Hallo,

Sobald man sich einloggt hat kann man einfach das Passwort und die E-Mail Adresse ändern.
Um einen Account zu übernehmen reicht nur das Passwort des jeweiligen Accounts zu kennen.

Bei Steam muss eine Änderung der E-Mail oder dem Passwort erst mit einem Code den man via E-Mail bekommt bestätigen somit müsste ein Angreifer auch auf das E-Mail Konto Zugriff haben.

Gesetzt dem Fall jemand errät (wie auch immer) das Passwort und übernimmt einen Account wird es für den eigentlichen Besitzer wohl schwer nachzuweisen das er der eigentliche Eigentümer ist.


Eure Meinungen?

Meins ist nicht erratbar. Aber ich gebe dir in sofern Recht, dass die Hürde vielleicht etwas höher sein sollte.

Prinzipiell stimmt das, doch GOG hat einen gut aufgestellten Customer Support, d.h. sollte so etwas vorkommen, kann man den Support kontaktieren, die validieren deine Identität, i.d.R. durch Zahlungsdaten deiner Einkäufe und machen das Account-Kidnapping rückgängig. Vermutlich ist das für GOG aktuell billiger als auf zusätzliche Technik einzuführen. Zu GOGs Schutz muss man hier auch sagen, dass im Account keine sensiblen Zahlungsdaten hinterlegt werden. Ein Kidnapper kann also nur die Spiele herunterladen - was wiederum nur GOG aber nicht dem Account-Inhaber schadet - und in dessen Namen im Forum sein Unwesen treiben, das war's im Moment.

Das rechne ich gog auch hoch an dadurch ist man aber auf dritt Anbieter angewiesen.

Mit dem Support habe ich zum Glück noch keine Erfahrungen machen müssen da ich sehr zufrieden mit gog bin.
Was mir so zu Ohren gekommen ist deckt sich das aber mit deiner Aussage.

Ich habe mir mal die Zahlungsarten angeschaut. Darunter wäre Kredit-/Debitkarte, Paypal, Giropay und Sofort überweisung durch die ein Kunde seine Identität nachweisen könnte.
Bei Paysafecard sehe ich da keine Möglichkeit. Das betrifft aber nur Accounts die ausschließlich mit der Paysafecard zahlen.

Das ist jetzt nicht weiter problematisch und mir ist auch kein Fall bekannt wo jemandem der Account abhanden gekommen ist (dann wohl alles grauzone).

Eine Art Sicherheitsmechanismus PIN an E-Mail bei Account Veränderung würde aber sicher nicht schaden.

Was die Umsetzung angeht bin ich kein Fachmann und die sagen in der Regel das kann doch nicht so schwer sein, was soll das schon kosten.. gog verschickt doch auch e-mails als bestätigung bei der registrierung. [/ironie]

Da hast Du natürlich recht. Man müsste halt jemanden hinsetzen und zahlen, der das implementiert und testet. Vielleicht ist das aktuell einfach zu weit unten auf der Prio-Liste, denn mit der Einführung von GOG Galaxy, den bestehenden Bugs und dem kommenden neuen Account Bereich hat das Web-Team vermutlich alle Hände voll zu tun.
Ich wäre ehrlich gesagt schon froh, wenn die Seite wieder etwas scheller werden würde ;-)

Eine Supportanfrage wäre es aber sicherlich wert. Wenigstens um zu erfahren, ob sie sowas überhaupt in Erwägung ziehen. Auch ein dementsprechendes Feature-Request auf der Community Wishlist könnte zumindest etwas Aufmerksamkeit erregen.

Ansonsten ist sicherheitstechnisch sowieso noch Luft nach oben:
https://www.ssllabs.com/ssltest/analyze.html?d=gog.com&s=199.38.182.70&latest
(vor allen Dingen die RC4-Unterstützung sollte aufgegeben werden)

Bemängelt wird weiterhin, dass nach dem Login die SSL Verbindung nicht dauerhaft gehalten wird:
http://www.gog.com/wishlist/site/add_ssl_for_the_whole_website
http://www.gog.com/wishlist/site/https_browsing_of_the_whole_site