Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 124 reacties
Submitter: _David_

Volgens Valve worden er maandelijks zo'n 77.000 Steam-accounts gekaapt en geplunderd. Het is de daders te doen om de items die op het gameplatform geruild en verkocht kunnen worden. Valve verplicht vanaf nu tweetrapsauthenticatie voor wie snel items wil kunnen ruilen.

Sinds de introductie van Steam Trading, waarbij mensen items met elkaar kunnen ruilen die echt geld vertegenwoordigen, is het aantal accountkapingen op Steam volgens Valve vertwintigvoudigd. Het kapen van accounts om de virtuele items te bemachtigen is een echte business voor criminelen geworden, stelt het bedrijf.

Valve biedt al langere tijd met zijn Steam Guard Mobile Authenticator tweetrapsauthenticatie aan op Steam. Deze kan gebruikt worden om in te loggen en om het ruilen van items te verifiëren. De meeste mensen zouden hier echter nog geen gebruik van maken volgens de dienst. Valve ziet het gebruik van de Steam Guard-app echter als cruciaal om het aantal accountkapingen terug te dringen en stelt daarom een aantal beperkingen in voor mensen die geen tweetrapsauthenticatie hebben ingesteld.

De beperkingen hebben alleen invloed op het ruilen van items op Steam. Wie geen tweetrapsauthenticatie gebruikt zal voortaan een aantal dagen moeten wachten totdat de ruil voltooid is. Dat moet gebruikers en Valve de kans geven om te ontdekken dat er iets niet in de haak is, als een account is gekaapt.

In de huidige situatie werden items van gekaapte accounts snel meerdere malen geruild met verschillende andere accounts en uiteindelijk aan een onschuldige gebruiker verkocht via de Steam Market. Als dit ontdekt werd, dupliceerde Valve het item om het terug te kunnen geven aan het account van de gehackte gebruiker. De speler die het item kocht kon immers niet weten dat het was gestolen. Dit beïnvloedt echter de waarde van items binnen de economie op Steam. Bij zeldzame voorwerpen, die soms voor honderden of zelfs duizenden euro's worden verhandeld, heeft dit een grote invloed, stelt Valve.

Steam Guard Mobile

Moderatie-faq Wijzig weergave

Reacties (124)

Vraag me wel af om hoeveel echte hacks het hier gaat bij die 77.000. De hackers/scammers weten al erg lang dat Valve bij een hack de gedupeerde de items terug geeft door extra copies te maken. Dit werd dus ook gewoon misbruikt door mensen. Het is namelijk niet moeilijk om een hack te faken met een aantal dure items.
Denk toch dat het verplicht moeten invoeren van een telefoonnummer, veel mensen tegenhoud om steam guard te gebruiken.

Zelf klikte ik ook bijna weg, tot ik naging hoeveel geld er met steam gemoeid is.

Zelfs voor het gebruik van steam guard met de steam app op een tablet, moest ik een telefoonnummer invoeren.
Steam Guard heb je helemaal geen telefoonnummer voor nodig voor zover ik weet. Ik heb het altijd gebruikt met e-mail verificatie. Ze raden je (tot in den treure) wel aan een telefoonnummer toe te voegen.

Ik heb er voor gekozen de mobiele authenticator niet te gebruiken, toen ik las hoeveel gedoe het is als je de telefoon kwijt bent, een nieuwe telefoon gebruikt etc...

Ook de e-mail krijg ik op mijn telefoon binnen, dus dat werkt wat mij betreft net zo handig.

[Reactie gewijzigd door Sjekster op 10 december 2015 12:52]

Of ze zorgen ervoor dat het werkt met de Google Authenticator.

EDIT: typo

[Reactie gewijzigd door joeri1 op 10 december 2015 11:28]

Dat al helemaal niet. Sowieso ga ik voor accountverificatie niet mijn mobiel gebruiken.
Vanwege dezelfde reden dat ik ook geen bankzaken / contactloze betalingen doe met dat ding.
Je moet wel gek zijn om het spionageapparaat van dit moment voor dingen als veiligheid / betalingen te gebruiken.
Het feit dat steam zo enorm zeurt om een telefoonnummer zegt mij genoeg, nog een app die door je mobiel wil struinen.

Hetzelfde zag ik toen ik nog een facebook account had, gebruikte de app niet maar ging gewoon naar de site via een browser. Bleef maar bleren over een telefoonnummer vanwege "veiligheid". Dat heeft ook maar 1 doel, een telefoonnummer kunnen koppelen aan een persoon.

Gewoon zorgen dat je een fatsoenlijk WW gebruikt en alle invites / berichten van mensen die je niet kent negeren. Ben je al die extra onzin niet nodig.
je kant toch ook autenticaten via een tablet zonder simkaart, staat helemaal los van je telefoonnummer.
Klopt, aangezien het ook via je e-mail kan, en daar heb je geen simkaart voor nodig, maar wel een internetverbinding.
En aangezien een tablet vaak wel wifi heeft kan het dus inderdaad ook op een tablet zonder simkaart, aangezien je dan je code op je mail krijgt, en die ontvang je ook op je tablet als je hem goed hebt ingesteld ;)
Tot het moment dat er iets gehacked word en je blij bent dat er two step authenticatie is.
Mijn guildwars 2 account was gekraakt, een ip uit china probeerde in te loggen, maar dat konden ze niet omdat hun vanaf het begin two step authenticatie hadden.

