It seems that you're using an outdated browser. Some things may not work as they should (or don't work at all).
We suggest you upgrade newer and better browser like: Chrome, Firefox, Internet Explorer or Opera

×
Community
Allgemeine DiskussionZweistufige Anmeldung & HTTPS flächendeckend(55 posts)(55 posts)
(55 posts)
Pages:
1
2
3
4
This is my favourite topic
Posted March 07, 2016
Eine Extraportion Schutz für dich und dein Konto.

Heute führen wir die zweistufige Anmeldung ein: die Extraportion Schutz für dein GOG-Konto. In den kommenden Wochen werden wir außerdem sämtliche Kommunikation zwischen dir und GOG standardmäßig mit HTTPS verschlüsseln. Beide Methoden wurden von euch oft angefragt, und in der Tat ist es vernünftig, diese anzubieten.

Die zweistufige Anmeldung
Die zweistufige Anmeldung ist die Extraportion Schutz für dein GOG-Konto.

Wir werden dich gelegentlich darum bitten, deine Identität zu bestätigen, indem wir einen vierstelligen Sicherheitscode an deine E-Mail-Adresse senden.
Ganz einfach.

Die zweistufige Anmeldung ist vollständig optional, aber wir empfehlen sie dringend. Sie ist darauf ausgelegt, dir nur auf die Nerven zu gehen, wenn etwas Ungewöhnliches passiert - wie das Einloggen von einem neuen Browser oder einem anderen Ort. Auf diese Weise stellen wir sicher, dass ohne dein GOG-Passwort und dein E-Mail-Konto kein unerlaubter Zugriff auf GOG.com möglich ist. Mit einem einzigartigen Passwort für jedes Konto ist die zweistufige Anmeldung nahezu unüberwindbar.

Gehe zum Einrichten der zweistufigen Anmeldung einfach zu deinen Einstellungen für Anmeldung & Sicherheit, aktiviere und bestätige die Funktion und freu dich über die zusätzliche Sicherheit. Weitere Informationen findest du hier im FAQ.


Zusätzlich kannst du nun alle deine aktiven Sitzungen auf GOG.com mit einem Klick beenden. Das betrifft jedes Gerät und jeden Browser, mit dem du dich jemals angemeldet hast. Echt praktisch, wenn du kürzlich einen öffentlichen PC verwendet hast oder bloß sicher sein willst, dass keines deiner Geräte noch über dein Konto angemeldet ist.


HTTPS flächendeckend
GOG Galaxy unterstützt HTTPS bereits seit einer Weile, und nun weiten wir es auf alles aus. Das bedeutet: HTTPS-Unterstützung für jede Verbindung zwischen dir und GOG.com - mit der Verschlüsselung nach Industriestandard. Jedes Bit und Byte, das zwischen, dir, uns und jedem anderen auf GOG.com ausgetauscht wird, ist dann verschlüsselt, egal, ob im Store, Forum, Chat oder bei den Downloads. Dasselbe gilt in vollem Umfang auch für GOG Galaxy. HTTPS flächendeckend im wahrsten Sinne des Wortes also.
Posted March 08, 2016
avatar
disi: Er sagt auch sie versuchen jetzt Verschluesselungen einzufuehren wo das Medium bei jedem Start im Internet einen Key herunterladen muss, das erinnert mich an die alten Premiere-Schluessel zum Fernsehen.
Ich kaufe eh nur selten BDs, meist nehme ich im Fernsehen auf (720p reicht mir da). Wenn es soweit kommt wird halt gar nicht mehr gekauft und ggf. im Netz runtergeladen. Das was man dort bekommt läuft wenigstens auch weil das anschauen nicht künstlich erschwert werden soll.
Das mit den Keys hört sich auch stark danach an, dass man nur bestimmte Kontingente bekommt.

Ich habe AnyDVD auch lange genutzt. Aber nicht um BDs oder DVDs zu kopieren, sondern weil mein alter Monitor kein HDCP unterstützt und ich daher keine BDs anschauen hätte können. Dank AnyDVD konnte ich aber meine gekauften Filme ansehen.

