechseln das auch nie, und die Telefonnummer auch nicht. Warum nicht das ganze digitale Leben an EIN Gerät hängen, klingt super vernünftig. Also dein skeptischer Blick riecht nach DAU.

Aber, weil wir vorsichtige Nerds sind (haha, die dummen DAUs), müssen wir uns vor Verlust des Handies und dessen Zerbrechlichkeit absichern. Also jeden Zugang noch getrennt für ein Restore per Code ausdrucken.
Am besten neben den Arbeitsplatz oder in die Brieftasche, man könnte ja mal unterwegs sein.

Wenn wir dann alle Absicherungen für unsere Absicherungen gesichert haben fühlen wir uns endlich wieder sicher.
Wie, über solche Leute haben wir früher gelacht? Achso...ja jetzt nicht mehr. Wir zwingen einfach alle zur 2FA, dann lacht Niemand mehr.

 

[der Unzensierte]

2FA ist grundsätzlich ok, auch wenn der Grund hier das Verhindern von claimen durch bots sein dürfte. Das mit 2FA nebenbei noch Daten anfallen ist ganz sicher gewünschter Zusatznutzen. Man könnte aber auch ganz einfach aufhören die Spiele kostenlos zu verschleudern. Ich glaube denen wird der Spaß langsam zu teuer und bringt nicht den gewünschten Effekt.

 

[NeMeSiS_tm]

@ComputerBase

Wie wäre es wenn ihr eure Community aufklärt was 2FA ist, wie es funktioniert, welche Daten dabei anfallen. usw usw usw.

Es sieht so aus als hätte nur ein Bruchteil der User den hauch einer Ahnung davon wie das funktioniert. Was das ist, und wie man die App/Apps handhabt. Ich will hier nicht Leute zitieren, aber das Halbwissen von dem ich hier lese ist erschreckend.

 

[MaverickM]

Zwei-Faktor-Authentifizierung ist eine feine Geschichte und sollte man auf jeden Fall nutzen, um den Zugang zu solchen Diensten wirklich nur auf zwei Parteien zu beschränken. Dumm nur, wenn eine der beiden Parteien schon im Voraus nicht vertrauenswürdig ist...

 

[Ernie75]

Ach, so lange es über Mail auch geht, die haben sie ja sowieso. Das ist ganz fair. Wenn die sich gegen Bots schützen wollen ist das ok.

Es ist natürlich total sinnvoll, für die 2FA die gleiche Mailadresse zu verwenden, wie für den Accountlogin. Dann ist der Account auch gleich noch sicherer weg, sobald der Email-Account kompromittiert wurde...

Bei Authentifizierungs-Apps hab ich immer das Problem dass ich nicht weiss welche Daten die Sammeln.
Und dann ist da noch das Problem was mit den per App gesammelten Daten geschieht. Gut möglich dass Epic alles weiterverkauft.

Das ist ein grundlegendes Problem mit dem Vertrauen in die Kombination Firmen und Datensicherheit bzw. Datensammelwut.
Jeder weiss, daß es möglich ist, sehr viele Informationen über jemanden zu gewinnen, indem man Daten kombiniert. Bestimmte Firmen haben das sehr exzessiv genutzt und/oder sind mit den Nutzerdaten nicht sorgfältig umgegangen. Das Vertrauen in die Firmen und auch staatlichen Stellen leidet massiv darunter und irgendwann ist das grundsätzliche Vertrauen kaputt. Und dann kann eine Firma auch eine App rausbringen die wirklich keine Daten sammelt und man glaubt es einfach nicht, daß es so ist. Aus dem Dilemma gibt es dann kaum einen kurzfristigen Ausweg.
Und überprüfen kann man es halt als "Normalo" nicht.
Welche Daten Epic allerdings über eine Drittanbieterapp für die 2FA gewinnen können soll, erschließt sich mir nicht, da die App ja grundsätzlich unabhängig von Epic ist.

Für mich spricht nichts gegen 2FA.
Ich verstehe nur nicht, warum das bei einem relativ neuen Dienst nicht von vornherein erzwungen wird.

Das ist wie mit den Stufen beim reingehen in eine normalen Laden. Die Eingänge werden nach Möglichkeit immer ebenerdig angelegt oder mit einer flachen Rampe. Treppenstufen werden vermieden, gerade wenn es Laufkundschaft gibt.
Eine Treppe wird von Menschen unterbewusst eher gemieden, auch wenn sie keine Probleme bei der Überwindung macht und in Einzelhandel gibt/gab es eine Faustformel, daß jede Stufe dann ca. 10% Umsatz kostet.