Tuurlijk kan steam als het je nummer heeft een koppeling maken met iets, maar aangezien steam geen advertentie netwerk heeft, denk ik dat ze het voornamelijk gebruiken om je een sms met een code te sturen.

Je zou anders ook een burner phone kunnen kopen van een paar tientjes of een dualsim met een burner sim.

Persoonlijk gebruik ik Google Authenticator, daar heb ik tot opheden zelf nog geen problemen mee ondervonden.
"Een IP uit China."

Zo'n soort detectiesysteem draait er bij 'payment processors' (banken, creditcardmaatschappijen, Equens). Een transactie uit het buitenland, terwijl de kaart zich even daarvoor in Nederland bevond (vanwege een andere transactie) laat alarmbellen afgaan. Zulke systemen zijn redelijk eenvoudig te implementeren voor websites. Een extra code voor als je inlogt op een andere plek dan thuis zal voor het gros van de mensen prima werken (hoeveel mensen slepen hun console/PC mee naar een ander land/andere plek?).
Één woord voor je: Telefoonboek...

We hebben al 135 jaar telefoonboeken, waarbij bijna iedereen er in stond en je een hele goede reden moest hebben om er niet in te staan (stalking bv.). Sinds de introductie en acceptatie van de mobiele telefoon is dat natuurlijk veranderd.

Steam mag prima mijn mobiele nummer hebben, mijn mail adres, credit card, etc. Zolang ze maar veilig omspringen met die data en mij verder niet lastig vallen met troep (en dat doen ze dan ook niet).

Het is geen Facebook...
"een hele goede reden moest hebben om er niet in te staan"

Onzin, vermelding in het telefoonboek was 'standaard', maar een "geheim" nummer aanvragen kon zonder reden. Er werd wel naar gevraagd, maar het was geen beperking.
Dat al helemaal niet
Waarom niet? Als je compatible bent met Google Authenticator dan betekent dat, je een open specificatie gebruikt. Dit is gelijk compatible met andere software.
Dit is er een van voor android of iOS.

Dit moet je juist wel willen.
Ik doelde meer op dat die authenticator op mijn mobiel moet draaien.
En mijn mobiel beschouw ik nou net als het meest onveilige apparaat wat ik heb. Daarom wil ik dus geen bankzaken, authenticators etc erop draaien.

De 1e reden is dat alle apps staan te graaien in je info wat ze te pakken kunnen krijgen. Apps die ongevraagd fotos willen maken en microfoon functie willen inschakelen. Ook al is dat voor betreffende app totaal niet relevant.

2e reden is dat veel "oude" telefoons geen updates meer krijgen. Daar zit ik met mijn "oude" M7 ook een beetje mee. Dus in hoeverre daar datalekken nog in zitten is voor mij een vraag.

Al met al voor mij gewoon genoeg redenen om mijn telefoon niet te gebruiken voor belangrijke dingen. Beetje browsen hier op tweakers prima, maar verder niet.
Snel thuis onder de bank gaan liggen en nooit meer iets met Internet of computers doen. En natuurlijk niet meer de weg op met de auto of het OV, registeren ze ook en dat wil je helemaal niet. Je weet immers maar nooit.

Jezelf maximaal beperken in het leven maar wel blij zijn dat in ieder geval een aantal partijen weinig over je weten. :)
Ja want wat Jan en alleman doen intereseert ook al die overheidsdiensten een biet. Laat staan de pure mankracht om alle transacties handmatig te gaan bekijken. Veiligheid ok, maar gebruik dan wel gezonde argumenten. Jij hebt geen smartphone denk ik? Zo wel dan is je relaas volstrekt onzinnig.
Qua Steam geen idee dat gebruik ik nooit namelijk. Te laat ontdekt hoe makkelijk dat was toen ik nog gamede op de PC.
Dit soort uitspraken is wat innovatie in de weg staat. Bang voor alles wat jouw privacy zou kunnen schaden.

Geloof me, de grote bedrijven weten toch al meer van je dan jij ooit kwijt zou willen. Dus maak het jezelf niet zo moeilijk en zet je alu hoedje af.
Alsof innovatie het toverwoord is wat alles goedpraat.
Niet alle verandering is verbetering.

Als jij het allemaal prima vind waarom gebruik je hier dan een andere naam ipv je echte en heb je je emailadres verborgen staan? Grote bedrijven weten het toch al dus het heeft geen zin het te verbergen.
Iets zegt me dat ook jij wel iets van alu hoedje gedrag vertoond door gewoon goed op te letten waar je wat achterlaat. Alleen niet met je telefoon blijkbaar.
Want dat is innovatie.
Ze bestaan nog... wow ik had toch gehoopt dat mensen met zo weinig kennis van zaken in middels vaak genoeg gehackt waren om zelfs hen van het nut van twee traps authenticatie te overtuigen.

Het probleem is dat helaas hele erg veel mensen simpel 1 of hoog uit een aantal wachtwoorden gebruikt en dan vaak wachtwoorden die niet echt veilig zijn. Zelfs als men een wacht woord manager gebruikt is er nog steeds de kans dat iemand daar toegang toe weet te krijgen.
Twee traps authenticatie werkt simpel en snel en is vaak dankzij cookies bijvoorbeeld allen nodig bij een eerste login. Het koppelen van het telefoon nummer is meestal niet nodig en heeft helemaal niets met tracking te maken alleen met de mogelijkheid om mensen te vragen een nieuwe login van af een tot dus ver onbekend apparaat goed te keuren.

De eerdere reactie van @Sjekster dat email een mogelijke oplossing is is niet geheel waar. Immers email is 99% van de tijd niet echt veilig zeker nooit prive en omdat het allemaal op 1 systeem toegankelijk is ook zeker niet veilig in dat opzicht.
De problemen als je je telefoon kwijt bent zijn relatief klein vergeleken met een account hack waarbij items gestolen worden gezien de waarde van die items vaak flink wat hoger kan zijn dan een nieuwe telefoon en zeker niet zo maar even terug te krijgen zijn.

Helaas zijn er nog steeds mensen die veiligheid en prive gegevens niet goed kunnen onderscheiden. Mijn telefoon nummer mag iedereen weten en is dan ook op veel plaatsen te vinden (dat is dus 731624316). Maar toegang tot mijn accounts geef ik liever niet uit handen.
"Als er niks te halen valt hoeft er ook geen groot slot op".

Twee traps authenticatie is als een extra slot op de deur: veiliger, maar minder gemak.

Daarnaast kun je de voordeur nog zo zwaar beveiligen, als je raampjes open laat staan doet dat de beveiliging teniet. (Social engineering).
Als je op die manier redeneert kun je ook zonder beveiliging door het leven gaan. Immers als men echt wil kan men overal bij.

"Als er niets te halen valt", das net zo'n dood doener als "Ik heb toch niets te verbergen". Das vast waar tot er op een gegeven moment wel iets te halen valt of iets te verbergen is. Op dat moment kon je nog wel eens tot de ontdekking komen dat je net even te laat was met dat extra slot op je deur.

Social engineering om mijn wachtwoord en tegelijk ook mijn telefoon in handen te krijgen... ik wens je heel erg veel succes maar tenzij je social engineering met een geladen wapen bedoelt ben ik er zeker van dat dat je niet gaat lukken.

Als je met raampjes bedoelt dat mijn computer dan wel de systemen van Valve of mijn telefoon niet 100% veilig zijn, heb je 100% gelijk.
Natuurlijk zijn er altijd gaten te vinden en weet ik zeker dat iemand mijn computer kan binnen dringen. Maar om dan ook mijn telefoon over te nemen en zonder dat ik het door heb met een authenticator te gaan rommelen, dan in te loggen op steam en daar even mijn account te plunderen das toch een heleboel lastiger.
Bij Valve inbreken en op die manier een account overnemen das nog al stupide omdat dat zeer makkelijke te identificeren is. Daar naast zou men dan eerder creditcard data stelen omdat dat een stuk makkelijker anoniem te verkopen is dan virtuele goederen binnen een gekraakte service. En wie is er dom genoeg om een echte creditcard te gebruiken? Het is veel veiliger om een tijdelijke kaart te gebruiken die alleen geldig is voor die ene transactie en waar simpel weg een limiet op zit die niet hoger is dan die ene transactie (ja dat is mogelijk vraag maar aan je bank)
Ik reageerde met name op je uitspraak over het niet gebruiken van twee traps authenticatie.

Je dient je zaken adequaat te beveiligen, dat heeft niets te maken met de "ik heb niks te verbergen uitspraak". Ik heb geen waardevolle items in steam en heb daardoor ook geen behoefte aan extra authenticatie.
Mijn auto heeft wel een alarm bovenop de normale vergrendeling, aangezien de waarde en het gedoe bij diefstal de extra investering in mijn ogen meer dan waard maakt.
Blijkbaar heb ik genoeg verstand van zaken om 2-step authenticatie via een app helemaal niet nodig te hebben.

Verwar mijn weigering om die methode te gebruiken aub niet geen kennis van zaken hebben. Voor de duidelijk, mijn steam en WoW account zijn nog nooit gehacked. Zelfde geldt voor paypal.

Al die apps graven door je info op je telefoon. Helaas zijn er regelmatig berichten over apps die toch net iets meer graven als ze aangeven. Een smartphone zie ik dan ook als een handig, maar zeer onveilig apparaat. Dat is dus de reden dat ik dat ding niet wil gebruiken voor bankzaken of authenticatie.

Mensen die hun mobiele telefoon als veilig en prive beschouwen. Ze bestaan blijkbaar nog.

[Reactie gewijzigd door arbraxas op 10 december 2015 18:49]

Jaja, iedereen in de pas meelopen met Big Brother, anders ben je een zeurpiet en dwarsligger... Ik ben liever voorzichtig. Er zijn andere manieren om die veiligheid te verbeteren, en je moet wel de keuze kunnen houden. Laat me raden: Jij leest ook nooit de algemene voorwaarden van diensten die je afneemt? Dan moet je ook niet zeuren als bedrijven zoals Facebook tóch je gegevens aan jan en alleman doorverkoopt...
Daar heb ik ook totaal geen problemen mee.
Dit dus, waarom nou weer een aparte app
ik gebruik google authenticator (authy) voor alles waar het kan.
Hier hebben ze zelf een reden voor gegeven :

"Requiring users to take a code from a generic authenticator and enter it into a hijacked PC to confirm a trade meant that hackers could trick them into trading away items they didn't intend to. This basically made it impossible to use a generic third party authenticator, such as Google Authenticator, to confirm trades."

Volgens mij neemt de eigen authenticator dit niet weg, maar dat maakt blijkbaar niet uit.
Maar dat is van Google. Je weet toch dat Google evil is? ;)
Volgens mij heeft de standaard niks met Google te maken, veel mensen kennen Google Authenticator en Authy toevallig.
Klopt volgens Google haters :D
Daarom gebruik ik ook de authy app. maar je het algoritme blijft van google ja.
Dan gebruik je toch de MS authenticator ;)
Het stomme is dat Steam Authenticator gewoon rfc 6238 gebruikt, wat Google Authenticator ondersteund. Echter hebben ze er "een paar" dingen aan verandert, zoals je bij de WinAuth implementatie kan zien.

Klein ander ding wat mij irriteerd is dat omdat ze de codes op die van hun mailcodes wilden laten lijken, je het niet kan intypen met een keypad...
Maar het zorgt er tegelijkertijd voor dat er wel alternatieven zijn voor mensen die geen smartphone hebben of hiervoor willen gebruiken. Zie bijvoorbeeld https://www.reddit.com/r/...o_easily_enablemanageuse/
Eh? Als ze gewoon RFC 6238 hadden gebruikt net zo goed? Dan had e.g. WinAuth gewoon hun bestaande RFC 6238 implementatie kunnen gebruiken, zonder een hele laag erbovenop te moeten ontwikkelen.

Het is juist nu zo dat Valve's authenticator is RE'd, want het algoritme/API's zijn niet publiekelijk gedocumenteerd.
Veel gedoe? Ik heb dat al eens meegemaakt. Je tikt simpelweg op 'use this device instead', er komt een SMS je kant op met een paar cijfers, die tik je in en klaar ben je. Toestel overgezet.
Bij Blizzard zijn ze daar minder vrij in. Een collega moest zijn paspoort opsturen voor hij hen zover had om het account vrij te geven.
Ze hadden overigens wel netjes het account gelocked toen hij melde dat hij zijn telefoon verloren was (met daarop de authenticator app).
Paspoorten (kopie hoop ik dan toch :p) opsturen vind ik helemaal gek!

Dat zou ik alvast niet doen, ze zouden toch echt een andere oplossing moeten vinden, al is het naar een gekend bedrijf als Blizzard.
Zoniet, dan heb ik dikke pech en geef ik geen cent meer uit aan Blizzard.
Kopie inderdaad :+

Dat maakt het niet minder erg, het was voor mij ook de reden om de authenticator voor mijn Blizzard account weer uit te schakelen.
De beschrijving van Valve zelf had veel meer om het lijf dan wat je hier noemt. Wellicht dat het inmiddels is aangepast, maar er werd aangegeven dat als je andere telefoon kwijt was / gestolen / verkocht / whatever, het niet zo makkelijk was de authenticatie over te zetten naar nieuwe telefoon, als je die niet meer hebt. Wellicht als je telefoonnummer hetzelfde blijft, dat het wat makkelijker is. Maar dan nog heeft het voor mij momenteel weinig meerwaarde over de email verificatie. Ook een code, maar geen app extra voor nodig.
Ze geven je bij activatie van OTP op je telefoon een code voor de recovery.
Hou deze gewoon ergens veilig bij en het zou niet zo'n probleem mogen zijn.

[Reactie gewijzigd door graverobber2 op 10 december 2015 13:47]

Mobile authenticator is een pain in the ass.
Bij gewoon steamgebruik (niet traden oid) moest ik vaak al 2x per dag authenticaten 8)7
Vreemd, wanneer moest je dat dan doen? Ik gebruik weliswaar codes via email, maar ik hoef die alleen maar in te voeren wanneer ik steam opnieuw installeer of als ik met een browser inlog waar ik dat nog niet eerder mee gedaan had. Het is me volgens mij nog nooit gebeurd dat mijn steam client ineens out of the blue weer om een code ging vragen. Gezien de honderden games in mijn acount ben ik blij dat ik dat iets beter kan beveiligen dan alleen met een wachtwoord.
Via mail idd wel.
wanneer ik mobile authentication aanzet lijkt het alsof ik bij elke netwerk wijziging opnieuw moet authenticaten (m.a.w. ik lijk niet de 3 a 4 netwerken waar ik gebruik van maak eenmalig te kunnen authenticaten). Gaat overigens over de OSX client.
Hm vervelend. Bij mij werkt ie gelukkig goed, maar als het niet ideaal werkt zou ik niet weten wat ik moet. Heb dus geluk tot nu toe. Voorheen email en ook SMS verificatie gebruikt en dat ging gelukkig ook prima.

Ik sta echt te kijken van het grote aantal pogingen. En dat Valve daar open over communiceert vind ik eigenlijk heel goed en logisch. Jammer dat ik daar verbaasd over ben, want er is vind ik geen goede reden voor bedrijven om over zoiets duister te doen, integendeel.
Zoals Sjekster zei, het is niet verplicht om je telefoonnummer op te geven. Ze blijven er wel omvragen, maar werkt zonder.
Vaag, heb gekeken maar kwam niet om het scherm waar mijn nummer gevraagd werd heen.
Moest wel een nummer invullen anders kreeg ik de authenticator niet aan de praat.
Hmmm. Ik ben benieuwd hoelang ze dit al weten want naar mijn weten heeft b.v. Team Fortress 2 al jaren item trade! En dan komt zo'n security toch wel laat...en hadden ze dit dan misschien niet tijdens het hele trade systeem ook mee kunnen introduceren? Of denk ik nou te lastig?
Tweetrapsauthenticatie bestaat al een aantal jaar voor Steam, het is nieuw dat het nu verplicht wordt voor traden.

Persoonlijk vind ik het een beetje vreemd dat dit überhaupt verplicht moet worden, zoiets is ook deels je eigen verantwoordelijkheid.

[Reactie gewijzigd door anandus op 10 december 2015 10:26]

Ik vraag me alleen wel af hoe ze om gaan met mensen die geen mobiel hebben (ja, die mensen zijn er nog steeds)..
Dat aantal is waarschijnlijk verwaarloosbaar voor Steam.

Wel digitaal je games kopen, maar niet een smartphone bezitten? Kleine kans.
397 spellen in mijn Steam account. Geen smartphone. Check.

Ik zit al te vaak achter een scherm, zo handig vind ik die dingen niet ivm. een computer, en mijn stupidphone (oude Samsung) gaat drie weken mee op een keer chargen. En mocht ik hem ooit kwijt raken, hij was 35 euro bij de Kijkshop (simlock vrij) dus boeien...
Ah, het N=1 argument.

Ik zeg toch nergens dat niemand geen smartphone heeft en toch Steam gebruikt? Ik zeg alleen dat het vanuit een bedrijfsstandpunt onzin is om dat kleine deel te blijven ondersteunen.
Dan zijn er ook nog de gebruikers met wel een smartphone maar een afkeer van specifieke telefoon gebonden 2FA (een paar redenen zijn al genoemt door r4gnax). Doe mijn maar gewoon iets als TOTP. De Steam mobile applicatie vind ik een verschrikkelijk ding, ik moet elke keer mijn wachtwoord invullen, en als die Steam Guard daar achter zit is me dat echt te veel werk (volkomen random lang wachtwoord opgeslagen in een password manager die ik alleen in noodgevallen wil kunnen unlocken op mijn telefoon).
Dat aantal is waarschijnlijk verwaarloosbaar voor Steam.

Wel digitaal je games kopen, maar niet een smartphone bezitten? Kleine kans.
Verband? Bron? Cijfers?
Common sense.

Het aantal zonder smartphone is al miniem.
Digitaal games kopen vereist enige affiniteit met het digitale tijdperk. (Dus alle oudjes zonder telefoon kun je al wegstrepen).

Blijft over: mensen die blijkbaar wel digitaal shoppen, maar geen smartphone hebben/willen. Voor Valve luttele %, lijkt mij.
Heb anders best veel vrienden zonder smartphone ... en dat zijn studenten die gamen.
Daar komt nog bij alle mensen met een niet iOS/Android telefoon.

En dan nog iedereen die niet zo stom wil zijn om alles via zijn telefoon te willen laten lopen.

Dat zijn 'luttele %'en, ja ...en dus heel veel mensen gezien het aantal gebruikers van Steam.

SMS + e-mail + authenticator + inloggen op de website ... je bent fucked zodra iemand toegang tot je telefoon heeft.
Die e-mail account niet op je telefoon en niet gebruik maken van de website wil nog wel, maar sms en auth. scheiden?
En toch zal de meerderheid gewoon alles met zijn Android zonder updates doen.
Wat dacht je van kinderen?

Ik koop als vader de spellen, de kinderen spelen op mijn account, en nee, ik laat mijn mobieltje niet voor ze achter ;)

(En ja, ik weet van het bestaan van family sharing, maar ook dat vind ik teveel gedoe op 1 computer)
Ook daar zal Steam niet echt mee zitten.

(Noch je kinderen, aangezien je denk ik ook liever niet hebt dat ze zomaar spul verhandelen)
Hier is dan toch echt iemand die geen mobiele telefoon heeft, en wel een steam account.

Als dit alleen voor het handelen geld, heb ik er geen probleem mee.
Niet gebruik maken van 2FA vind ik onverstandig. Wanneer jou onverstandigheid invloed heeft op het ecosysteem van Valve, dan snap ik wel dat Valve sterke druk uitoefend om gebruik te maken van 2FA.

Een andere mogelijkheid is om schade niet te vergoeden. Dan heeft de kaping geen effect op het ecosysteem, maar ik denk dat spelers op hun achterste benen gaan staan.
Niet gebruik maken van 2FA vind ik onverstandig. Wanneer jou onverstandigheid invloed heeft op het ecosysteem van Valve, dan snap ik wel dat Valve sterke druk uitoefend om gebruik te maken van 2FA.
Er is alleen weinig two-factor aan de mobile authenticator.

Veruit de meerderheid van de gebruikers zal deze op een telefoon installeren waarop zij ook geregeld op Steam inloggen, waarop zij ook de e-mail account bijhouden waar Steam Guard aan gekoppeld zit, en waarop zij (indien ingeschakeld) ook de SMS-jes van Steam Guard ontvangen.

Het is gewoon ordinaire multi-step authentication, waarbij de telefoon gepromoveerd wordt tot single-point-of-failure. Koppel daaraan het feit dat de gemiddelde gebruiker totaal niet aan beveiling voor hun telefoon denkt; en het feit dat zeker oude Android devices vaak nog jarenlang in gebruik blijven zonder nieuwe security updates.

