Kontosicherheitsfunktionen: Status-Update

24 Oktober 2019 Technisches

Auch wenn unser letztes Update eine Weile her ist, haben wir weiter an Verbesserungen f�r die Kontosicherheit gearbeitet. Ab heute gibt es Authentifikator-�berpr�fungen beim Login auf der Webseite und die Arbeit an weiteren Authentifikator-Verbesserungen geht weiter.

Allerdings gab es auch anhaltende, mehrmonatige Angriffe auf unsere Server, die unsere Zeit in Anspruch genommen haben, sodass andere, offensichtlichere Projekte nach hinten verschoben wurden.

Hier ist ein Update �ber unseren aktuellen Stand:

Authentifikator-Verz�gerung

Seit unserem letzten Blog haben uns viele von euch mitgeteilt, dass sie gerne zus�tzliche Sicherheit f�r den Authentifikator h�tten. Ein h�ufiger Wunsch dabei war die Einf�hrung einer Verz�gerung bei �nderungen am Authentifikator.

Eine Verz�gerung w�rde euch die Chance geben, zu verhindern, dass eine Person, die Zugriff auf eure E-Mail-Adresse hat, euren Authentifikator deaktiviert. Allerdings w�rde die Einf�hrung einer Verz�gerung auch einige Probleme mit sich bringen:

1. W�hrend der Verz�gerungsphase w�rde jegliche Warnung eine Reaktion von euch erfordern.

2. Jegliche E-Mail-Warnung w�rde an eure kompromittierte E-Mail-Adresse gesendet werden. Somit kann jeder, der Zugriff auf euer E-Mail-Konto hat, diese Warnung einfach l�schen.

3. Wenn die E-Mail-Warnung gel�scht wird, besteht die Gefahr, dass ihr diese nicht seht, wenn ihr euch w�hrend der Verz�gerungsphase nicht einloggt.

4. Eine weitere Komplikation stellt dar, dass die E-Mail potentiell in eurem Spam-Ordner landen k�nnte.

5. Wenn ein Kontodieb Zugriff auf euer Konto hat und seine eigene Authentifikator-Verz�gerung einstellt, w�rde das bedeuten, dass ihr noch l�nger am Spielen gehindert werdet.

Um diese Schwachstellen also zu verhindern, wollen wir die Authentifikator-Sicherheit auf eine andere Weise verbessern: Back-up-Codes.

Back-up-Codes

Wir haben vor, ein Back-up-Code-System einzuf�hren. Das bedeutet, dass ihr w�hrend der Einstellung des Authentifikators einen Back-up-Code erhaltet, welchen ihr aufschreiben und an einem sicheren Ort verwahren m�sst. Dieser wird dazu verwendet, euren Authentifikator zu entfernen, wenn ihr keinen Zugriff mehr darauf habt, und verhindert, dass euer Konto durch kompromittierte E-Mail-Konten gestohlen werden kann. Euer Back-up-Code wird AUSSCHLIESSLICH auf unserer Webseite genutzt, um euren Authentifikator zu entfernen. Sorgt daf�r, dass euer Back-up-Code sicher verwahrt ist.

F�r diesen Ansatz anstelle einer Verz�gerung haben wir uns aus verschiedenen Gr�nden entschieden:

1. Ihr m�sst nicht eingreifen, um das Entfernen eures Authentifikators zu verhindern.

2. Kontodiebe, die euren Back-up-Code nicht haben, k�nnen euren Authentifikator nicht entfernen.

3. Wenn ihr keinen Zugriff mehr auf euren Authentifikator habt, kann der Back-up-Code dazu verwendet werden, diesen Zugriff wiederherzustellen.

4. Selbst wenn jemand Zugriff auf eure E-Mail-Adresse hat, bleibt euer RuneScape-Konto sicher.

5. Dass andere Firmen dieses System bereits erfolgreich benutzen, gibt uns eine klarere Vorstellung �ber die richtige L�sung.

In Vorbereitung auf die Back-up-Codes haben wir bereits Authentifikator-�berpr�fungen f�r alle Logins auf der Webseite hinzugef�gt.

Wenn ihr euren Back-up-Code verliert, k�nnt ihr einen neuen erhalten, indem ihr euch einloggt und die Authentifikator-�berpr�fung abschlie�t.

Wenn euch die Vorstellung eines Back-up-Codes nicht gef�llt und ihr zu 100 % von der Sicherheit eurer E-Mail-Adresse �berzeugt seid, k�nnt ihr zum Entfernen eures Authentifikators weiterhin die alte E-Mail-Methode nutzen, auch wenn wir dies nicht empfehlen.

Verlust eures Back-up-Codes und Authentifikators

Wenn ihr, sobald dies eingef�hrt wurde, sowohl euren Authentifikator als auch euren Back-up-Code verliert, werdet ihr die M�glichkeit haben, von der Kundenbetreuung Hilfe anzufordern. Dieser Prozess wird allerdings sehr streng sein und sehr genaue Informationen erfordern, um sicherzustellen, dass euch das Konto geh�rt. Die Umsetzung jeglicher Anfragen wird mindestens 72 Stunden ben�tigen.

Eine Anfrage zur Entfernung des Authentifikators bei der Kundenbetreuung ist der LETZTE AUSWEG.

Auf diesen Dienst werdet ihr euch nicht verlassen k�nnen, um euren Authentifikator zu verwalten. Ihr werdet mindestens 72 Stunden lang keinen Zugriff auf euer Konto haben und die Menge an Beweisen, die ihr vorlegen m�sst, um zu belegen, dass euch das Konto geh�rt, ist SEHR HOCH.

Entwicklungsplan

Dies sind bei der Kontosicherheit unsere aktuellen Priorit�ten:

2020 sollen Back-up-Codes f�r den Authentifikator eingef�hrt werden. Wir raten euch allen, nach der Ver�ffentlichung sobald wie m�glich euren Authentifikator zu aktualisieren, um einen Back-up-Code hinzuzuf�gen.

Das Wechseln des Authentifikators auf ein neues Ger�t soll einfacher gestaltet werden.

Sobald wir mit der Sicherheit der Authentifikatoren zufrieden sind, werden wir weiter an der Passwortkomplexit�t arbeiten.

Gegebenenfalls werden wir diesen Zeitplan �ndern, wenn uns dies erm�glicht, Sicherheitsverbesserungen schneller umzusetzen.

Uns ist bewusst, dass die Kontosicherheit ein sehr komplexes Thema ist und dass die Fortschritte langsam erscheinen k�nnen, aber wir hoffen, dass euch dies eine bessere Vorstellung �ber unsere Arbeit gibt. Wir werden uns bald mit einem weiteren Technik-Update zur�ckmelden.

Vielen Dank!

Euer Kundenbetreuungsteam

Euer Web-Team von Jagex

Lasst uns auf Reddit, Discord oder im Forum wissen, was ihr denkt.

Zur�ck nach oben