Neues

Blog: Kundenbetreuung – Kontosicherheit

Blog: Kundenbetreuung – Kontosicherheit

Willkommen zur zweiten Ausgabe unserer vierteiligen Blog-Serie der Kundenbetreuung. Im ersten Blog-Eintrag haben wir euch erklärt, wie wir unsere Systeme verbessern wollen. In diesem Beitrag geht es um Kontosicherheit und dabei nehmen wir Folgendes unter die Lupe:

  • Woran wir aktuell arbeiten:
  • Stärkere Passwörter
  • Warnungen bei Passwort-Sicherheitslücken
  • Demnächst geplant:
  • E-Mail-Benachrichtigungen und Überprüfungen bei Verhaltensänderungen von Konten
  • Authentifikator-Tests auf der Webseite
  • Überprüfen, ob eine Authentifikator-Verzögerung eingeführt werden sollte
  • In der Zukunft:
  • Zusätzliche Kontosicherheitssysteme
  • Verbesserte Sicherheit bei Kontowiederherstellungen
  • Kontosicherheit ist eine Herausforderung für alle Internet-Unternehmen. Die Menge an Webseiten, auf denen Leute persönliche Daten eingeben, und die häufigen Versuche, auf diese zuzugreifen, führen zu stetig mehr Datenschutzverletzungen.

    Daher ist es keine Überraschung, dass das Verbessern der Kontosicherheit mit einigen großen Herausforderungen verbunden ist. Wir sind allerdings fest entschlossen, sie zu überwinden. Allerdings müssen wir dabei realistisch bleiben – solche Änderungen erfordern Zeit.

    Hier ist eine detaillierte Ausarbeitung der diversen Herausforderungen der Kontosicherheit und wie wir sie bewältigen werden.

    Stärkere Passwörter

    Oberste Priorität hat das Stärken von Passwörtern und daran wird bereits gearbeitet.

    Wir aktualisieren unsere Systeme, um komplexere Passwörter zuzulassen, und wir fügen Anleitungen hinzu, wie man sie erzeugen kann. Wir untersuchen außerdem, wie wir Programme zur Passwortverwaltung unterstützen können.

    Wir arbeiten bereits mit Drittanbietern daran, ein System einzubetten, welches das Internet nach kompromittierten Passwortdaten durchsucht. Damit können wir euch warnen, falls ihr ein unsicheres Passwort verwendet, oder euch sogar davon abhalten, überhaupt erst ein unsicheres Passwort zu wählen.

    Wir brauchen hierbei wirklich eure Mithilfe, da diese neuen Systeme euch nur nutzen werden, wenn ihr euch zu ihrer Verwendung entscheidet. Generell gibt es in Sachen Kontosicherheit ein paar Grundlagen, die ihr nicht vergessen solltet:

  • Verwendet nie das gleiche Passwort für RuneScape- oder 'Old School'-Konten, das ihr auch für euer E-Mail-Konto verwendet.
  • Solltet ihr in irgendeiner Weise um eure Kontosicherheit besorgt sein, dann richtet sofort ein neues Passwort ein.
  • Verwendet für jeden Onlinedienst, den ihr verwendet, andere Passwörter.
  • E-Mail-Benachrichtigungen und -Sicherheit

    Sobald die Passwortsicherheit verbessert wurde, wenden wir uns E-Mail-Benachrichtigungen zu.

    Eine der schnellsten Methoden, euch als Kontoinhaber auszuweisen, ist die Verwendung eurer damit verbundenen E-Mail-Adresse. Das ist eine sehr häufige Sicherheitsmethode, die euch vermutlich auch auf anderen Seiten begegnet ist.

    Wir werden anfangen, euch per E-Mail zu benachrichtigen, wenn wir seltsame Änderungen am Verhalten auf eurem Konto erkennen und unter manchen Umständen werden wir darauf bestehen, dass ihr über eure E-Mail-Adresse eure Zustimmung zum Login gebt.

    Allerdings liegt das Risiko von E-Mails als Sicherheitsmaßnahme darin, dass wir nicht wissen, ob euer E-Mail-Konto sicher ist. Und wenn eure Anmeldedaten für euer E-Mail-Konto die gleichen sind wie für euer RuneScape- oder 'Old School'-Konto, dann habt ihr es jemandem, der auf eure Daten aus ist, doppelt so leicht gemacht.

    Im Grunde gilt: Je sicherer eure E-Mail-Adresse ist, desto sicherer ist euer RuneScape-Konto. Sollte euer E-Mail-Anbieter zusätzliche Sicherheitsfeatures bieten, wie beispielsweise 2-stufige Authentifikation, dann verwendet diese bitte. (Hier sind die Links für Google, Yahoo und Outlook).

    Letzten Endes bedeuten diese Probleme, dass wir langfristig von E-Mails loskommen und uns in Richtung 2-stufige Authentifikation bewegen wollen.

    2-stufige Authentifikation

    Eines der sichersten Objekte, das ihr besitzt, ist vermutlich euer Smartphone. Einige Modelle besitzen eingebaute Biometriesysteme, die meisten haben zusätzliche Passwortabsicherungen und vor allem passen Leute normalerweise sehr gut auf sie auf.

    Wir wollen daher die Sicherheit eures Handys verwenden, um euer RuneScape- oder 'Old School'-Konto zu schützen, und das geht mit Hilfe von Apps für 2-stufige Authentifikation (auch '2FA'-Apps).

