2. Games
    Featured games
    More games+
  3. Login
    Login

    Reset password

    Facebook login Google login
  4. Register
  5. Support
    Forum more Get in contact with other users and admins
    FAQ more Browse through a list of common questions.
    Ticket system more Ask our support staff for help.
    Rules more All rules concerning the moonID portal and boards can be found here.
  6. 00:04:16
    00:04:16 Server time
    00:04:16 Local time
  7. en
    Change language

moonID.net - Alles rund um das PortalIdeen → [MoonID]2 Faktor Authentifikation für das moonID Portal

Ashreetah
avatar
Posted Feb. 8, 2019, 12:26 a.m.
Edited by Ashreetah Feb. 8, 2019, 2:45 a.m.

Ich habe mir ein paar Gedanken gemacht, wie man viele Bugs und besonders Farmer an der Wurzel packt.

Ich denke es ist an der Zeit über eine 2 Faktor Authentifikation für das moonID Portal nachzudenken.

Wie war das damals?

Jeder Server hatte seine eigene URL und eigenen LogIn.
2012 wurde das moonID Portal eingeführt, um Accounts einem Spieler zuzuordnen.
Das hatte gleichzeitig den Vorteil, dass man Missbrauch vorbeugen konnte.
Wer sich auf einem Server nicht benommen hat und überführt worden ist, hat alle Accounts in seiner moonID verloren! Das war vorher nicht möglich!

Das ist 7, wenn man die Programmierung hinzuzieht vielleicht auch fast 8 Jahre her.

Es gab eine Übergangszeit in der man sich ohne moonID noch in seinen Account einloggen konnte. Danach wurde man darauf hingewiesen, dass zum Spielen eine Verknüpfung mit moonID nötig ist. Hier könnte man auch eine Übergangszeit nutzen, in der beides möglich ist.

Was würde das bedeuten?

Jede moonID benötigt zur Authentifikation der Echtheit des Spielers eine Handynummer worüber in einer App ein Zufallscode generiert wird, den man zusätzlich zum Passwort jedes Mal eingeben muss. Kennen einige vielleicht von Steam oder anderen Plattformen bereits. Der Begriff geistert die letzten Tage auch häufiger durch die Medien. Der Sinn dahinter ist, dass der Nutzer seine Daten über einen zweiten Faktor, sein Handy, schützt.

Wie ich mir das für moonID denke:
Man dämmt drastisch Farmer und Farmen ein, sowie beugt man Multiaccount Missbrauch vor!

Jede moonID benötigt zum LogIn ein Handy und deren Telefonnummer. Missbrauch macht die moonID und automatisch auch die Telefonnummer für das Portal nutzlos. Man kann sich mit der gleichen Nummer keine neue ID erstellen! Ein Farmer bräuchte also für jede Farm extra eine neue Telefonnummer!

Edit: Es gibt Apps die so einen Service zur Verfügung stellen. Man kann natürlich auch über eine eigene Lösung nachdenken. Dem sind keine Grenzen gesetzt!

Wie ist es jetzt?

Nun der Einfachheit und Nutzung von Cookies ist es im Prinzip so, dass man sich nicht aktiv aus dem Spiel ausloggen muss. Nach einer Dauer von 30 Minuten oder einem PC Neustart klickt man auf "Connect With MoonID" und braucht das Passwort erst neu eingeben, wenn man eben aktiv den LogOut Vorgang nutzt oder den Cache mal leert über CCleaner oder dergleichen. Da ist die Hemmschwelle doch sehr gering für Farmer sich hin und her zu loggen ohne große Hindernisse.

Danach kann man das natürlich ausweiten mit einer eigenen moonID App worüber man dann auch spielen kann.

Show comments (1)
Comtesschen
avatar
Posted Feb. 8, 2019, 4 a.m.

Guten Morgen ;-)

DIr ist aber schon klar, das gerade Handynummern heute kein Problem mehr sind?
Billig-Handys und Prepaid-Nummern mit Flat haben das Multifarmen doch um ein
vieles vereinfacht und vor allem schwerer nachweisbar gemacht !

Show comments (3)
Ashreetah
avatar
Posted Feb. 8, 2019, 2:41 p.m.

Wenn Du Nutzer kennst, die es genau so machen wie du sagst, dann überlege mal wie einfach es ihnen in der jetzigen Situation gemacht wird.

Schwerer nachweisbar, dann macht man es ihnen schwerer nutzbar.
Comtesschen
avatar
Posted Feb. 8, 2019, 3:57 p.m.

