Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSteam-Account Leak: Sicherheit von Steam wurde laut Valve nicht durchbrochen
Ich glaube die Leute die kein MFA nutzen, wissen gar nicht, wie einfach es ist den Steam Guard zu verwenden. Defacto scannt man mit dem Handy nur den QR Code auf dem Monitor und ist eingeloggt.
Und Leute, die MFA nutzen, wissen, wie zurückgeblieben Steams Implementierung ist, von einer 2FA in der eigenen App anstatt auf MFA Apps via QR-Code zu setzen.
Besser als garnichts, aber immernoch für die Tonne.
@leipziger1979: Ja, auch ich hatte früher MFA via SMS bei Steam aktiviert, so weit ich weiß.
@schwimmcoder: Zumindest wäre es schön, wenn Steam Guard "optional" wäre, und man ein standardisiertes TOTP zusätzlich bieten würde.
Dass Steam Guard sich auch in anderen Clients nutzen lässt ist zwar "nett", aber dennoch doof, dass so etwas explizit als Feature integriert werden muss.
Trotzdem würde ich mir wünschen, dass Steam z.b. TOTP unterstützen würde.
Aber ja, besser als der SMS-Blödsinn oder gar kein 2FA ist der Steam Guard allemal
Was ich halt nice finde sind solche Features wie das "QR-Scan". Letztens PC neu aufsetzen müssen (sehr praktisch aber bspw. auch beim Setup vom Steamdeck), Steam installiert, QR-Code mit App gescannt - eingeloggt.
Wenn jemand Zugriff auf das Netzwerk hat, kann er ggf. die SMS mitlesen oder umleiten. Sehr viel geht aber auch über Socail Engineering, SIM Swap etc.
Deswegen ist SMS über 2FA halt unsicher und zurecht bei Banken untersagt worden.
Ergänzung ()
tollertyp schrieb:
Zumindest wäre es schön, wenn Steam Guard "optional" wäre, und man ein standardisiertes TOTP zusätzlich bieten würde.
@leipziger1979 Das wurde doch schon etliche Male bestätigt. SMS ist unsicher. Vor allem das genutzte antike Routing Protokoll SS7. Im Prinzip kann jeder beliebige Carrier sagen, dass ein Client über sein Netz erreichbar ist und schon landen die Calls und SMS bei denen. Oberflächlich vergleichbar mit BGP-Hijacking. Außerdem sind SMS nicht verschlüsselt. Es gibt etliche Dokumente, die verschiedene Angriffsszenarien erklären und auch Beispiele, wo das passiert ist. Details zur Sicherheit gibt es z.B. hier.
Klar, ist ja auch OK wenn es zusätzlich den Steam Guard gibt. Aber mich stört es z.b. extrem, da ich proprietäre Software auf dem Handy auf einem separaten/abeschotteten Profil laufen lasse und daher immer, wenn ich Steam 2FA brauche, umständlich umschalten muss.
Gibt da quasi verschiedene Abstufungen. MFA via Mail wird nicht gleichermaßen wie die App behandelt. Will heißen dass du z.B. bei Trades 14 Tage (glaube ich waren es) Wartezeit hast bis zur Durchführung, während bei Bestätigung via App sofort der Trade rausgeht
Ich habe nie behauptet Steam würde offene Standards unterstützen, sondern genau die fehlende Unterstützung dieser kritisiert. Es gibt aus Kundensicht nichts was für die Steam App und gegen eine offene Standards spricht.
Steam ist sehr sicher, zumindest kein Sony 😅. 100% wird es leider nie geben. Auch wenn das in diesem Fall nichts nützt, nutzt Alias E-Mail wie simplelogin.io.
War wieder Panikmache.
Gut, dass CB da nicht aufgesprungen ist. Gamestar News Titel ist zum Kotzen, Clickbait!
Ergänzung ()
schwimmcoder schrieb:
Und Leute, die MFA nutzen, wissen, wie zurückgeblieben Steams Implementierung ist, von einer 2FA in der eigenen App anstatt auf MFA Apps via QR-Code zu setzen.
Besser als garnichts, aber immernoch für die Tonne.
Du unterstellst Steam, dass sie es nicht besser können?
Ich würde Gabe nie unterstellen, dass er bei der Sicherheit Einsparungen vornimmt, wenn es so schlecht um Steam Guard steht.
Nicht können oder nicht wollen.
Jedenfalls ist die aktuelle Lösung unkomfortabel, weil Steam Guard nur auf einem Gerät geht, selbst Banken sind da fortschrittlicher. Von Sicherheit kann man nur munkeln, aber ich vertraue einem weit etablierten Standard, der bekannt ist, mehr, als einer propritären Web-App, die einfach existiert.
