Nachdem es heute wieder ein derbes Sicherheitsproblem gab und auch viele Leute ständig gehackt werden, sehe ich mich gezwungen hier einen detaillierten Post über die Sicherheit eures Steam Accounts zu erstellen.


Ja, es dauert manchmal länger bis man eine EMail bekommt mit dem Code. Aber die paar Minuten oder zur not auch mal eine Stunde kann man auch ohne Steam leben. Die zusätzliche Sicherheit ist es Wert.


Es gibt Seiten, die fordern einen auf eine Datei mit der Endung .ssn hochzuladen. Das solltet ihr niemals tun. Das ist eure Steam Guard Datei. Mit dieser Datei kann man euren Account stehlen. Diese Seiten sehen oft aus wie exakte Kopien des Steam Logins. Das einzige wonach Steam euch fragt ist euer Steam Guard Code.


Es gibt zwar legitime Seiten, die hin und wieder was kostenloses anbieten, aber dauerhaft freie Spiele für Steam in Massen gibt es nicht. Seiten die das versprechen klauen entweder euren Account oder fordern euch auf Links in Foren zu spammen. Lasst die Finger davon.


Im Browser in der Adresszeile sollt ein grüber Balken sein, auf dem "Valve Corp. [US]" steht, wenn ihr euer Passwort eingebt. Klickt auch drauf und stellt sicher, dass das Zertifikat echt ist.


Da gibt es Idle Programme, Friendslist Helper und andere, die einen nach dem Steam Passwort fragen. Gebt eure Daten dort nicht ein. Die Programme sind sehr einfach gestrickt und diese zu infizieren ist sehr einfach.


Sollte selbstverständlich sein. Klickt nur auf Links bei Leuten denen ihr vertraut oder wo ihr die Domain kennt, wie als bsp. imgur.com etc.


Dieser Punkt ist der interessantest und der Hauptgrund für diesen Post. FIDO U2F ist ein Protokoll, das auf einem USB Stick basiert, der einen privaten und einen öffentlichen Schlüssel enthält auf dessen Grundlage ein Login erlaubt oder abgewiesen wird. Dieses Protokoll ist momentan nicht hackfähig, da es einen physischen Schlüssel benötigt der auch manuell aktiviert werden muss, wenn der Server die Anfrage schickt.
Hier die nötigen Schritte:

• Google Chrome runterladen. Zwingend nötig, da Firefox/IE/Opera U2F nicht unterstützen.
  
• Einen GMail Account eröffnen oder den vorhanden nehmen und euren Steam Account auf diese Mail Adresse legen.
  
• Entweder diesen[www.amazon.de] oder diesen[www.amazon.de] FIDO U2F Stick kaufen. Ich empfehle den blauen, der ist stabiler.
  
• Auf diese Seite im Google Account gehen: https://accounts.google.com/b/0/SmsAuthSettings#devices und die 2-Schritte-Authentifizierung aktivieren
  
• Danach kann der FIDO Key unter https://accounts.google.com/b/0/SmsAuthSettings#securitykeys aktiviert werden.

Danach müsst ihr für jedesmal wenn ihr auf Google neu einloggt den USB Key zur Hand haben, einstecken und auf Verlangen des Browsers berühren. Ihr bekommt aber auch Security Codes, die ihr am besten ausdruckt (auf keinen Fall am Handy oder PC speichern) und irgendwo versteckt. In einem Buch oder Spielehülle. Diese braucht ihr, falls ihr irgendwann mal den USB Key oder euer Handy verliert.

Falls ihr ein Android Handy habt, müsst ihr euch daraus ausloggen und unter https://security.google.com/settings/security/apppasswords ein Passwort generieren. Damit könnt ihr euch dann auf Android wieder einloggen. Dieses Passwort wird nur einmal angezeigt und kann jederzeit widerrufen werden. Genau das gleiche gilt für Logins in Apps die Google Drive unterstützen, Mailprogramme etc. Bietet auch gleichzeit noch einen Sicherheitslayer, da ihr nicht euer echtes Passwort dort eingeben müsst.

Aber mit dieser Maßnahme kommt keiner in euren Steam Account, solange IHR STEAM GUARD AKTIVIERT HABT UND OBEN GENANNTEN REGELN FOLGT. Nichtmal wenn er das Passwort für den dazugehörigen Mail Account hat. Der Angreifer muss den entsprechenden FIDO Key haben. Schützt natürlich nicht vor irgendwelchen Brüdern oder Cousins die Zugriff auf euren Wohnbereich haben.

edit: Noch ein englischer Link, der genauer und relativ technisch erklärt wie das ganze funktioniert: http://security.stackexchange.com/questions/71316/how-secure-are-the-fido-u2f-tokens. Weiter unten bzw auf der nächsten Seite hab ich das auch nochmal in ein tl;dr zusammengefasst. Hier nochmal zum lesen:

2FA ist sehr anfällig gegen Man-In-The-Middle Attacken, da es im Prinzip nur ein zweites Passwort ist, das zwar nur einmal gültig ist, aber es ist aber immer noch ein Passwort. Ein Angreifer kann das immer noch stehlen und mißbrauchen. Zum Beispiel über einen Virus aufm Smartphone.

Der Stick generiert für jede Seite auf der er verwendet wird ein seperates private/public key pair, das dann nur dort gültig ist. Die Identität der Webseite wird in dieses Paar "eingebrannt", über den TLS Public Key der dort benutzt wird. Selbst wenn der Server das KeyHandle leakt über einen Datenbank Einbruch, ist deine Identität und das Passwort immer noch geschützt.
Noch dazu basiert die Identifikation über ein Challenge-Response Protokoll[en.wikipedia.org] vom Server, die nicht wiederholt werden kann. Damit ist das absolut und 100% vor Man-In-The-Middle Attacken sicher.
Auch eine Phishing Seite kann das KeyHandle nicht stehlen, weil der Client die Antwort vom Server auswertet und der Stick die Infos nur an den echten Server ausgibt. Man müsste schon Chrome infizieren + einen Server mit der richtigen Technologie ausstatten und den original Server spoofen um das ganze anzugreifen. Und das ist bisher nicht möglich.