English German Italian French Spanish Polish Czech Portuguese Brazilian Portuguese Russian Slovak moonID.net - Alles rund um das Portal → Ideen → [MoonID]2 Faktor Authentifikation für das moonID Portal

Ich habe mir ein paar Gedanken gemacht, wie man viele Bugs und besonders Farmer an der Wurzel packt.

Ich denke es ist an der Zeit über eine 2 Faktor Authentifikation für das moonID Portal nachzudenken.

Wie war das damals?

Jeder Server hatte seine eigene URL und eigenen LogIn.
2012 wurde das moonID Portal eingeführt, um Accounts einem Spieler zuzuordnen.
Das hatte gleichzeitig den Vorteil, dass man Missbrauch vorbeugen konnte.
Wer sich auf einem Server nicht benommen hat und überführt worden ist, hat alle Accounts in seiner moonID verloren! Das war vorher nicht möglich!

Das ist 7, wenn man die Programmierung hinzuzieht vielleicht auch fast 8 Jahre her.

Es gab eine Übergangszeit in der man sich ohne moonID noch in seinen Account einloggen konnte. Danach wurde man darauf hingewiesen, dass zum Spielen eine Verknüpfung mit moonID nötig ist. Hier könnte man auch eine Übergangszeit nutzen, in der beides möglich ist.

Was würde das bedeuten?

Jede moonID benötigt zur Authentifikation der Echtheit des Spielers eine Handynummer worüber in einer App ein Zufallscode generiert wird, den man zusätzlich zum Passwort jedes Mal eingeben muss. Kennen einige vielleicht von Steam oder anderen Plattformen bereits. Der Begriff geistert die letzten Tage auch häufiger durch die Medien. Der Sinn dahinter ist, dass der Nutzer seine Daten über einen zweiten Faktor, sein Handy, schützt.

Wie ich mir das für moonID denke:
Man dämmt drastisch Farmer und Farmen ein, sowie beugt man Multiaccount Missbrauch vor!

Jede moonID benötigt zum LogIn ein Handy und deren Telefonnummer. Missbrauch macht die moonID und automatisch auch die Telefonnummer für das Portal nutzlos. Man kann sich mit der gleichen Nummer keine neue ID erstellen! Ein Farmer bräuchte also für jede Farm extra eine neue Telefonnummer!

Edit: Es gibt Apps die so einen Service zur Verfügung stellen. Man kann natürlich auch über eine eigene Lösung nachdenken. Dem sind keine Grenzen gesetzt!

Wie ist es jetzt?

Nun der Einfachheit und Nutzung von Cookies ist es im Prinzip so, dass man sich nicht aktiv aus dem Spiel ausloggen muss. Nach einer Dauer von 30 Minuten oder einem PC Neustart klickt man auf "Connect With MoonID" und braucht das Passwort erst neu eingeben, wenn man eben aktiv den LogOut Vorgang nutzt oder den Cache mal leert über CCleaner oder dergleichen. Da ist die Hemmschwelle doch sehr gering für Farmer sich hin und her zu loggen ohne große Hindernisse.

Danach kann man das natürlich ausweiten mit einer eigenen moonID App worüber man dann auch spielen kann.

2FA ist ein guter Ansatz für die weitere Entwicklung und Absicherung von Portal und Spielen. Das it dann allerdings schon Kür. Aktuell müssen erst eimal Schritt Eins umgesetzt und unsere Spiele auf dem aktuellen Stand der Technik gebracht werden.

Grundsätzlich ist Absicherung sicher keine schlechte Idee.
Es über das Handy zu machen halte ich persönlich für einen völlig falschen Weg.

Ich persönlich nutze meine Handynummer grundsätzlich nicht im Netz und würde es auch nicht tun. Die meisten Leute die ich kenne auch nicht.

Die Leute zu zwingen ihr Handy zu einem solchen Spiel zu benutzen halte ich eher für Kanonen die auf Spatzen schiessen.

Ich denke, es sollten erstmal hunderte andere Dinge hier passieren bevor man anfängt sich über so einen Quatsch Gedanken zu machen.

[Disclaimer: Evtl. recht technischer Post]

2FA hab ich konkret auf meiner Todo-List, in dem Zuge haben wir uebrigens bereits einiges an der Passwortsicherheit geaendert. Erstens verwenden wir Argon2id-Key-Derivation zum Hashen der Passwoerter und zweitens ist es jetzt nicht mehr moeglich Passwoerter zu setzen die bei https://haveibeenpwned.com/ vorkommen.

