Hab hier mal einen Post von mir aus dem deutschen Steam Forum rüberkopiert. Hab das auch auf Reddit geschrieben, aber die Masse an dummen Leuten hat den Post runtergevoted bis zum geht nicht mehr.
Die Maßnahmen hier sind aber das Ultimo wenn es darum geht den eigenen Steam Account zu sichern. FIDO U2F ist derzeit im kommen und auch wenns a bissl Geld kostet, der Steam Account und die EMail ist damit sicher.
Bitte spart mir Kommentare bezüglich Chrome, Opera, FF oder IE könnens halt nicht.
Aktiviere Steam Guard
Ja, es dauert manchmal länger bis man eine EMail bekommt mit dem Code. Aber die paar Minuten oder zur not auch mal eine Stunde kann man auch ohne Steam leben. Die zusätzliche Sicherheit ist es Wert.
Lade niemals Dateien aus dem Steam Ordner irgendwo hoch
Es gibt Seiten, die fordern einen auf eine Datei mit der Endung .ssn hochzuladen. Das solltet ihr niemals tun. Das ist eure Steam Guard Datei. Mit dieser Datei kann man euren Account stehlen. Diese Seiten sehen oft aus wie exakte Kopien des Steam Logins. Das einzige wonach Steam euch fragt ist euer Steam Guard Code.
Es gibt keine kostenlosen Spiele am laufenden Band
Es gibt zwar legitime Seiten, die hin und wieder was kostenloses anbieten, aber dauerhaft freie Spiele für Steam in Massen gibt es nicht. Seiten die das versprechen klauen entweder euren Account oder fordern euch auf Links in Foren zu spammen. Lasst die Finger davon.
Überprüft vor der Passwort Eingabe die HTTPS Verbindung
Im Browser in der Adresszeile sollt ein grüber Balken sein, auf dem "Valve Corp. [US]" steht, wenn ihr euer Passwort eingebt. Klickt auch drauf und stellt sicher, dass das Zertifikat echt ist.
Gebt eure Steam Daten nicht in irgendwelche Programme ein.
Da gibt es Idle Programme, Friendslist Helper und andere, die einen nach dem Steam Passwort fragen. Gebt eure Daten dort nicht ein. Die Programme sind sehr einfach gestrickt und diese zu infizieren ist sehr einfach.
Klickt nicht auf jeden Link den man euch schickt
Sollte selbstverständlich sein. Klickt nur auf Links bei Leuten denen ihr vertraut oder wo ihr die Domain kennt, wie als bsp. imgur.com etc.
FIDO U2F - Sicherheit per Dongle
Dieser Punkt ist der interessantest und der Hauptgrund für diesen Post. FIDO U2F ist ein Protokoll, das auf einem USB Stick basiert, der einen privaten und einen öffentlichen Schlüssel enthält auf dessen Grundlage ein Login erlaubt oder abgewiesen wird. Dieses Protokoll ist momentan nicht hackfähig, da es einen physischen Schlüssel benötigt der auch manuell aktiviert werden muss, wenn der Server die Anfrage schickt.
Hier die nötigen Schritte:
Danach müsst ihr für jedesmal wenn ihr auf Google neu einloggt den USB Key zur Hand haben, einstecken und auf Verlangen des Browsers berühren. Ihr bekommt aber auch Security Codes, die ihr am besten ausdruckt (auf keinen Fall am Handy oder PC speichern) und irgendwo versteckt. In einem Buch oder Spielehülle. Diese braucht ihr, falls ihr irgendwann mal den USB Key oder euer Handy verliert.
Falls ihr ein Android Handy habt, müsst ihr euch daraus ausloggen und unter
https://security.google.com/settings/se ... ppasswords ein Passwort generieren. Damit könnt ihr euch dann auf Android wieder einloggen. Dieses Passwort wird nur einmal angezeigt und kann jederzeit widerrufen werden. Genau das gleiche gilt für Logins in Apps die Google Drive unterstützen, Mailprogramme etc. Bietet auch gleichzeit noch einen Sicherheitslayer, da ihr nicht euer echtes Passwort dort eingeben müsst.
Aber mit dieser Maßnahme kommt keiner in euren Steam Account, solange IHR STEAM GUARD AKTIVIERT HABT UND OBEN GENANNTEN REGELN FOLGT. Nichtmal wenn er das Passwort für den dazugehörigen Mail Account hat. Der Angreifer muss den entsprechenden FIDO Key haben. Schützt natürlich nicht vor irgendwelchen Brüdern oder Cousins die Zugriff auf euren Wohnbereich haben.
edit: Noch ein englischer Link, der genauer und relativ technisch erklärt wie das ganze funktioniert:
http://security.stackexchange.com/quest ... u2f-tokens. Weiter unten bzw auf der nächsten Seite hab ich das auch nochmal in ein tl;dr zusammengefasst. Hier nochmal zum lesen:
2FA ist sehr anfällig gegen Man-In-The-Middle Attacken, da es im Prinzip nur ein zweites Passwort ist, das zwar nur einmal gültig ist, aber es ist aber immer noch ein Passwort. Ein Angreifer kann das immer noch stehlen und mißbrauchen. Zum Beispiel über einen Virus aufm Smartphone/Computer.
Der Stick generiert für jede Seite auf der er verwendet wird ein seperates private/public key pair, das dann nur dort gültig ist. Die Identität der Webseite wird in dieses Paar "eingebrannt", über den TLS Public Key der dort benutzt wird. Selbst wenn der Server das KeyHandle leakt über einen Datenbank Einbruch, ist deine Identität und das Passwort immer noch geschützt.
Noch dazu basiert die Identifikation über ein Challenge-Response Protokoll[en.wikipedia.org] vom Server, die nicht wiederholt werden kann. Damit ist das absolut und 100% vor Man-In-The-Middle Attacken sicher.
Auch eine Phishing Seite kann das KeyHandle nicht stehlen, weil der Client die Antwort vom Server auswertet und der Stick die Infos nur an den echten Server ausgibt. Man müsste schon Chrome infizieren + einen Server mit der richtigen Technologie ausstatten und den original Server spoofen um das ganze anzugreifen. Und das ist bisher nicht möglich.
.
