-
Mitspieler gesucht? Du willst dich locker mit der Community austauschen? Schau gerne auf unserem ComputerBase Discord vorbei!
News Steam-Account Leak: Sicherheit von Steam wurde laut Valve nicht durchbrochen
Daywalker1986
Ensign
- Registriert
- Apr. 2009
- Beiträge
- 137
"sondern wohl nur um SMS-Protokolle" - sind ja "nur" die Mobilfunknummern drin, halb so schlimm 🤬
Könnte Steam mal bitte aufwachen und 2FA mit den gängigen Apps unterstützen? Ja ihr wollt eure SteamApp Pushen, aber die kommt mir nicht aufs Telefon.
Könnte Steam mal bitte aufwachen und 2FA mit den gängigen Apps unterstützen? Ja ihr wollt eure SteamApp Pushen, aber die kommt mir nicht aufs Telefon.
@prayhe: 2FAS nutze ich sogar ;-) Und ja, Aegis und 2FAS hatte ich mir angeschaut, und deshalb hatte ich es im Kopf. Steam habe ich aber offensichtlich noch nicht eingerichtet, naja, mal schauen, ob ich es noch mache.
Und ja, beide würde ich auch empfehlen, 2FAS nutze ich eigentlich nur wegen der einfacheren Sync-Möglichkeit über verschiedene Geräte hinweg.
Wie sieht nun der konrkete Angriff aus? Wo ist die enorme Gefahr?
Und selbst wenn ich MFA via SMS aktiv hätte: Wo ist da die "enorme Gefahr"?
Ich würde den Leuten empfehlen, Steam-Guard zu nutzen. Das wäre eine sinnvollere. Und das Verwenden von Passwortmanagern und Zufallspasswörtern.
Oder man kann nach jedem Leak anfangen Passwörter zu ändern... aber dumm ist es halt, wenn es ein Leak gab, von dem man nichts mitbekommen hat, der vielleicht gar nicht öffentlich wurde, von dem vielleicht nicht mal der Dienst selbst was weiß.
Und ja, beide würde ich auch empfehlen, 2FAS nutze ich eigentlich nur wegen der einfacheren Sync-Möglichkeit über verschiedene Geräte hinweg.
Ergänzung ()
Also angenommen, die hätten sowohl meinen Account-Namen bekommen und meine Handy-Nummer und sogar noch mein Passwort (als ob Valve Passwörter im Klartext speichern würde, aber wir nehmen einfach mal an, dass sie mein Zufallspasswort im Klartext erhalten haben).Krausetablette schrieb:
Wie sieht nun der konrkete Angriff aus? Wo ist die enorme Gefahr?
Und selbst wenn ich MFA via SMS aktiv hätte: Wo ist da die "enorme Gefahr"?
Ich würde den Leuten empfehlen, Steam-Guard zu nutzen. Das wäre eine sinnvollere. Und das Verwenden von Passwortmanagern und Zufallspasswörtern.
Oder man kann nach jedem Leak anfangen Passwörter zu ändern... aber dumm ist es halt, wenn es ein Leak gab, von dem man nichts mitbekommen hat, der vielleicht gar nicht öffentlich wurde, von dem vielleicht nicht mal der Dienst selbst was weiß.
Zuletzt bearbeitet:
Krausetablette
Lt. Commander
- Registriert
- Apr. 2023
- Beiträge
- 1.118
Ich werde hier sicherlich keine Anleitung dazu im Forum posten, zumal der Beitrag ohnehin gelöscht werden würde. Wir wollen CB ja nicht zur Anlaufstelle für detaillierte Anleitungen zu Straftaten machen.tollertyp schrieb:
TheChosenOne
Ensign
- Registriert
- Dez. 2003
- Beiträge
- 178
Absolut!Kuristina schrieb:
@Krausetablette: Dann schreib sie via PM...
Im Übrigen: Ich habe nicht nach einer Anleitung gefragt. Zu sagen, dass man ein Fahrradschloss knacken kann ist nicht verboten, sondern ist sogar für das Sicherheitsverständnis eine wertvolle Information. Wenn ich also frage: "Welche Gefahr habe ich, wenn ich mein Fahrrad mit einem Fahrradschloss an einer Laterne festkette?", dann ist die Antwort "Wenn es ein günstiges Schloss ist kann es vielleicht einfach geknackt werden" kein Aufruf zu einer Straftat oder sonst was.
Deshalb wollte ich wissen, wie so ein Angriff aussehen würde.
Ich werde auch schreiben, wenn sinnvolles via PM kam, aber damit rechne ich nicht.
Weil Passkeys nutze ich schon, z.B. bei ComputerBase. Aber werde es gleich bei Steam einrichten.