Falls bei letzterem Bedenken wegen Requests zu HIBP sind: Wir machen keinerlei Requests dort hin sondern haben die Komplette DB auf unseren Servern. Wer technische Details dazu haben will, hier ist die Implementation: https://gist.github.com/aszlig/0a2046872e5cda4e67926236210a69c0

Das auf jeden Fall nur am Rande zum Thema (Passwort-)Sicherheit, zurueck zu 2FA: Um das vollstaendig zu implementieren brauchten wir auch entsprechende SMS- oder gar wenns ganz fancy sein soll Call-Gateways, ansonsten haetten wir nur TOTP bzw. HOTP (was zumindest schonmal ein Fortschritt waere).

Letzteres aendert allerdings nicht sehr viel was Farming betrifft und zweitens muessten wir auch alle User dazu zwingen 2FA zu verwenden, was natuerlich die Huerde viel hoeher schraubt sich ueberhaupt einen moonID-Account zu machen und wuerde zudem die Leute die Social-Auth verwenden ausschliessen oder den Vorgang unnoetig verkomplizieren.

TL;DR:

Bei optionalem 2FA bin ich persoenlich voll dabei, aber zwingen wuerde ich die Leute nicht. Werden das aber noch besprechen kommende Woche.

Die Sperrung der MoonID halte ich schon für eine Option... Ich kenne es durchaus von anderen Spielen, dass man gesperrt wird, wenn man unter dem !begründeten! Verdacht von Betrug steht. Klar, man braucht entsprechend Personal um das alles dann auch zu bearbeiten, die Sperre soll ja - falls sie ungerechtfertigt ist - nicht länger als nötig halten. Allein die Tatsache, dass man zeitweilig gesperrt werden kann, also im Spiel nichts mehr machen kann, hält einige schon davon ab zu betrügen. Denn erzwungene Inaktivität hat direkte, wirklich spürbare Folgen. Und es heißt ja nicht, dass deshalb dann alles verloren ist... Es fehlen einem halt ein, zwei Tage im Spiel.

Ja wer betrügen will, wird das trotzdem machen und man wird es sicher nicht ganz verhindern können - nahezu egal was man macht. Aber man kann es zumindest etwas eingrenzen.
Ich mein... Nehmen wir als Beispiel Overwatch von Blizzard (edit: Egoshooter im Teamplayer modus). Die verhängen als Strafen für ungerechtfertigtes Verhalten Sperren und EXP-Verlust. Wenn du aus, ich hab keinen Bock auf mein Team das Match verlässt, gibts bei ranking Spielen eine Zeitsperre von 15 Minuten, wo du halt nicht mehr ranken kannst und du verlierst Empfindlich viele Punkte. Wenn du in der Schnellsuche - also nicht so ernst - dauernd raus gehst, kriegst du weniger EXP und damit schwerer eine Level-up mit entsprechenden Lootboxen. Ja, deshalb halten sich trotzdem NIE alle dran. Aber es hat die Trolle doch deutlich eingegrenzt. Weil es eben auch Strafen innerhalb des Spiels gibt.
Ich weiß nicht, wie sich das jetzt vernünftig übertragen lässt und ob das so wirklich Sinn ergibt. Ich wollte es einfach mal anmerken. Das ist etwas, worüber man sich Gedanken machen kann.

Und ja, es ist 'nur' ein Browser-Game. Dennoch hat es mit Paranoia wenig zu tun, dass man fair spielen möchte. Warum spielst du? Letztlich willst du im High-Score möglichst weit obe sein, oder nicht? Ja wegen der Leute... Clan etc etc... Aber der High- Score zählt. Und wenn du eine Unzahl von Leuten hast, die betrügen, hast du keine Chance gegen die und/oder es macht schlicht keinen Spaß mehr zu spielen. Was tust du? Du hörst auf. Und nimmst schon gar kein Geld in die Hand - denn es bringt ja nichts.

edit: Mir ist klar, dass Blizzard ein riesen Konzern mit viiiiiel Geld und Personal ist. Das lässt sich nicht so ohne weiteres vergleichen. Mir ging es um die Idee und einen Denkanstoß zu geben... Und das ganze nicht als ausgereift und so könnte man es machen. Technisch gesehen bin ich ein Noob^^