Kennst du irgendwelche anderen Nutzer wirklich ? Ich nicht
Ich kann nur erahnen wie viele mit so vielen Farmen gespielt haben
Wie aber hält man Betrüger vom Betrügen ab??
Sie müssen wieder echte Sanktionen zu fürchten haben und zwar mit aller Härte!
Baroness_Hohenfels
avatar
Posted Feb. 8, 2019, 6:10 p.m.

ich bin auf alle fälle dafür ..das man mit aller härte gegen betrüger vorgeht!
es ist armseelig sich hier ein vermeintliches erfolgserlebnis zu ergaunern ...nur weil sie real life nichts auf die kette bekommen.
cvd CRATR.games
avatar
Posted Feb. 8, 2019, 6:47 p.m.

2FA ist ein guter Ansatz für die weitere Entwicklung und Absicherung von Portal und Spielen. Das it dann allerdings schon Kür. Aktuell müssen erst eimal Schritt Eins umgesetzt und unsere Spiele auf dem aktuellen Stand der Technik gebracht werden.
aszlig CRATR.games
avatar
Posted Feb. 10, 2019, 3:55 p.m.
Edited by Patti April 12, 2020, 11:10 p.m.

[Disclaimer: Evtl. recht technischer Post]

2FA hab ich konkret auf meiner Todo-List, in dem Zuge haben wir uebrigens bereits einiges an der Passwortsicherheit geaendert. Erstens verwenden wir Argon2id-Key-Derivation zum Hashen der Passwoerter und zweitens ist es jetzt nicht mehr moeglich Passwoerter zu setzen die bei https://haveibeenpwned.com/ vorkommen.

Falls bei letzterem Bedenken wegen Requests zu HIBP sind: Wir machen keinerlei Requests dort hin sondern haben die Komplette DB auf unseren Servern. Wer technische Details dazu haben will, hier ist die Implementation: https://gist.github.com/aszlig/0a2046872e5cda4e67926236210a69c0

Das auf jeden Fall nur am Rande zum Thema (Passwort-)Sicherheit, zurueck zu 2FA: Um das vollstaendig zu implementieren brauchten wir auch entsprechende SMS- oder gar wenns ganz fancy sein soll Call-Gateways, ansonsten haetten wir nur TOTP bzw. HOTP (was zumindest schonmal ein Fortschritt waere).

Letzteres aendert allerdings nicht sehr viel was Farming betrifft und zweitens muessten wir auch alle User dazu zwingen 2FA zu verwenden, was natuerlich die Huerde viel hoeher schraubt sich ueberhaupt einen moonID-Account zu machen und wuerde zudem die Leute die Social-Auth verwenden ausschliessen oder den Vorgang unnoetig verkomplizieren.

TL;DR:

Bei optionalem 2FA bin ich persoenlich voll dabei, aber zwingen wuerde ich die Leute nicht. Werden das aber noch besprechen kommende Woche.

Show comments (2)
Comtesschen
avatar
Posted Feb. 10, 2019, 4:35 p.m.
Edited by Comtesschen Feb. 10, 2019, 4:43 p.m.

Ehrlich, ich versteh kein Wort ,kann mit den ganzen Begriffen überhaupt nix anfangen !
Für mich bitte noch mal in NUR-Spieler-Fledermaus-Version ^^

....aber vermutlich wird Ash es mir gleich auch erklären ..........................

Show comments (4)
aszlig CRATR.games
avatar
Posted Feb. 10, 2019, 4:45 p.m.

Hab mal einen Disclaimer drangemacht :-)

Kurz gesagt: Halte das grundsaetzlich fuer eine gute Idee, aber nur optional und ist IMHO nicht zum bekaempfen von Farmaccounts tauglich.
Comtesschen
avatar
Posted Feb. 10, 2019, 4:47 p.m.

danke ;.)

also im Grunde das was ich oben schon gesagt habe, bringt nix gegen Farming ;-)
aszlig CRATR.games
avatar
Posted Feb. 10, 2019, 4:53 p.m.

Jau, zumal ich selber kein Mobiltelefon besitze (die Gruende waeren jetzt ein weiterer technischer Post, drum erspar ich dir das mal) und es damit gleich schon zweimal nicht sinnvoll finde die Leute dazu zu zwingen sowas zu besitzen.
Comtesschen
avatar
Posted Feb. 10, 2019, 4:58 p.m.
Edited by Comtesschen Feb. 10, 2019, 4:59 p.m.

Ich hätte ja persönlich nicht mal ein Problem damit meine Handynummer hier zu benutzen, wenns
denn der Sicherheit dienlich wäre.
Ich befürchte nur das , es Farming und Multi-ACCs es nur vereinfacht, bzw nicht erschwert.

Billig-Handy + Prepaidkarte und jeder hat seine eigne Verbindung und ist schwerer nachzuweisen.
Ashreetah
avatar
Posted Feb. 10, 2019, 8 p.m.

