virtual989 Опубликовано 1 ноября, 2017 Поделиться Опубликовано 1 ноября, 2017 (изменено) Предыстория. Здравствуйте. Давным давно в 2010 году играл на Hunter x55. В один прекрасный день, я не смог зайти на свой аккаунт. Сделал восстановление пароля и к моему удивлению мой чар стоял голый возле складовщика. Буквально через недельку все узнаем, что был взломан DNS провайдера к которому привязан сайт проекта. Администрация написала там, что якобы база не слита (хотя злоумышленники писали на сайте, что слили базу и т.д.). Но в последствии появилась БД с логинами и расшифрованными паролями. Что не как не укладывается в слова Администрации, что база не была слита. В итоге пострадало большое количество человек (включая меня) в моем клане WitcherS. Я тогда не привязывал свой аккаунт по IP и hwid. В итоге я продолжил играть под новым аккаунтом. Но в последствии ушел из игры. Недавно узнаю что сервер потерпел вайп (частичный). Хорошо. Почитал, что будет компенсация, меня это все обрадовало. Сейчас думаю пойду зайду на аккаунты и получу компенсацию. Но, к моему удивлению я увидел не пустые аккаунты без чаров, а каких-то левых чаров. Я в игру не заходил, аккаунты так же никому не давал никогда. Привязка скорей всего отключилась при вайпе. Я писал уже в "ПСА". На что получил ответ: вот кому аккаунты давали у тех и спрашивайте кто там что делал. Получается что после каким то чудесным образом третьи лица получили доступ к моим аккаунтом. Ладно это былое время, прошло уже 7 лет. Я недавно пришел снова поиграть. Но что я увидел? Собственно в плане защиты аккаунта ничего не поменялось с тех далеких 2010 годов. Используется так же IP / HWID и все. Администрация сама утверждает что ни первый ни второй способ не дает гарантии 100% защиты. Собственно к чему вся тема: почему до сих пор нет реализации защиты аккаунта по SMS-кодам. Это тоже не 100% способ защиты (как показывает практика, при особых манипуляциях можно получить доступ к нужным нам смс любого номера). Но взламывать аунтентификацию по SMS довольно хлопотно и никто не пойдет это делать ради персонажа и шмоток (по сути оценивается не так дорого в реале да еще и запрещены любые манипуляции с продажей игрового имущества за реал). Рассматриваете ли вы способ защиты от взлома как SMS-аутентификация? То есть я зашел под своим логином на сайте и ввел смс-код. К хэш все записалось и когда я захожу в игру мой ПК будут распознавать. Если это будет делаться с другого аккаунта, то ему будет нужно ввести смс-код, который приходит владельцу аккаунта. Да вы можете сказать: чем не устраивает просто HWID - а тем, что зная логин/емаил и пароль можно сменить пароль на сайте. А эта смс-коды создадут дополнительное препятствие. Изменено 1 ноября, 2017 пользователем Xandir 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
StеrWоzа Опубликовано 1 ноября, 2017 Поделиться Опубликовано 1 ноября, 2017 Как бы все не было грустно, но в большинстве взломов виноват аккшаринг. Ссылка на комментарий Поделиться на другие сайты Поделиться
Xandir Опубликовано 1 ноября, 2017 Поделиться Опубликовано 1 ноября, 2017 По предыстории В долгосрочной перспективе отлично помогает уникальный (не использующийся где-либо ещё) пароль и уникальная почта с той самой 2FA и, внезапно, тоже уникально-сложным паролем. Записываете явки-пароли на бумажку, бумажку кладёте в таймкапсулу. Достаёте капсулу через n лет и, если аккаунт не был удалён из-за неактивности, радостно играете до следующего перерыва. Остальное В первых абзацах вы говорите, что не использовали стандартные способы защиты и поплатились, а далее предлагаете ввести ещё один. Зачем он вам, если вы не пользовались и предыдущими? Есть стандартные методы и подходы к защите учетных данных. Почти все описаны в соответствующих тема, коих даже у нас на форуме не менее десятка. Крайне рекомендую к ознакомлению. Сильный минус СМС - за них кто-то должен платить. Одна СМС это что-то между 0.5 и 2 рублями. Экстраполяция на количество игроков/аккаунтов делает грустно. Так-что 2FA через СМС у нас не планируется. Идёт работа по подключению другого/других 2FA сервисов, но ждать их в ближайшее время не стоит. КТТС. Ссылка на комментарий Поделиться на другие сайты Поделиться
Extortioner Опубликовано 2 ноября, 2017 Поделиться Опубликовано 2 ноября, 2017 7 часов назад, Xandir сказал: По предыстории Скрыть содержимое В долгосрочной перспективе отлично помогает уникальный (не использующийся где-либо ещё) пароль и уникальная почта с той самой 2FA и, внезапно, тоже уникально-сложным паролем. Записываете явки-пароли на бумажку, бумажку кладёте в таймкапсулу. Достаёте капсулу через n лет и, если аккаунт не был удалён из-за неактивности, радостно играете до следующего перерыва. Остальное В первых абзацах вы говорите, что не использовали стандартные способы защиты и поплатились, а далее предлагаете ввести ещё один. Зачем он вам, если вы не пользовались и предыдущими? Есть стандартные методы и подходы к защите учетных данных. Почти все описаны в соответствующих тема, коих даже у нас на форуме не менее десятка. Крайне рекомендую к ознакомлению. Сильный минус СМС - за них кто-то должен платить. Одна СМС это что-то между 0.5 и 2 рублями. Экстраполяция на количество игроков/аккаунтов делает грустно. Так-что 2FA через СМС у нас не планируется. Идёт работа по подключению другого/других 2FA сервисов, но ждать их в ближайшее время не стоит. КТТС. имхо - смс уже прошлый век, да и всякая срань уже давно умеет перехватывать их в телефоне. намного удобнее всякие фишечки типа google authenticator 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
virtual989 Опубликовано 2 ноября, 2017 Автор Поделиться Опубликовано 2 ноября, 2017 13 часа назад, Extortioner сказал: имхо - смс уже прошлый век, да и всякая срань уже давно умеет перехватывать их в телефоне. намного удобнее всякие фишечки типа google authenticator Проблема Google Authenticator'a - если телефон сбросится или что-то с ним случится - привязанные ключи пропадут. Как следствие - пропадет доступ к аккаунту. Ну можно конечно типо через суппорт сбрасывать пароль, но все же тоже не идеальный способ. Ссылка на комментарий Поделиться на другие сайты Поделиться
HawkC4 Опубликовано 3 ноября, 2017 Поделиться Опубликовано 3 ноября, 2017 Необоснованная паника. Ссылка на комментарий Поделиться на другие сайты Поделиться
virtual989 Опубликовано 3 ноября, 2017 Автор Поделиться Опубликовано 3 ноября, 2017 Ответ Администрации, я так понимаю, огласил Xandir Топик можно закрывать. Ибо некоторые даже не читают темы, пишут ответ. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения