Die Sache mit der Fortnite Two-Factor Authentication

D

Mit viel Reichweite steigt die Verantwortung. Über 125 Millione aktive Accounts zählt Epics Battle Royale Game. Und immer wieder wird über gehackte Accounts berichtet – und den Verlust der teilweise sehr seltenen Skins in diesen Accounts.

Wobei es sich dabei meistens nicht um echte Hacks handelt, sondern eher um Social Engineering, Unwissenheit oder Nachlässigkeit. Nutzer geben ihre Zugangsdaten Preis, weil sie hoffen mit kostenlosen V-Bucks, der In-Game-Währung von Fortnite, belohnt zu werden. Und schon ist der Account in Händen eines Dritten und kann schnell über ebay und Co weiterverkauft werden. Besonders beliebt ist der Skull Trooper Skin. Für Accounts mit diesem Outfit werden vierstellige Preise erzielt.

Es nicht schwer, sich Zugang zu Accounts zu verschaffen. Die Nutzernamen sind sowohl im Spiel einsehbar, über diverse Rankings und Statistikseiten lassen sich ebenfalls lange Listen mit Accountnamen generieren. Dazu kommt, das viele der jungen Spieler nicht zwingend auf sichere Passwörter setzen bzw. identische Passwörter für viele Dienste verwenden – und diese dann womöglich in Passwort-Dumps, also Listen mit geleakten Zugangsdaten, auftauchen und eben auch für das Epic Konto funktionieren.

Die Two-Factor Authentifizierung

Es ist also gut und sinnvoll, dass Epic Games seinen Nutzern das Thema Sicherheit näher bringt. Two Factor (2FA) ist bei Fortnite schon länger möglich, allerdings offensichtlich wenig beliebt und genutzt. Entsprechend motiviert Herausgeber Epic die Spieler jetzt mit einem einfachen Trick: Einem kostenlosen Emote – nur erhältlich nach erfolgreicher Aktivierung von 2FA.

The Boogie Down Issue.

Das Problem dabei: 2FA funktioniert derzeit bei Fortnite nicht so richtig gut. Im Falle meines Sohnes sogar gar nicht. Durch die Aktivierung der zusätzlichen Sicherheitsstufe wird bei jedem Login auf einem neuen Gerät (oder mindestens alle 30 Tage) ein Code per E-Mail versendet. Ohne diesen Code ist kein Login möglich. Weder ins Game, noch in die Account-Settings auf der Webseite. Allerdings werden diese wichtigen E-Mails derzeit nicht oder zumindest nicht zuverlässig versendet. Die Spieler kommen nicht mehr in ihre Accounts. Die Angst um den Verlust der Skins, Punkte und Emotes ist groß. Statt für mehr Sicherheit zu werben und für mehr Awareness bei diesem Thema, schafft Epic hier eher Frust und erreicht am Ende das Gegenteil.

Two-Factor Authentifizierung Umgehen

Es gibt allerdings einen Weg, die defekte 2FA zu umgehen. Denn sobald ein Fortnite bzw. Epic Account zusätzlich mit dem PSN Network, Microsoft, Nintendo, Facebook oder Google verbunden ist, kann man mit diesen Zugangsdaten die Hintertür öffnen. Dazu loggt man sich über die Webseite der Drittanbieter in seinen Account ein, wechselt dann zu auf die Epic Seite und wählt bei Login einfach den Zugang über den gewünschten Dienst. Und schon ist man drin. Ganz ohne 2FA. Das geht natürlich nur, wenn man eine enstprechende Verbindung hergestellt hat, was allerdings sehr wahrscheinlich ist und natürlich die entsprechenden Zugangsdaten dafür hat. Oder eben diese hackt.

Was in diesem Fall unser Glück war, verschiebt am Ende aber die Sicherheitsfrage von Epic weg zu den anderen Diensten. Denn erst wenn auch diese Logins sinnvoll geschützt sind, macht 2FA richtig Sinn bei Fortnite.

Dennoch ist das natürlich ein richtiger Schritt, zumal neben der Verifizierung über (ohnehin nicht wirklich sichere) E-Mail Codes auch Apps wie der Google Authenticator, LastPass Authenticator, Microsoft Authenticator und Authy im Angebot sind. Mit all ihren Vor- und Nachteilen.

Oliver Wagner von Oliver Wagner

Instagram