Ja, ich verstehe das man mit so etwas die Leute mitunter einer Art Generalverdacht unterzieht. Es wirkt sich zwar auch wirksam auf die eigene Sicherheit des Accounts aus, aber da habt ihr bereits andere Vorkehrungen getroffen. Mir ist klar, dass die 2FA nicht dazu konzipiert worden ist, um Multiaccount Missbrauch vorzubeugen, sondern der eigenen Sicherheit mit automatisch generierten one-time Passwörtern dient (TOTP).

Meine Idee dabei war:

Man ist des Betrugs überführt, verliert alle Accounts in der moonID, kann sich aber einfach einen neuen Spielaccount mit der ID für den gleichen Server erstellen, als Farm nutzen. Falls mal ein neues Spiel oder neuer Server kommt, nutzt man einfach diese oder gleich mehrere IDs um Spielaccounts zu erstellen, die entweder parallel laufen oder als Backup für schlechte Zeiten dienen.

Hier wurde kürzlich in Zusammenhang mit den Löschungen von INT2 doch damit geprahlt wie viele Farmen jemand da immer noch stehen hat! Der Nutzer müsste dazu entweder fleißig SIM Karten Puzzle spielen oder ein bisschen Geld für ein paar Billig Handys in die Hand nehmen! Ich kann mir vorstellen, dass es auf Dauer lästig ist PIN eingeben, 2FA Code eingeben, bisschen klicken, SIM wechseln, PIN eingeben usw.

moonIDs denen man Betrug nachgewiesen hat vielleicht einfach sperren? Man kann natürlich so viele neue IDs erstellen wie man lustig ist, aber auch das wäre eine kleine Hürde weil eine neue E-Mail Adresse nötig ist. Aktuell braucht man weder neue E-Mail noch eine neue Nummer! Ein Account Markt fördert die oben genannten Vorgehensweisen sogar noch! Dann hätte doch wirklich niemand mehr einen Überblick wer wie viele Accounts spielt!

Und wenn es bereits so läuft, wie hier kommentiert worden ist, es würden Billig Handys mit Billig SIMs genutzt um die IP zu verschleiern macht das alles noch weniger Sinn wie es läuft.

Bleiben wir mal bei dem Steam Beispiel aus meinem Ausgangspost: Du bist des cheatens überführt und kriegst einen VAC Ban. Du kannst das Spiel (nicht ein Server) mit diesem Account nicht mehr nutzen und bist über dein Profil mit einem VAC Symbol gebrandmarkt!

Der Ansatz ist die neue Erstellung von Farm Accounts zu erschweren! Das entzieht schon mal eine Grundlage, um weitere Bugs zu nutzen! Mehr dazu vielleicht Morgen.

Show comments (6)
Comtesschen
avatar
Posted Feb. 10, 2019, 8:40 p.m.

Moon-ID sperren bei Betrug, halte ich auch grundsätzlich für eine gute Idee.

Mit dem Account-Markt meinst du wohl mich ;-) Nun gut, das war mein Vorschlag um alte inaktive
Spieler zu reaktivieren oder eben sie dazu zu bewegen ihre Accounts abzugeben.
Und gerade damit niemand mehrere Accounts spielt, würde dann das von mir auch erwähnte
Exchange-Team ins Spiel kommen und die korrekte Übergabe überwachen.
Und damit meine ich auch das gewährleistet wird das nicht jeder x-beliebige den Account bekommt !
Früher wurde das doch auch im alten MG-Forum so gehandhabt.

Ich glaube das beste Mittel überhaupt gegen Farming und Betrug jeglicher Art ist , die Präsenz der Admins.
Spieler die wissen , das jetzt wieder jemand da ist , der Tickets bearbeitet und auch bei Betrug löscht werden
sich in Zukunft hüten gegen die Regeln zu verstossen.
Baroness_Hohenfels
avatar
Posted Feb. 11, 2019, 9:46 a.m.
Edited by Baroness_Hohenfels Feb. 11, 2019, 11:03 a.m.

Ich glaube das beste Mittel überhaupt gegen Farming und Betrug jeglicher Art ist , die Präsenz der Admins.
Spieler die wissen , das jetzt wieder jemand da ist , der Tickets bearbeitet und auch bei Betrug löscht werden
sich in Zukunft hüten gegen die Regeln zu verstossen.

dem kann ich mich nur anschließen!

ebenso bei sperren der moon-id, bei betrug.
das hat nichts mit paranoia oder blinden aktionismus zu tun!
hopeless.dream
avatar
Posted Feb. 11, 2019, 11:37 a.m.