Nu Valve het gebruik van de authenticator actiever gaat afdwingen zul je dus ook zien dat criminelen hun pijlen gaan richten op exploits voor 'droids om via die weg op accounts in te breken.

Ik voorspel dat het niet lang gaat duren voordat de poppen aan het dansen gaan.
Ah, kijk daar was ik me niet van bewust! Nu voelt het wat minder als 'mosterd na de maaltijd'
Persoonlijk vind ik het een beetje vreemd dat dit überhaupt verplicht moet worden, zoiets is ook deels je eigen verantwoordelijkheid.
Dit is omdat het niet werkt als je het aan de mensen zelf overlaat. Desondanks alle extra veiligheid opties *en* de optionele email beveiliging zijn er 77000 accounts per maand die gehijacked worden, en dat nummer groeide nog steeds.

Vandaar dat hun nieuwe tactiek nu is om het minder aantrekkelijk te maken om een account te hijacken. De beveiliging optioneel laten is dan geen optie want als jij er voor kiest om niet die beveiliging te hebben en dus 'het risico neemt' dat je items niet gerestored worden door Steam support, dat is fijn, maar dat maakt jouw Steam account niet minder aantrekkelijk voor hijackers en dus blijven die steeds professioneler worden want er is genoeg profit te halen.

Items snel kunnen traden tussen meerdere accounts is nodig voor hijackers om gestolen items in hun voordeel om te kunnen zetten dus vandaar deze nieuwe restricties.
... er staat nergens dat het verplicht wordt.

Wat al geruime tijd waar is en wat nog steeds waar gaat zijn is dat je het aan moet zetten om per direct nieuwe items te kunnen verhandelen. Anders moet je een bepaalde lange tijd wachten, een week volgens mij.
Team fortress 2 items zijn in het algemeen niet gigantisch veel waard, natuurlijk zijn er genoeg uitzonderingen (burning team captain).
Bij Counter-Strike:Global Offensive zijn de items echt verschrikkelijk veel waard. Accounts met een inventaris van 100.000 dollars zijn geen uitzonderingen.
Het gebeurde wekelijks dat een grote account gehackt werd en dan ging de community weer zeuren op valve.
Ik vind het goed dat ze eindelijk iets gedaan hebben.
Tweetrapsauthenticatie is een goed systeem maar elke service vereist zijn eigen applicatie: Blizzard, Google, Square Enix, enz.... En als je je smartphone herinstalleert heb je liefst ook de recovery codes voor al je services of je moet je identiteitskaart beginnen doorsturen en dergelijke.

Kortom, met één universele app zou het al een stuk toegankelijker worden voor veel gebruikers.
Ik gebruik Authy op mijn Android toestel. Daar heb ik de 2traps authenticatie in staan voor Microsoft, Google, Dropbox, HumbleBundle, Facebook, LastPass, Electronic Arts en Eve Online.

Helaas hebben Blizzard en Valve (Steam) dan weer een eigen versie van 2traps geimplementeerd waardoor die 2 een eigen App nodig hebben... Helaas...

Als ik een nieuwe telefoon krijg of deze herinstalleer dan hoef ik alleen Authy (en Blizzard en Steam) te recoveren. Authy kan ik dan "recoveren" met mijn backup password of met mijn oude installatie van Authy. Super handig en gebruiksvriendelijk.

[Reactie gewijzigd door AmarthX op 10 december 2015 10:42]

Helaas? Ik geloof dat Blizzard een van de eerste games was die uberhaupt 2-traps-auth geïntegreerd had (WoW). De rest is vervolgens beginnen volgen.

edit: Ontopic: Ik had hiervoor enkel de mailauthenticatie ingesteld staan voor nieuwe devices, toch is mijn account enkele weken geleden gehackt geweest door een onbekende. Na controle was er geen mail gestuurd naar mijn registered mail, noch was de mailbox compromised.

[Reactie gewijzigd door kdegussem op 10 december 2015 11:12]

Ja, ik vind het persoonlijk "helaas" ja. Voor zover ik begrijp (correct me if I'm wrong) heeft Blizzard (en ook Steam) een standaard implementatie van 2traps die ik dus in een 3rd party app zou kunnen gebruiken, maar doen ze zelf nog een conversie achteraf zodat de codes in het formaat zijn dat zij zouden willen. Dus ze wijken af van de standaard die er is voor 2traps.

Ben wel heel blij dat ze 2traps ondersteunen en ik neem het dan ook voor lief dat ik een extra app hiervoor nodig heb. (maar als ik mocht kiezen...)
Akkoord, het is idd een apparte app en dat kan lastig zijn, maar vergeet niet dat het ontstaan bij blizzard was met een hardwarematige keychain.

Het grootste probleem bij tweetraps auth zoals die bij google is dat het net google is die de laatste stap is om toegang tot je account te verschaffen. Persoonlijk heb ik allesbehalve vertrouwen in het feit dat dergelijk bedrijf eigenlijk ten alle tijde de login kan hebben van al mijn accounts.