Mit der BD ist die Industrie einfach zu weit gegangen. Man kann nicht mal mehr eine private BD mit selbst gedrehten Filmen erstellen die auch ein Menü hat, weil der offizielle Standard zwingend einen Kopierschutz vorsieht. Inoffiziell geht es natürlich, aber jeder BD-Spieler kann die Wiedergabe verweigern, ist schließlich kein offizieller Standard.
Posted March 08, 2016
avatar
Cattie: so wird das nichts mit der zweistufigen anmeldung.

natürlich lösche ich die cookies nach jeder sitzung und selbstverständlich habe ich eine dynamische ip, beides dient dem datenschutz. wenn das aber bedeutet, dass ich jedes mal zusätzlich zu den normalen anmeldedaten aus einem mail eine nummer übertragen muss wird der aufwand grenzwertig und ich bin mir sicher, dass sich die wenigsten leute auf sowas einlassen werden.

ich logge mich oft nur für sekunden ein, um updates oder das forum zu checken. wenn der aufwand grösser wird mache ich das seltener.

[...]

ich könnte mich damit anfreunden, wenn es alle 10-20 logins eine nachfrage gäbe. aber die nutzererkennung von der ip oder von cookies abhängig zu machen ist kontraproduktiv und ich befürchte, dass wird sich so nicht durchsetzen.
Gibt es überhaupt auf normalen Websites mit Accountsystem eine Zwei-Faktor-Authentifikation, die den Nutzer nicht über einen Cookie identifiziert? Ich kenne dafür gerade kein Beispiel.

Derzeit hast du vier Optionen:
- Cookies von GOG nicht löschen
- Galaxy oder einen isolierten Browser nur für GOG nutzen.
- Jedes mal den Code eingeben.
- Die Zwei-Faktor-Authentifikation deaktivieren.
Einen Zwang zur Nutzung gibt es ja nicht.

avatar
Cattie: hier haben wir das klassische problem: natürlich kann jeder auch seine mails mit pgp verschlüsseln und jeder weiss, dass es sinnvoll wäre. nur macht das kaum jemand, weil für viele leute der aufwand zu gross ist. oder anders ausgedrückt: das verhältnis aufwand und (gefühlter) nutzen stimmt nicht.
Das war vor Jahren vielleicht so, die Einrichtung von Mailverschlüsselung via PGP ist heutztage ein Kinderspiel und wird durch Pretty Easy Privacy noch ein ganzes Stück einfacher werden. Es interessiert nur einfach kaum Jemanden, ob die eigene Kommunikation potenziell abgehört werden kann oder nicht. Wenn Überwachung stets direkt erfahrbar wäre, sähe das schon ganz anders aus.

avatar
disi: Er sagt auch sie versuchen jetzt Verschluesselungen einzufuehren wo das Medium bei jedem Start im Internet einen Key herunterladen muss, das erinnert mich an die alten Premiere-Schluessel zum Fernsehen.

Ich frage mich was all der Scheiss soll.
Was hat das überhaupt mit der Einführung von HTTPS über SSL zu tun? Ja, Schlüssel sollte man generell verbieten! Haustüren ohne Schloss sind das einzig Wahre!

Du vergleichst die ganze Zeit vollkommen verschiedene Dinge, allerdings ohne zu erläutern, wie du überhaupt darauf kommst. Anstatt dich nicht zu erklären und die ganze Zeit Kommentare im Stile von "alles ist potenziell schlecht und könnte gegen uns verwendet werden" rauszuhauen, solltest du mal ein paar Fakten auf den Tisch legen.

Übrigens, die von dir erwähnten DRM-Mechanismen gibt es ja bereits für digitale Inhalte bei Netflix, Amazon Prime Video und Co! Selbst Mozilla ist da eingeknickt und liefert das geschlossene Modul von Adobe für den DRM-Support unter HTML als Teil vom Firefox aus. Derzeit sieht es so aus, als würde BluRays irgendwann so wertlos werden wie DVDs von Steam-Spielen. Dennoch hat das rein gar nichts mit diesen neuen Sicherheitsfeatures zu tun.
Post edited March 08, 2016 by ShadowOwl
Posted March 08, 2016
avatar
disi: Er sagt auch sie versuchen jetzt Verschluesselungen einzufuehren wo das Medium bei jedem Start im Internet einen Key herunterladen muss, das erinnert mich an die alten Premiere-Schluessel zum Fernsehen.