Sicherlich muss man ein Problem an der Wurzel packen und ich denke die Admins werden des schon richten. Dennoch sollte man nicht den Fokus aus den Augen lassen, und wie Gambler schon schrieb, Monstergame endlich mal auf neue Standards bringen und das nicht erst in drei Jahren :)
schicken Tag noch
Comtesschen
avatar
Posted Feb. 11, 2019, 8:56 p.m.

@Gambler , doch die Moon wird leer gemacht bei Betrug sind alle Server dran, also kann
auch gleich die Moon gesperrt werden
Ashreetah
avatar
Posted Feb. 28, 2019, 12:29 a.m.
Edited by Ashreetah Feb. 28, 2019, 2:12 a.m.

Doch natürlich geht das und eine Sperrung der ID vereinfacht die Vorgänge (die Funktion gibt es sogar bereits). Wer gesperrt ist, kann keine weiteren Bugs nutzen. So muss man das einfach mal betrachten. Coins die dort noch sind, wurden ja schon bezahlt. Insofern gibt es keine wirtschaftlichen Einbußen für den Betreiber. Über die 2FA ist ohnehin nachgedacht worden, wie man hier bei Aszligs to-do Liste einsehen kann. Es ist legitim, dass man sich Gedanken darüber macht.
Comtesschen
avatar
Posted Feb. 28, 2019, 6:56 a.m.

wenn es diese Funktion bereits gibt so wie du sagst , sollte sie dann auch schnellstens bei den
Bug-Usern angewandt werden !
Duchesse
avatar
Posted March 1, 2019, 8:19 a.m.
Edited by Duchesse March 1, 2019, 8:49 a.m.

Die Sperrung der MoonID halte ich schon für eine Option... Ich kenne es durchaus von anderen Spielen, dass man gesperrt wird, wenn man unter dem !begründeten! Verdacht von Betrug steht. Klar, man braucht entsprechend Personal um das alles dann auch zu bearbeiten, die Sperre soll ja - falls sie ungerechtfertigt ist - nicht länger als nötig halten. Allein die Tatsache, dass man zeitweilig gesperrt werden kann, also im Spiel nichts mehr machen kann, hält einige schon davon ab zu betrügen. Denn erzwungene Inaktivität hat direkte, wirklich spürbare Folgen. Und es heißt ja nicht, dass deshalb dann alles verloren ist... Es fehlen einem halt ein, zwei Tage im Spiel.

Ja wer betrügen will, wird das trotzdem machen und man wird es sicher nicht ganz verhindern können - nahezu egal was man macht. Aber man kann es zumindest etwas eingrenzen.
Ich mein... Nehmen wir als Beispiel Overwatch von Blizzard (edit: Egoshooter im Teamplayer modus). Die verhängen als Strafen für ungerechtfertigtes Verhalten Sperren und EXP-Verlust. Wenn du aus, ich hab keinen Bock auf mein Team das Match verlässt, gibts bei ranking Spielen eine Zeitsperre von 15 Minuten, wo du halt nicht mehr ranken kannst und du verlierst Empfindlich viele Punkte. Wenn du in der Schnellsuche - also nicht so ernst - dauernd raus gehst, kriegst du weniger EXP und damit schwerer eine Level-up mit entsprechenden Lootboxen. Ja, deshalb halten sich trotzdem NIE alle dran. Aber es hat die Trolle doch deutlich eingegrenzt. Weil es eben auch Strafen innerhalb des Spiels gibt.
Ich weiß nicht, wie sich das jetzt vernünftig übertragen lässt und ob das so wirklich Sinn ergibt. Ich wollte es einfach mal anmerken. Das ist etwas, worüber man sich Gedanken machen kann.

Und ja, es ist 'nur' ein Browser-Game. Dennoch hat es mit Paranoia wenig zu tun, dass man fair spielen möchte. Warum spielst du? Letztlich willst du im High-Score möglichst weit obe sein, oder nicht? Ja wegen der Leute... Clan etc etc... Aber der High- Score zählt. Und wenn du eine Unzahl von Leuten hast, die betrügen, hast du keine Chance gegen die und/oder es macht schlicht keinen Spaß mehr zu spielen. Was tust du? Du hörst auf. Und nimmst schon gar kein Geld in die Hand - denn es bringt ja nichts.

edit: Mir ist klar, dass Blizzard ein riesen Konzern mit viiiiiel Geld und Personal ist. Das lässt sich nicht so ohne weiteres vergleichen. Mir ging es um die Idee und einen Denkanstoß zu geben... Und das ganze nicht als ausgereift und so könnte man es machen. Technisch gesehen bin ich ein Noob^^
Page:  1
You need to login to add a post.

Connecting... Connecting