Ik vraag me af of een independent app of hardwarematige keychain met behulp van het serienummer gekoppeld kan worden aan een random service. Dit in tegenstelling tot google waarbij je via hun service, gelinkt aan je google account, een serienummer krijgt.
En is ook een veel groter doelwit voor ongure types.
Kwestie van risico spreiding en goed opletten.
En als je heel veel (dure) games hebt op steam is wellicht het verspreiden over meerdere accounts nog eens niet zo gek.
Hoe vaak ik onderhand gespammed wordt door random mensen met de vraag of ik een item voor $$$ aan ze wil verkopen :(
Ik moet wel zeggen dat dat sinds de invoering van nieuws: Steam beperkt functionaliteit gebruikers die geen geld hebben uitgegeven al drastisch is verminderd. Voor die tijd werden er gewoon en masse nieuwe accounts aangemaakt, en accounts met meer dan 4000 games als de mijne zijn een gewild doelwit. Ik kreeg zodoende 5 tot 10 invites per dag, allemaal van afgeschermde level 0 accounts.

Dat is nu gelukkig een stuk minder, maar nu is de focus gelegd op bestaande accounts die iets meer geloofwaardigheid kweken. Gouden tip, naast deze tweetrapsauthenticatie, is gewoon nooit op links klikken van mensen die je niet kent of vertrouwd. Maar schijnbaar is dat al te veel gevraagd voor alle casual Steam gebruikers die nauwelijks weet hebben van alle kapers die op de loer liggen.

Persoonlijk juich ik de extra beveiliging dan ook toe.

[Reactie gewijzigd door DeathMaster op 10 december 2015 10:39]

Het is precies zoals je al zegt over het klikken op een link. Het jammerlijke voorheen was echter wel dat je voor game-invites van mensen in je friendslist ook vaak op een http link moest klikken.

Ik kan me niet goed meer herinneren wanneer dat systeem op de schop was gegaan though, tegenwoordig gebruikt Steam een overlay in hun chat scherm. Dus geen http:// linkje meer waarop je hoeft te klikken. Dat maakt het ook al snel een stuk veiliger.
Was dat geen steam:// link? Ik loop nu al meer dan 10 jaar rond bij Steam, maar ik kan me geen systeem herinneren dat http links gebruikte voor dergelijke acties.
Ik sluit het niet uit hoor, maar als het zo is - is het in ieder geval jaren geleden al veranderd.
Maar het is mij niet duidelijk waar nu precies het gevaar zit. Als je op een andere website kunt inloggen met je steam ID, is dat dan veilig (via Steam zelf) of geef je daar je credentials af? Dingen als steamdb.com en zo... Ik durf daar niet in te loggen, ik heb geen idee wat ik daarmee uit handen geef (of niet).
Dat gaat gewoon via OpenID, dus relatief veilig. Je geeft die websites geen inloggegevens of andere gevoelige data, enkel de toestemming om je profiel in te zien.

Het echte gevaar zit in de standaard oplichters websites als steamcomnunity of staemcommunity o.i.d. en natuurlijk alles dat direct naar een bestand linkt, van .png tot .scr.. Gewoon niet doen.
Deze ervaring kan ik bevestigen. Bij mij gaat het 'maar' over 500 games, maar ik heb toch ook een lange tijd last gehad van zulke invites. Die heb ik de voorbije maanden niet meer gehad sinds die ingevoerde beveiliging.

Valve heeft er even over gedaan, maar momenteel lijkt de beveiliging over het algemeen wel op orde als je van de tweetrapsauthenticatie gebruik maakt.
heeft niets met het aantal games te maken hoor, mijn account heeft er misschien 20 en ik krijg ook meerdere invites per dag..zeer irritant
Zelf merk ik dat de portal van Steam erg goed beveiligd is. Ik logde in vanaf een andere laptop binnen hetzelfde LAN netwerk en er werd per mail een verificatie gestuurd. Dit gebeurde twee maal toen ik weer op die andere laptop ook wilde inloggen. Nu kan ik op beiden laptops inloggen. Daarnaast raad ik iedereen aan om ook een telefoon met SMS ondersteuning te registreren.
Daarom geloof ik dus niet dat er 77.000 hacks zijn, de email-verificatie is in feite al twee-traps kan je nog drie-traps van maken, 77.000 hacks kan niet kloppen.
Ik kreeg standaard de melding dat mijn account gehacked was wanneer ik vanuit London ingelogged had en daarna weer in NL (eerste keer schrok ik daar nog best van, maar bleek dus loos alarm). Deze situaties zijn vermoed ik ook in dit getal van 77K meegeteld.
Valve has stated that the potential monetary value has drawn hackers to try to access user accounts for financial benefit, and continue to encourage users to secure accounts with Steam Guard. Valve reported that in December 2015, around 77,000 accounts per month are hijacked, enabling the hijackers to empty out the user's inventory of items through the trading features. While Valve can restore such accounts, they have instituted controls on Steam to place trade hold times on trading items unless the users re-validate through Steam Guard, allowing the owners of hacked account to catch the fraudulent activity early on.[85]

ReVuln, a commercial vulnerability research firm, published a paper in October 2012 that said the Steam browser protocol was posing a security risk by enabling malicious exploits through a simple user click on a maliciously crafted steam:// URL in a browser.[86] The report was taken up by various online publications.[87][88][89][90] This was the second serious vulnerability of gaming-related software following a recent problem with Ubisoft's copy protection system "Uplay";[91] the German IT platform "Heise online" recommended strict separation of gaming and sensitive data, for example using a PC dedicated to gaming, gaming from a second Windows installation, or using a computer account with limited rights dedicated to gaming.[90]
-wikipedia