    Beachtet bitte, dass wir bereits 2-stufige Authentifikation anbieten, allerdings wird diese aktuell nur von ca. 50 % der aktiven Spieler verwendet. Solltet ihr es noch nicht getan haben, dann richtet euch bitte so schnell wie möglich 2-stufige Authentifikation ein! Unser Ziel ist, dass alle Spieler einen Authentifikator verwenden und dass dieser für Logins im Spiel und auf der Webseite verwendet wird.

    Ein Feature, um das wir häufig von Spielern gebeten werden, ist die Authentifikator-Verzögerung. Es gibt diverse Arten, wie wir damit umgehen könnten, indem wir beispielsweise Änderungsanfragen hinauszögern oder temporäre Handelssperren verhängen. Wir haben noch nichts ausgeschlossen, aber seid euch bewusst, dass dadurch ein großes Risiko besteht, dass Spieler sich aus ihren Konten aussperren oder mit Einschränkungen leben müssen, wenn sie ihr Handy in der Zwischenzeit verlieren.

    Wir müssen außerdem Spieler unterstützen, die ihren Authentifikator ändern müssen, weil sie Zugang zu ihrem Handy verloren haben. Bereits heute bekommen wir dazu täglich mehr Anfragen, als die Kundenbetreuung verarbeiten könnte, wenn sie jede einzelne überprüfen müssten.

    Unsere bevorzugte Lösung hierfür sind zusätzliche Kontosicherheitssysteme.

    Zusätzliche Kontosicherheit und Konto-Übernahmen

    Wir untersuchen zusätzliche Sicherheits-Checks, die auf derselben Technologie beruhen, wie die zur Zahlungsbetrugsabwehr. Das System wird uns erlauben, Bedrohung in Echtzeit zu erkennen, verschiedene Sicherheitsmodelle für verschiedene Kontozustände zu erstellen (z.B. aktive Spieler, inaktive Konten, unregistrierte E-Mail-Adressen, unterstützter Authentifikator etc.) und schnell genug zu reagieren, um die Art von Nachteilen zu verhindern, die eine Authentifikator-Verzögerung erzeugen könnte.

    Wir glauben, dass eine datengesteuerte Kontosicherheitsmethode unsere beste Chance ist, Kontenklau entgegenzuwirken. Sie kann für alle Konten und alle Spieler funktionieren. Allerdings:

  • Solltet ihr aus irgendwelchen Gründen nicht in der Lage sein, 2-stufige Authentifikation zu verwenden, wird das eure Ersatzmethode zum Kontoschutz sein. Das wird allerdings darin resultieren, dass die Tests jedes Mal beim Login für ein paar Sekunden gestartet werden, was zu einer leichten Verzögerung führen kann.
  • Dieses System wird täglich Millionen von Logins überprüfen und es wäre falsch anzunehmen, dass es niemals Fehler machen wird. Es wird ein längerer Prozess, die richtige Mischung aus Einfachheit und Sicherheit zu erreichen (oder anders gesagt, es wird nicht leicht, die richtigen Nutzer zuzulassen und die illegitimen Nutzer auszusperren, ohne dabei allzu große Verzögerungen zu erzeugen) – das wird vermutlich nicht auf Anhieb perfekt sein. Wir werden diese Systeme ausgiebig testen, bevor wir sie verwenden, aber habt bitte etwas Geduld. Wir untersuchen gerade, wie ihr uns erreichen und Situationen so schnell wie möglich klären könnt, falls ihr fälschlicherweise ausgesperrt werdet.
  • Wenn alles nach Plan verläuft, sollte all das eingeführt werden, ohne dass ihr groß etwas davon merkt oder euch deswegen sorgen müsst – außer ihr versucht natürlich, ein Konto zu stehlen. Aus diesem Grund werden wir Spieler nicht regelmäßig über unsere Fortschritte informieren.
  • Die Systeme zu bauen und einzubetten, wird etwas Zeit in Anspruch nehmen. Es ist eine Hauptpriorität für Jagex, sie so schnell wie möglich fertigzustellen – nach ersten Schätzungen sollte es in der ersten Hälfte des Jahres 2020 soweit sein. Obwohl das Ganze mit Herausforderungen einhergeht, sind wir der Meinung, dass die Vorteile den Aufwand rechtfertigen.
  • Missbrauch der Kontowiederherstellung

    Eine unserer größten Herausforderungen bei Kontowiederherstellungsanfragen ist herauszufinden, ob sie vom echten Kontoinhaber gestellt wurden.

    Nächstes Jahr werden wir uns darauf konzentrieren, dass Konten gar nicht erst in die Hände von Dieben gelangen, aber wir müssen die Verarbeitung von Kontowiederherstellungsanfragen dennoch verbessern. Das könnte beispielsweise bedeuten, dass die Anforderungen an Informationen in Anfragen noch strenger werden. Es wird ein Weilchen dauern, die richtige Balance zwischen Sicherheit und einem Prozess zu finden, der die Spieler schnell wieder zurück ins Spiel lässt. Momentan haben wir noch nicht das Gefühl, dass die Balance stimmt, daher werden wir weiterhin daran arbeiten.

    Ein paar Worte vom Team

    Wir verstehen, dass euch die Kontosicherheit sehr am Herzen liegt, uns geht es genau so – wir lesen alles, was ihr zu sagen habt. Und während wir nicht alles über Nacht richten können, werden wir nicht aufgeben, bis alles besser ist. Wir halten euch auf dem Laufenden, aber hört bitte nicht auf, mit uns zu reden und eure Bedenken mit uns zu teilen und schlagt bitte weiterhin eure Lösungen vor. Wir sind fest entschlossen zu tun, was wir nur können.

    Vielen Dank.

    Die Kundenbetreuung

    Lasst uns auf Reddit, Discord oder im englischen Forum wissen, was ihr denkt.