Montag, 22. Juni 2009

Das letzte Sicherheits-Chaos

Mein Wow-Account ist ausgelaufen, die Sommerpause angebrochen. Vielleicht im Herbst wieder.

Dennoch bleibt ein wenig der Hunger nach MMO-Gekloppe und Gegrinde (der Entzug darf ja nicht zu abrupt erfolgen), so dass ich mich gestern ein wenig in einem F2P-MMO verlustieren wollte. Florensia war mir in dem Moment aber zu kiddiehaft, obwohl es in der Vergangenheit bereits erfolgreich als WoW-Ersatz gedient hatte. Da Gamigo derzeit massiv Werbung für "Last Chaos" macht und ich beim letzten Steam-Sales-Weekend gekniffen habe, als "Guild Wars" im Komplettpack vergünstigt angeboten wurde ... fiel meine Wahl nicht schwer. Zum Spiel selbst kann ich dennoch nicht viel sagen, da ich dann doch den Abend anderweitig verbrachte.

Aber ich kann etwas zur Art und Weise sagen, wie man seitens Gamigo mit Zugangsdaten und Passwörtern verfährt.

Dass ich eine Mail mit einer Bestätigung meiner Anmeldung bekomme, ist in Ordnung. Dass dort mein Account-Name aufgeführt ist, geht selbstverständlich auch in Ordnung. Was aber GAR NICHT in Ordnung geht, ist das Passwort im Klartext, welches in der selben Mail direkt unter meinem Account-Namen steht. "Last Chaos" mag zwar ein F2P-Spiel sein, doch da man dort gegen Gebühr Leistungen kaufen kann, sollte man doch erwarten, dass in diesem Falle bestimmte Mindeststandards eingehalten werden. Zu denen gehört unter anderem, dass NIEMALS Account-Name und Passwort in der gleichen Mail verschickt werden. Man muss gar nicht den Account "hacken" oder via Social Engineering alle notwendigen Infos aus dem Account-Inhaber herauskitzeln. Man muss nur die Mail lesen und hat alles, was man braucht.

Wie gesagt, bei einem komplett kostenlosen Spiel wäre dies so gerade noch zu verschmerzen. Da hier jedoch die Möglichkeit besteht, virtuelle Güter und Dienstleistungen mit hartem Realgeld zu erwerben, kann ich das nur noch als nachlässig, ja, sogar als fahrlässig bezeichnen.

Gut, Gamigo kann das machen, wie man das dort möchte. Ich erhebe auch nicht den Anspruch, dass Gamigo dort etwas ändern soll, da ich nicht einmal ansatzweise das Recht habe einen derartigen Anspruch zu erheben. Aber es wäre schon hilfreich, wenn der eine oder andere Leser bei seinen kostenpflichtigen Diensten (seien es Mail-Dienste, Spiele oder andere web-basierte Anwendungen) nachschaut, wie dort Zugangsdaten mit dem Account-Inhaber kommuniziert werden. Denn die Privatsphäre zB. eines Mail-Accounts oder der Geldwert einer virtuellen Dienstleistung sind zu wichtig, dass man hier nur mit den Achseln zucken sollte und/oder darauf zu vertrauen, dass "schon nix passiert".

Denn Deine Daten und Deine virtuellen Güter gehören Dir!
Und nur Dir ... :)