Ich glaube die Leute die kein MFA nutzen, wissen gar nicht, wie einfach es ist den Steam Guard zu verwenden. Defacto scannt man mit dem Handy nur den QR Code auf dem Monitor und ist eingeloggt.
Also hier nochmal der Appell, nutzt MFA.
Und wie so oft sind Drittanbieter das Problem. Ich wäre dafür, dass auch der Hauptanbieter in vollem Umfang haften muss, was seine Dienstleister verbocken. Dann wäre nämlich morgen der Spuk vorbei.
Mich hat kürzlich Mal ne Nummer aus Polen angerufen auf dem Handy. Das war das erste Mal überhaupt, dass mich sowas auf dem Handy erreicht hat. Vielleicht hing das damit zusammen.
+48697748789
2FAS hat dazu einen Guide geschrieben wie man grob vorgeht: https://2fas.com/support/2fas-mobile-app/how-to-add-a-steam-guard-token/
Ist natürlich nicht so bequem wie normale Dienste einzubinden, aber macht man ja nur einmal. Aegis hat ja genau wie 2FAS die Option beim hinzufügen eines Tokens auf "STEAM" umzuschalten, heißt der Vorgang wird da ähnlich sein
Und Leute, die MFA nutzen, wissen, wie zurückgeblieben Steams Implementierung ist, von einer 2FA in der eigenen App anstatt auf MFA Apps via QR-Code zu setzen.
Besser als garnichts, aber immernoch für die Tonne.
Steam nutzt TOPT. Es gibt einen Schlüssel mit dem man einen zeitabhängigen Code generieren kann. Schlüssel kann man aus dem Smartphone extrahieren oder stattdessen alternative Steamguard clients benutzen. Nun kann man mit 2FA TOPT einloggen. Ich nutze KeyPassXC um die TOPT codes für den Login zu generieren.
Trades bestätigen kann man damit nicht, dabei hilft ArchiSteamFarm (ASF).
Jemand aus meiner Friendslist wurde mal gehackt und mit ihm hab ich sehr oft CS gespielt gehabt und meinte wir spielen ein Turnier bei dem der Sieger Skins kriegt.
Ich installiere natürlich das "Anticheat" und ich hab tatsächlich eine exakte Kopie vom Steam Login offen und war wohl in Gedanken, da ich mich nie ausgeloggt habe.Zack gebe ich meine Daten ein und die Ratte hat alle Daten auf seinem Fakeprogramm angezeigt bekommen und weg war mein Account.
Hatte aber nichts wertvolles und konnte ihn zum Glück wiederbekommen.Einzige Panik, die ich hatte war, dass er mit meinem Account cheated und mein 03er Steam Acc versaut ist.Also immer aufpassen.
Aber was ich noch vergessen habe.
Was so krass an der Sache war.Ich hab das Programm noch extra bei Virustotal hochgeladen und checken lassen und das wird ja dann von mehreren Programmen geprüft und es wurde nichts entdeckt.
Das hab ich nie kapiert wieso das nicht erkannt wurde.Vielleicht kennt sich ja jemand aus und kann mir sagen wieso das nicht erkannt worden ist, da mich das sehr interessieren würde.
Vor ein paar Monaten wurden meine Anmeldedaten bei Steam leider auch einmal "gefished".
Ein "Freund" aus meiner Liste, mit dem ich früher viel gespielt habe, hat mir geschrieben und mich gefragt ob ich auf einer Website für ihn und sein Team voten könnte. lol
Aber die Anmeldung schlug 2 oder 3 mal fehl.
Die Daten inklusive Code hat dann jemand anderes verwendet um sich beim echten Steam anzumelden.
Das roch mir dann schon ziemlich verdächtig und merkwürdig, und ich habe mein Passwort sofort geändert und alle Geräte aus meinem Account geschmissen.
Aber es wurden in den paar Minuten schon über 100 Leute aus meiner Freundesliste angeschrieben und haben den selben Link erhalten.
Alle Leute die angeschrieben wurden sind auch auf der Blockliste gelandet, vermutlich damit ich nicht merke was da läuft falls mir jemand antwortet.
Ich habe das dann auch dem Steam Support gemeldet, aber denke nicht, dass da sonderlich viel passiert ist.
Seitdem verwende ich auch die Steam App zur Anmeldung.
Die Geschichte mit dem QR Code kann man nicht so leicht fälschen denke ich.