Zum Thema: Sehr gut. Sollte in viel mehr Bereichen eingerichtet werden. Denn zuvielen Menschen ist die Unsicherheit ihrer Accounts gar nicht bewusst.
Und ich Reihe mich bei denjenigen ein, die darum bitten, daß ihr @SV3N mal einen Aufklärungsartikel über 2FA bringt.

 

[Rastla]

Die google App unterstützt kein Backup/Export. Mag ein "Sicherheitsfeature" sein, macht es aber recht umständlich, wenn man auf ein anderes/neues Smartphone umsteigen will.

Daher verwende ich Authy. Unterstützt auch Push-2FA oder wie man das nennt mit z.B. Twitch

 

[Immortal Ghost]

Ich weiß wie man das benutzt aber es geht mir darum wenn jetzt JEDER meiner 9 Launcher(Ubisoft nervt auch ständig damit) das verlangt bin ich bei System Start nur am bestätigen oder irgendwelche Zahlencodes am eingeben. Da habe ich kein book drauf. Der PC wird eingeschaltet und die Launcher starten automatisch und updaten die Games....diese "Routine" ist damit nicht mehr gegeben.

Hallo, ich bin Jahrelanger Mitleser hier im Forum, aber bei soviel Unwissenheit wie oben im Text mußte ich mich jetzt mal hier Anmelden.

Ich habe 2FA per Google-Authentificator bei Google-Mail, Ubisoft, EA, Epic, PayPal, Microsoft, Amazon und HumbleBundle aktiviert. Zusätzlich noch Steam per Steam-Guard.

Bei keinem dieser Anbieter muß man bei jedem Start den per App generierten Code eingeben. Solange man immer den gleichen PC für diese Sachen/Accounts nutzt muß man vereinzelt alle paar Monate mal erneut einen Code beim Login eingeben.
Nur wenn man den PC neu Einrichtet, ein Backup zurückspielt oder einen neuen PC kauft dann muß überall der Code beim ersten Login eingegeben werden, danach auch wieder Monatelang nicht mehr.

PayPal ist hier aber eine Ausnahme, da dort bei jeder neuen Transaktion/Login dieser Code eingegeben werden muß. Finde ich aber OK, da es sich hier um eine direkte Finanzielle Transaktion handelt und mir Sicherheit lieber ist als Bequemlichkeit.

...außerdem hatte ich schon mal (ich glaube bei Origin) das ich diese 2 fach Authentifizierung aktiviert hatte und nach einer Neuinstallation meines Handys kam ich nicht mehr bei Origin rein weil die APP nicht mehr akzeptiert wurde...ich hatte zum Glück noch die Backup Codes gespeichert.

Tja, das ist auch Richtig so und gewollt.

Du beommst bei einer Einrichtung von 2FA per Google-Authentificator-App auch vom Anbieter gesagt das du die Backup-Codes Sicher aufbewahren sollst, damit du z.b. bei einem Defekt des Handys noch 100% Zugriff auf deine Accounts hast wo du 2FA aktiviert hast.

Wenn du dein Handy neu eirichtest oder ein Neues kaufst und Du den QR-Code/Zahlen-Code, den du bei der Ersteinrichtung bekommst, nicht mehr hast, mußt Du machen: Überall das 2FA vorher deaktivieren, und richtest es danach neu ein.

Oder Du hast den QR-Code/Zahlen-Code den du bei der Ersteinrichtung bekommst gesichert, und kannst dann diesen jedesmal auf deinem Neu eingerichteten Handy bzw. ganz neuem Handy diesen in der Authentificator-App einscannen/eingeben, und kannst weiterhin dann problemlos die generierten Codes der App nutzen.

 

[TigerNationDE]

Wer 2FA heutzutage nicht nutzt, ist eh selbst schuld. Wenn ich alleine meine ständigen Anfragen sehe die ich übers PSN bekomme....... Will nich wissen was die schon alles gemacht hätten wenn ich nen normalen Log In hätte

 

[DefconDev]

ermutigen mit drangsalieren austauschen, dann passt es.

Ganz ehrlich, dich zwingt niemand zu irgendetwas. Was ihr unter Zwang versteht, ist echt ein 1. World-Problem. Ich kann es echt nicht mehr hören.