Ich frage mich was all der Scheiss soll.
avatar
ShadowOwl: Was hat das überhaupt mit der Einführung von HTTPS über SSL zu tun? Ja, Schlüssel sollte man generell verbieten! Haustüren ohne Schloss sind das einzig Wahre!

Du vergleichst die ganze Zeit vollkommen verschiedene Dinge, allerdings ohne zu erläutern, wie du überhaupt darauf kommst. Anstatt dich nicht zu erklären und die ganze Zeit Kommentare im Stile von "alles ist potenziell schlecht und könnte gegen uns verwendet werden" rauszuhauen, solltest du mal ein paar Fakten auf den Tisch legen.

Übrigens, die von dir erwähnten DRM-Mechanismen gibt es ja bereits für digitale Inhalte bei Netflix, Amazon Prime Video und Co! Selbst Mozilla ist da eingeknickt und liefert das geschlossene Modul von Adobe für den DRM-Support unter HTML als Teil vom Firefox aus. Derzeit sieht es so aus, als würde BluRays irgendwann so wertlos werden wie DVDs von Steam-Spielen. Dennoch hat das rein gar nichts mit diesen neuen Sicherheitsfeatures zu tun.
Du bist einfach zu polemisch. Stellst dich selbst bloeder dar als du vermutlich bist um zu verstehen was ich meine.

Sachlich ist mit dir nicht zu reden.
Posted March 08, 2016
avatar
disi: Du bist einfach zu polemisch. Stellst dich selbst bloeder dar als du vermutlich bist um zu verstehen was ich meine.

Sachlich ist mit dir nicht zu reden.
Unnötige Streitereien gibt es schon in genug anderen Foren zu Hauf, das brauch ich hier nicht auch noch. Also lass uns doch sachlich bleiben, okay? :)

Entschuldige, den Eingangskommentar von mir war überflüssig, hat aber hoffentlich gezeigt, was ich aus deinen Posts herauslese. Und nein, ich stelle mich nicht blöd. Ich habe wirklich keine Ahnung, wie du auf den Vergleich von BluRay-DRM mit HTTP Secure kommst. Ich bin eigentlich auf einen kosntruktiven Dialog aus und würde mich freuen, wenn du die von dir geäußerten Analogien erläutern würdest - denn ich kann sie einfach nicht nachvollziehen.
Post edited March 08, 2016 by ShadowOwl
Posted March 08, 2016
avatar
disi: Du bist einfach zu polemisch. Stellst dich selbst bloeder dar als du vermutlich bist um zu verstehen was ich meine.

Sachlich ist mit dir nicht zu reden.
avatar
ShadowOwl: Unnötige Streitereien gibt es schon in genug anderen Foren zu Hauf, das brauch ich hier nicht auch noch. Also lass uns doch sachlich bleiben, okay? :)

Entschuldige, den Eingangskommentar von mir war überflüssig, hat aber hoffentlich gezeigt, was ich aus deinen Posts herauslese. Und nein, ich stelle mich nicht blöd. Ich habe wirklich keine Ahnung, wie du auf den Vergleich von BluRay-DRM mit HTTP Secure kommst. Ich bin eigentlich auf einen kosntruktiven Dialog aus und würde mich freuen, wenn du die von dir geäußerten Analogien erläutern würdest - denn ich kann sie einfach nicht nachvollziehen.
avatar
disi: Du bist einfach zu polemisch. Stellst dich selbst bloeder dar als du vermutlich bist um zu verstehen was ich meine.

Sachlich ist mit dir nicht zu reden.
avatar
ShadowOwl: Unnötige Streitereien gibt es schon in genug anderen Foren zu Hauf, das brauch ich hier nicht auch noch. Also lass uns doch sachlich bleiben, okay? :)

Entschuldige, den Eingangskommentar von mir war überflüssig, hat aber hoffentlich gezeigt, was ich aus deinen Posts herauslese. Und nein, ich stelle mich nicht blöd. Ich habe wirklich keine Ahnung, wie du auf den Vergleich von BluRay-DRM mit HTTP Secure kommst. Ich bin eigentlich auf einen kosntruktiven Dialog aus und würde mich freuen, wenn du die von dir geäußerten Analogien erläutern würdest - denn ich kann sie einfach nicht nachvollziehen.
Gegen die SSL Verschluesselung habe ich ncihts, das war ja aber in den kritischen Bereichen vorher schon da. Warum nicht, kein Problem.