Im Übrigen: Ich habe nicht nach einer Anleitung gefragt. Zu sagen, dass man ein Fahrradschloss knacken kann ist nicht verboten, sondern ist sogar für das Sicherheitsverständnis eine wertvolle Information. Wenn ich also frage: "Welche Gefahr habe ich, wenn ich mein Fahrrad mit einem Fahrradschloss an einer Laterne festkette?", dann ist die Antwort "Wenn es ein günstiges Schloss ist kann es vielleicht einfach geknackt werden" kein Aufruf zu einer Straftat oder sonst was.
Deshalb wollte ich wissen, wie so ein Angriff aussehen würde.
Ich werde auch schreiben, wenn sinnvolles via PM kam, aber damit rechne ich nicht.
Ergänzung ()
Ach, bei Steam? War mir neu, danke für die Info.xexex schrieb:
Weil Passkeys nutze ich schon, z.B. bei ComputerBase. Aber werde es gleich bei Steam einrichten.
Zuletzt bearbeitet:
BmwM3Michi
Admiral
- Registriert
- Mai 2009
- Beiträge
- 7.498
wichtig ist, dass man sich von Steam einen Wiederherstellungscode auf einen Zettel notiert! Sollte euer Account geklaut werden, dann könnt ihr ihn mit diesem Code wieder zurückholen! Den Code bekommt man zB über die App, wenn man 2FA aktiviert! In der Steam-App auf die Steam-Guard-Seite, tippe dann auf das Zahnradsymbol und dann auf Recoverycode!
Dirk aus F.
Lt. Junior Grade
- Registriert
- Mai 2019
- Beiträge
- 493
Habe bei Aufkommen der Info mein Passwort geädert - war AFAIK noch aus der (Steam-) Gründerzeit :-)
"Natürlich" nicht bei Steam. Wollte damit nur anmerken, "bequeme" Authentifizierungsverfahren bei denen man an seinem Smartphone nur noch bestätigen muss oder eine Nummer auswählen kann, benötigen keine proprietären Apps vom Hersteller.tollertyp schrieb:
@xexex: Und ich sprach davon, dass Steam Guard bei Steam die Eingabe eines Codes erspart. Keine Ahnung, warum man dann mit Passkeys kommen muss...
Mein Satz war: "Gleichzeitig erlaubt Steam Guard aber auch Sachen, wie dass ich nicht mal einen Code abtippen muss."
Und wenn die Alternative eben ist kein Steam Guard zu nehmen, dann bedeutet das doch zwangsweise das Abtippen eines Codes.
Mein Satz war: "Gleichzeitig erlaubt Steam Guard aber auch Sachen, wie dass ich nicht mal einen Code abtippen muss."
Und wenn die Alternative eben ist kein Steam Guard zu nehmen, dann bedeutet das doch zwangsweise das Abtippen eines Codes.
Die Behauptung war, das wäre ein besonderes Feature der proprietären App, ist es aber nicht. Andere Dienste realisieren es mit frei verfügbaren Standards und Apps. Schön für dich, wenn Steam Guard es auch kann, aber ich würde mich hüten für jeden Anbieter eine eigene App zu installieren.tollertyp schrieb:
Das ist deine Interpretation. Ich habe genau eine Sache behauptet: Dass Steam Guard es erlaubt, auf die Eingabe eines Codes bei Steam zu verzichten. Mehr nicht. Ich habe nicht behauptet, dass es ein besonderes Feature einer proprieteren App wäre, wobei es in Bezug auf Steam das sogar ist. Dass es bessere Möglichkeiten geben würde, darüber habe ich nichts gesagt. Ich habe Steam Guard und SMS/TOTP gegenübergestellt, die Möglichkeiten, die wir heute praktisch haben. Theoretische Lösungen für praktische Probleme bringen halt nichts.xexex schrieb:
Du hast aber gesagt, dass es dafür ja bereits eine offene Lösung gibt. Du hast also behauptet, dass man sich bei Steam via Passkey anmelden kann. Das geht komischerweise nicht. Weil du direkten Bezug auf meine Aussage mit "Steam" und "Steam Guard" geantwortet hast.
Restart001
Commodore
- Registriert
- Sep. 2021
- Beiträge
- 4.630
Was solls? Keine akute Gefahr, mehr will ich nicht lesen müssen.
WilliTheSmith
Lt. Commander
- Registriert
- Dez. 2008
- Beiträge
- 1.304
Komisch, ich bekomme immer eine Mail mit Code als 2nd Factor. App ist gar nicht installiert.Zensored schrieb:
Wünsche mir auch, dass Steam endlich mal von ihrem Custom TOTP weg geht und normales RFC6238 TOTP anbietet.
leipziger1979
Vice Admiral
- Registriert
- Dez. 2014
- Beiträge
- 6.234
Bietet Steam wirklich 2FA mit SMS an?
Dachte das geht grundsätzlich nur über eMail.
Höre ich heute zum ersten Mal.
Das soll mir mal jemand praxisnah demonstrieren!
Dachte das geht grundsätzlich nur über eMail.
Höre ich heute zum ersten Mal.
Das soll mir mal jemand praxisnah demonstrieren!