 

[Chillaholic]

Was ihr unter Zwang versteht, ist echt ein 1. World-Problem.

Ich finde einfach ermutigen als unpassender Begriff, denn ohne 2FA geht das ganze halt nicht.
Das ermutigt mich nicht dazu, sondern zwingt mich dazu, sofern ich das Spiel haben möchte.

 

[Immortal Ghost]

Was die alle hier mit Zwang haben, kann ich auch nicht verstehen.

GEZ = Zwang
Lohnsteuer=Zwang
Mehrwehrtsteuer=Zwang
usw.

Aber wenn Epic Games verschenkt und dafür 4 Wochen lang 2FA haben möchte hat das Null mit Zwang zu tun.
Man hat die Wahl ob man es möchte oder nicht, bekommt bei Verzicht halt nur nichts Geschenkt.

Wenn Eure Großeltern euch Geld schenken wollen, man dafür als Dank aber z.b. mal den Rasen in Ihrem Garten mähen soll macht man das ja auch freiwillig oder verzichtet. Oder zwingen die Großeltern euch das Geld zu nehmen und somit auch den Rasen zwanghaft zu mähen?

 

[Andre NotSure]

Hallo, ich bin Jahrelanger Mitleser hier im Forum, aber bei soviel Unwissenheit wie oben im Text mußte ich mich jetzt mal hier Anmelden.

Ich habe 2FA per Google-Authentificator bei Google-Mail, Ubisoft, EA, Epic, PayPal, Microsoft, Amazon und HumbleBundle aktiviert. Zusätzlich noch Steam per Steam-Guard.

Bei keinem dieser Anbieter muß man bei jedem Start den per App generierten Code eingeben. Solange man immer den gleichen PC für diese Sachen/Accounts nutzt muß man vereinzelt alle paar Monate mal erneut einen Code beim Login eingeben.
Nur wenn man den PC neu Einrichtet, ein Backup zurückspielt oder einen neuen PC kauft dann muß überall der Code beim ersten Login eingegeben werden, danach auch wieder Monatelang nicht mehr.

PayPal ist hier aber eine Ausnahme, da dort bei jeder neuen Transaktion/Login dieser Code eingegeben werden muß. Finde ich aber OK, da es sich hier um eine direkte Finanzielle Transaktion handelt und mir Sicherheit lieber ist als Bequemlichkeit.




Tja, das ist auch Richtig so und gewollt.

Du beommst bei einer Einrichtung von 2FA per Google-Authentificator-App auch vom Anbieter gesagt das du die Backup-Codes Sicher aufbewahren sollst, damit du z.b. bei einem Defekt des Handys noch 100% Zugriff auf deine Accounts hast wo du 2FA aktiviert hast.

Wenn du dein Handy neu eirichtest oder ein Neues kaufst und Du den QR-Code/Zahlen-Code, den du bei der Ersteinrichtung bekommst, nicht mehr hast, mußt Du machen: Überall das 2FA vorher deaktivieren, und richtest es danach neu ein.

Oder Du hast den QR-Code/Zahlen-Code den du bei der Ersteinrichtung bekommst gesichert, und kannst dann diesen jedesmal auf deinem Neu eingerichteten Handy bzw. ganz neuem Handy diesen in der Authentificator-App einscannen/eingeben, und kannst weiterhin dann problemlos die generierten Codes der App nutzen.

Ok...wenn das so ist...danke für die Aufklärung....ich werde mich mal damit beschäftigen und es mal testen.

 

[Bigeagle]

Zwang? Sie schenken dir was und knüpfen das an Bedingungen und du nennst das zwang? äh?

Dann ist es nur kein Geschenk mehr
Das ist dadurch definiert dass es an keine Bedingungen geknüpft ist. So könnte man nun sagen dass sie Spiele gegen Kontaktaddressen, bzw 'App'-Nutzung verkaufen ^^

Aber solange email noch geht verstehe ich die Aufregung nicht richtig. Lästig wenn man gerade schwer an seine mail rankommt, aber ohne email bekommt man doch sowieso keinen account, oder?
Rein SMS oder App fände ich dagegen grenzwertig. Mir bliebe da sowieso nur SMS und das funktioniert oft genug nicht richtig. Zumal, warum sollte ich mein Handy brauchen um meine Spiele am PC zu verwalten/nutzen?