Ich will hier auch keinen ueberzeugen, dass das Mist ist. Das ist nichtmal meine Meinung, ich will nur darueber reden.

Ich wollte nur einmal Aufzeigen es gibt Kosten und Nutzen, wer hat die Kosten und wer den Nutzen und in welchem Verhaeltnis.

Beim Kopierschutz liegt der Nutzen 100% bei den Verlegern und die Kosten/Aufwand 100% beim Kunden. So als Beispiel.

Hier kann man sagen, ja wenn der Account gehackt wurde kann man nicht spielen bis man ihn wieder hat. Das ist doof. Also koennte sich der Mehraufwand lohnen.
Wenn jetzt aber alle zwei Wochen die Abfrage kommt, was dich vielleicht 5min kostet. Dann sind das im Jahr schonmal so 125min (zwei Stunden nur um sich bei GOG anzumelden).

Wessen Account noch nie gehackt wurde, der fragt sich warum er jetzt auf einmal zwei Stunden im Jahr mit dem Anmelden bei GOG.com verbringen soll :)
Post edited March 08, 2016 by disi
Posted March 08, 2016
avatar
disi: Wenn jetzt aber alle zwei Wochen die Abfrage kommt, was dich vielleicht 5min kostet. Dann sind das im Jahr schonmal so 125min (zwei Stunden nur um sich bei GOG anzumelden).
Das geht innerhalb einer Minute.
Posted March 08, 2016
Ich schaff das innerhalb von 5 Sekunden, Email Programm auzurufen, Code kopieren und einfügen.
Posted March 08, 2016
avatar
welttraumhaendler: Ich schaff das innerhalb von 5 Sekunden, Email Programm auzurufen, Code kopieren und einfügen.
Naja, Mail muss ja auch ankommen. Auf Mobilgeräten dauerts dann auch etwas länger. Aber stimmt schon, im Idealfall geht das fix.
Egal, niemand wird dazu gezwungen.
Posted March 09, 2016
avatar
ShadowOwl: Gibt es überhaupt auf normalen Websites mit Accountsystem eine Zwei-Faktor-Authentifikation, die den Nutzer nicht über einen Cookie identifiziert? Ich kenne dafür gerade kein Beispiel.
ja. es gibt zb. die möglichkeit, einen fingerprint des browsers zu nehmen, dazu noch einige andere daten, und erst wenn mehr als ein oder zwei faktoren von dem letzten login abweichen gibt's die nachfrage.

um es klar zu stellen, ich ärgere mich natürlich nicht über mehr sicherheit, im gegenteil. ich ärgere mich über halbgare lösungen. natürlich kann ich die zwei-faktor-authentifikation abschalten, ich würde eine praktikable lösung aber vorziehen.

avatar
ShadowOwl: Das war vor Jahren vielleicht so, die Einrichtung von Mailverschlüsselung via PGP ist heutztage ein Kinderspiel und wird durch Pretty Easy Privacy noch ein ganzes Stück einfacher werden.
das ist aktuell so. nehmen wir enigmail für thunderbird. ich bin mir sicher, dass viele aus meinem bekanntenkreis erhebliche schwierigkeiten hätten, das ding vernünftig einzurichten. pretty easy privacy ist, wie du schon schreibst, nicht fertig.

avatar
ShadowOwl: Es interessiert nur einfach kaum Jemanden, ob die eigene Kommunikation potenziell abgehört werden kann oder nicht. Wenn Überwachung stets direkt erfahrbar wäre, sähe das schon ganz anders aus.
hier stimme ich dir zu. das ist auch ein grund, warum brauchbare lösungen so lange auf sich warten lassen.