Op wikipedia staat meer informatie over waarom de 77,000 accounts per maand worden gehacked. Verder staan er ook een methodiek van hackers omschreven en de destijds zwakste punten van Steam.
As of September 2015, over 6,400 games are available through Steam, including over 2,300 forOS X and 1,500 for Linux.[9] The service has over 125 million active[a] users.[11] Steam has had as many as 12.5 million concurrent users as of November 2015.[12]
- wikipedia

Dat zijn best een hoop gebruikers wereldwijd. Ik begrijp het niet. Steam is een gesloten platform. Er moet dus een klein percentage van die actieve gebruikers een hacker of bot tussen zitten om iemand anders zijn content te kapen. Of het zijn inderdaad ook wat jij zegt password requests.
In July 2015, a bug in the software allowed anyone to reset the password to any account by using the "forgot password" function of the client. High profile professional gamers and streamers lost access to their accounts.
-wikipedia

Deze pers publicatie kan ook een nasleep zijn i.v.m bovenstaande incident afgelopen zomer. Of het kan een Marketing campagne zijn om gebruikers juist hun 06 te koppelen. Dan hebben ze ook gelijk je prive nummer voor reclame.
2 trapsauthenticatie gebruik ik nu bij ongeveer alles. Zowel bij Google, als bij Microsoft, als bij Steam. Als ik dus mij wil aanmelden op Skype, moet ik de code invullen die ik via SMS heb ontvangen. Kost wat moeite als je elke dag Skype etc opstart, maar het is de moeite waard.

[Reactie gewijzigd door AnonymousWP op 10 december 2015 10:36]

Als je de authorisatie app van microsot gebruikt krijg je een melding met daarin een knop om je verzoek goed te keuren, is dus wat makkelijker dan een code overtikken. Er staat nog wel een code in die ook op de client waar je op in probeert te loggen staat, zodat je kan zien dat het jouw verzoek is en niet die van iemand anders.
Waarom maken ze dan niet meteen dan een geruild item, niet direct doorgeruild kan worden?
Of zou dat de market heel erg verpesten?
Zit er nu al in, alleen als een item dus 24 uur staat voor een gevonden item en ik dacht 7 dagen voor een item wat je in de shop koopt (dus niet op de trade market) dan staat hij onbeschermt in je account.

En aangezien er voor trading vaak je items profiel gewoon publiek staat...
Dat herinnert me er aan. Het is zeker een goeie om standaard je item map niet publiek in te stellen, dan kunnen ze alvast niet zien wat je er in hebt staan.

Dan heb je alleen nog de items die je zelf in de item markt aanbied.

Zelf ben ik niet zo'n actieve trader, maar ik doe wel altijd meteen al die trading cards van de hand.
Krijg er door het spelen toch best links en rechts wel een paar. En 'verdien' er op een 2 weken tot een maand wel een euro mee. Waar ik weer games mee kan kopen :-3
Ja leuk die app die niet bestaat op Windows Phone, get your shit together Steam! Heb nu de SMS optie aan staan als vervanging van de app...

De mail functie is wel kansloos, al log je ergens in krijg je een verificatie mailtje. Hoe denk je dat account kapers in een steam account komen? Ik gok via een gekaapt mail account.
Ik heb ook de SMS optie aanstaan, maar die wordt niet gebruikt voor handelen. Alleen om af en toe je account te verifiëren.
Het zal wel te duur zijn om te gebruiken voor alle transacties.

Steam Guard gebruikt alleen e-mail ter verificatie... Of die *** app die dus niet voor iedereen beschikbaar is.
Vervelend wanneer je nu dus afgestraft wordt omdat je niet de juiste telefoon hebt.
Bied dan een ander alternatief, een basis-app, tan-lijst via sms?

Zelfs Origin, ja EA's Origin, ondersteund Windows Phone/Mobile, met verificatie via Microsoft Verificator.
Valve/Steam moet eigenlijk de markt gewoon cost-cappen, of een 3e trap authenticatie toevoegen, of beter nog beide.

De markt moet eigenlijk een maximumprijs hebben van 5 euro per item, ongeacht hoe zeldzaam het is.

Of 3 traps in de zin van een extra setting actief te maken die de user in staat stelt om in te stellen dat die user helemaal geen items wil ontvangen. (maar dus alleen steam gebruikt om spellen te spelen.)
Deze setting op een specifieke manier te maken zodat hij alleen weer terug gezet kan worden door dat aan te vragen via de steam helpdesk.

Het is een beetje van de zotte dat je spellen-speel account in gevaar gebracht wordt doordat er een onzin-item-speculatie markt gecreeerd is.
(Het is net alsof supermarkt zegeltjes zoveel waard zijn geworden dat je daar buiten de supermarkt voor beroofd wordt, en je daarbij niet zonder zegels uit de supermarkt kan lopen omdat ze automatisch op je pinpas/telefoon/identiteitskaart gestort worden en je zonder 1 van die objecten de supermarkt uberhaupt niet binnen mag komen.)
Het is een beetje van de zotte dat je spellen-speel account in gevaar gebracht wordt doordat er een onzin-item-speculatie markt gecreeerd is.
(Het is net alsof supermarkt zegeltjes zoveel waard zijn geworden dat je daar buiten de supermarkt voor beroofd wordt, en je daarbij niet zonder zegels uit de supermarkt kan lopen omdat ze automatisch op je pinpas/telefoon/identiteitskaart gestort worden en je zonder 1 van die objecten de supermarkt uberhaupt niet binnen mag komen.)
Eensch !!!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True