[edit: quotenummern berichtigt]
Post edited March 09, 2016 by Cattie
Posted March 09, 2016
avatar
Cattie: ...
Du zitierst dich selber und antwortest dir selber? Sieht nach einen Fehler aus.
Post edited March 09, 2016 by welttraumhaendler
Posted March 09, 2016
avatar
disi: Wessen Account noch nie gehackt wurde, der fragt sich warum er jetzt auf einmal zwei Stunden im Jahr mit dem Anmelden bei GOG.com verbringen soll :)
Wie gesagt, die Nutzung ist ja optional (nicht mal standardmäßig aktiviert) und deine Zeitangaben sind entweder übertrieben oder zumindest der absolute worst case. Extrem wird es natürlich dann, wenn man sich jedes mal via Browser ins Mailkonto einloggt und auch dort noch eine Zwei-Faktor-Authentifizierung aktiviert hat. :D

avatar
Cattie: ja. es gibt zb. die möglichkeit, einen fingerprint des browsers zu nehmen, dazu noch einige andere daten, und erst wenn mehr als ein oder zwei faktoren von dem letzten login abweichen gibt's die nachfrage.
Oha, via Browser-Fingerprint? Welche Seiten setzen das denn ein? Würde mir das mal gerne anschauen. Könnte es da nicht zu Problemen kommen, wenn die Fingerprints nicht so eindeutig sind?
Wer übrigens nicht weiß, wovon wir hier sprechen: Browser-Fingerprints, also eine Art Fingerbadruck des Webbrowsers, der sich fast immer eindeutig einem Nutzer zuordnen lässt, ist eine beliebte Möglichkeit neben Cookies, um Nutzer im Netz zu verfolgen. Wer prüfen will, ob sein Fingerprint eindeutig ist, kann sich ja mal das Panopticlick-Projekt vom EFF ansehen: https://panopticlick.eff.org/about

avatar
Cattie: das ist aktuell so. nehmen wir enigmail für thunderbird. ich bin mir sicher, dass viele aus meinem bekanntenkreis erhebliche schwierigkeiten hätten, das ding vernünftig einzurichten.
Okay, muss ich jetzt mal so hinnehmen. Ich habe auf entsprechenden Veranstaltungen diesbzgl. eigentlich immer gute Erfahrungen gemacht. Die größte Hürde ist da in meinen Augen, andere Leute dazu zu bringen, deren E-Mail-Konto entsprechend einzurichten.

avatar
welttraumhaendler: Du zitierst dich selber und antwortest dir selber? Sieht nach einen Fehler aus.
Die Zitate sind im Grunde korrekt, aber die eingetragenen Beitragsnummern sind falsch. Sollte man bei Gelegenheit mal korrigieren. ^^
Post edited March 09, 2016 by ShadowOwl
Posted March 09, 2016
avatar
disi: Wessen Account noch nie gehackt wurde, der fragt sich warum er jetzt auf einmal zwei Stunden im Jahr mit dem Anmelden bei GOG.com verbringen soll :)
avatar
ShadowOwl: Wie gesagt, die Nutzung ist ja optional (nicht mal standardmäßig aktiviert) und deine Zeitangaben sind entweder übertrieben oder zumindest der absolute worst case. Extrem wird es natürlich dann, wenn man sich jedes mal via Browser ins Mailkonto einloggt und auch dort noch eine Zwei-Faktor-Authentifizierung aktiviert hat. :D
Wenn ich mich vielleicht einmal im Jahr bei Seiten wie Steam oder UPlay anmelde, muss ich immer mein Passwort zuruecksetzen lassen. Da benutze ich dann auch das generierte Passwort, das ich aus meinem Postfach raussuchen muss, dann ein neues Passwort ausdenken :)
Nach der Anmeldung fragen die dann wie ich diesen Computer nennen moechte und schicken natuerlich einen Code an mein Postfach, den ich kopieren muss.

Gut, hier habe ich bequem das Cookie aber haenge ja auch im Forum oft genug herum :)

OFFTOPIC:
p.s. so wie Dezember bis Januar wo ich Fallout spielte. Vor Jedem Spielen musst du den Steam-Client starten (und 20-100MB neue Werbung herunterladen), jeden Start des Spiels "Ja ich will Offline Modus" und dann kommt das Spiel. Das klingt wie Pippifatz aber wenn man dazu noch herumexperimentiert mit Nexus-Modmanager (Mod Organizer kann noch kein 64bit), dann kann so eine simple Frage sehr nervig werden.
Die wiederkehrende Frage nach Offline Modus kann man nicht umgehen!
Post edited March 09, 2016 by disi
Posted March 09, 2016
avatar
Cattie: ja. es gibt zb. die möglichkeit, einen fingerprint des browsers zu nehmen, dazu noch einige andere daten, und erst wenn mehr als ein oder zwei faktoren von dem letzten login abweichen gibt's die nachfrage.

um es klar zu stellen, ich ärgere mich natürlich nicht über mehr sicherheit, im gegenteil. ich ärgere mich über halbgare lösungen. natürlich kann ich die zwei-faktor-authentifikation abschalten, ich würde eine praktikable lösung aber vorziehen.
Ist dieser Fingerprint jetzt datenschutzrechtlich besser als ein Cookie??? Ich wundere mich, warum diese immer so verteufelt werden, klar werden sie auch zum Tracken verwendet, aber genauso die anderen Möglichkeiten.

Und von der Bequemlichkeit her ändert sich die Browser Version bei Firefox gefühlt alle 2 bis 4 Wochen, also würde man da auch immer neu eingeben müssen. Und eine Serverliste mit Daten meines Rechners mag ich auch nicht unbedingt irgendwo im Internet liegen haben, gibts auch so genug ;)

Bei Cookies kann man in vielen Browsern auch generell alle ablehnen, aber Ausnahmen für GoG setzen. Bei mir funtioniert es sehr gut und ich bin sehr zufrieden.
Posted March 09, 2016
avatar
hohiro: Ist dieser Fingerprint jetzt datenschutzrechtlich besser als ein Cookie???
Definitiv nicht, v.a. weil du die Spuren von Cookies eher wieder los wirst.
Posted March 09, 2016
avatar
hohiro: Ist dieser Fingerprint jetzt datenschutzrechtlich besser als ein Cookie??? Ich wundere mich, warum diese immer so verteufelt werden, klar werden sie auch zum Tracken verwendet, aber genauso die anderen Möglichkeiten.
sobald du javascript aktiviert hast (was fast alle seiten verlangen) überträgt dein browser jede menge infos über deinen rechner und deinen browser, zb. installierte plugins, betriebssystem (zb. windows) bildschirmauflösung und 1000 andere sachen. das kannst du nicht vermeiden. und diese daten stehen in jedem fall in den zugriffslogs der seiten. die auswertung dieser daten benötigt nicht mehr infos, als du ohnehin lieferst.
die argumentation für das übertragen dieser daten ist, dass seiten diese informationen benötigen, um korrekt dargestellt zu werden. ich will darauf an dieser stelle nicht weiter eingehen, führt zu weit.

dass die reklameindustrie sich diesen umstand zu nutze macht liegt auf der hand, insbesondere, da ja immer mehr nutzer andere tracker einfach per klick im browser blockieren. aber das ist ein anderes thema.

avatar
hohiro: Und von der Bequemlichkeit her ändert sich die Browser Version bei Firefox gefühlt alle 2 bis 4 Wochen
...
nur wenn du auf dem beta-kanal bist :) und maximal einmal im monat eine mail-abfrage ist besser als jedes mal. daher hatte ich auch geschrieben, dass sich mehrere faktoren gleichzeitig ändern müssten, um eine mail-authentifikation auszulösen.

ein fingerprint ist sicher keine absolute lösung, aber die warscheinlichkeit, dass ein angreifer nicht nur deine login-daten kennt sondern auch noch absolut exakt die gleiche rechner/browserkonfiguration hat ist extrem gering. dein fingerprint ist recht einmalig.
hier kannst du sehen, was beim aufruf einer beliebigen seite so alles rausgeht: https://whoer.net/#extended

@ShadowOwl: vielleicht führt die diskussion jetzt etwas zu weit, deshalb vielleicht abschliessend: wir können noch jahre darüber lamentieren, dass viele nutzer sich nicht um datenschutz kümmern. und das wird sich auch nicht ändern, wenn wir sie ununterbrochen zuquasseln :) genauso können wir uns über schlechtes wetter beklagen.
aus meiner sicht gibt es nur einen weg: datenschutz/sicherheit darf keinen zusätzlichen aufwand bedeuten, die sachen müssen praktisch automatisch aktiviert sein, ohne dass sich der anwender mit begriffen wie privaten oder öffentlichen schlüssen rumschlagen muss, die für viele eine abschreckende wirkung haben.... oder beim login jedes mal einen code aus einem mail übertragen muss...
Post edited March 09, 2016 by Cattie
Pages:
1
2
3
4
This is my favourite topic
Community
Allgemeine DiskussionZweistufige Anmeldung & HTTPS flächendeckend(55 posts)(55 posts)
(55 posts)