[Mäfïä]

Citation :

Publié par ioah

faux !!! le faux site ne peut pas te demander les codes de la grille car ce n'est que le client du jeu qui réclame les codes de la grille.

tu te ferra hacké tons pass et login dans un faux site mais jamais ta grille , le hackeur ne pourra jamais te piraté ton compte s'il est lié a une grille.

Y pourra pas aller sur le compte par le jeux, mais pourra par le site puisque tu dit que la grille n'ai pas demander.
Et de la tout modifier.

[ioah]

Citation :

Publié par Jinou

....Une grille est "statique", une fois interceptée elle sera toujours valide .....

a part par un cambrioleur qui sait exactement ou tu as mis ta grille chez toi ou bien par un membre de ncsoft je ne vois pas comment la grille peut être interceptée.

[Jinou]

Citation :

Publié par Mäfïä

Y pourra pas aller sur le compte par le jeux, mais pourra par le site puisque tu dit que la grille n'ai pas demander.
Et de la tout modifier.

En plus

[Violaine]

Citation :

Publié par ioah

a part par un cambrioleur qui sait exactement ou tu as mis ta grille chez toi ou bien par un membre de ncsoft je ne vois pas comment la grille peut être interceptée.

En fait dans la mesure où la grille est une troisième variable à saisir manuellement au moment de l'authentification, elle est aussi sujette au keylogger que le mot de passe.

Comme démontré plus haut, bien que plus long, une fois que tu auras tapé au moins une fois chacune des combinaisons, le keylogger aura toute la combinaison.

Pour rappel, le keylogger stocke au moment où tu la saisis l'information que tu tapes sur ton clavier (d'où le nom ==> Key pour touche du clavier).

[ioah]

explication sur le principe de grille.

- elle n'est lisible de personne a part vous même ou le client du jeu ou un membre de ncsoft.

- elle n'est pas modifiable

- elle ne se trouve pas dans la partie "Mon compte" elle lui est simplement lié.

- elle ne se trouve pas sur le pc


fonctionnement :

chaque fois que vous vous connecter au jeu elle demande 3 codes aléatoirement exemple A8,C9,G2 , si vous vous connecter 10 fois par jour elle vous demandera toujours des codes différents, jamais les mêmes.

si un faux site vous demande les 3 codes bin ca sert a rien car quand le pirate se connectera a votre compte le client lui demandera 3 codes qui serrons forcement différents de celui donner au faux site et vous n'allez pas attendre d'avoir donner la liste entière des codes pour vous rendre comte que le site est un faux sachant que ce n'est que le client du jeu qui réclame les codes.

[elamapi]

Citation :

Publié par ioah

explication sur le principe de grille.

- elle n'est lisible de personne a part vous même ou le client du jeu ou un membre de ncsoft.

- elle n'est pas modifiable

- elle ne se trouve pas dans la partie "Mon compte" elle lui est simplement lié.

- elle ne se trouve pas sur le pc


fonctionnement :

chaque fois que vous vous connecter au jeu elle demande 3 codes aléatoirement exemple A8,C9,G2 , si vous vous connecter 10 fois par jour elle vous demandera toujours des codes différents, jamais les mêmes.

si un faux site vous demande les 3 codes bin ca sert a rien car quand le pirate se connectera a votre compte le client lui demandera 3 codes qui serrons forcement différents de celui donner au faux site et vous n'allez pas attendre d'avoir donner la liste entière des codes pour vous rendre comte que le site est un faux sachant que ce n'est que le client du jeu qui réclame les codes.

Quand le client aion va te demander le chiffre dans A1, tu va lui donner. Le key logger va le noter. Il va noter, AI=X.

Au bout de X temps, il aura toute les valeur de toutes les cases.

[Jinou]

Citation :

Publié par ioah

[...]
si un faux site vous demande les 3 codes bin ca sert a rien car quand le pirate se connectera a votre compte le client lui demandera 3 codes qui serrons forcement différents de celui donner au faux site et vous n'allez pas attendre d'avoir donner la liste entière des codes pour vous rendre comte que le site est un faux sachant que ce n'est que le client du jeu qui réclame les codes.

Comment peux-tu affirmer que les codes seront toujours différents vu que ta grille est physiquement limité en nombre de case ? Au bout d'un certain nombre d'essai tu auras les codes non ?

Ensuite pour le cas du site (ça t'as marqué on dirait ^^") oublie le site et pense au keyloger plutôt. Toi, joueur basique qui pense être à l'abris, tu rentres plusieurs fois dans ton client de jeu les codes.

Mais le keyloger intercepte les codes que tu rentres dans ton client et stocke petit à petit les différents codes de ta grille.
Un moment il y aura suffisamment de code stocker pour tenter d'usurper ton compte.

Tu vois ce que je veux dire ?

Edit : bon bah encore devancé par luigi :P

[Mylouze]

ya pas a dire sont vraiment rapide ces plombiers moustachues.

[Imrage]

Le truc de la grille est bien, et si des banques l'ont employé, c'est bien que c'est sécurisé !

Le truc du token, c'est mieux.

L'idéal, c'est la biométrie.

[Jinou]

Citation :

Publié par Imrage

[...]
L'idéal, c'est la biométrie.

Même pas le pire
La configuration de ton corps sera converti en signal et ce signal pourrait être intercepté... adios !

[ioah]

Citation :

Publié par Jinou

Bon c'était pour le principe de l'"interception" ioah mais vu que tu tiens a avoir un cas concret, le keyloger tout simplement.
Là que tu le tapes dans ton client, sur un site ou n'importe où, une fois intercepté ta protection tombe en miette.

sauf que le keyloger ne sais pas a quel coordonnées appartienne ces codes qu'il a intercepté, je suis le seul a lire "veuillez saisir B7 , C6 et D4"



si maintenant en plus d'avoir les codes les keyloger parviennent aussi a intercepté la page qui réclames ces codes alors la bien sur la grille est réfutée , mais a ma connaissance un keyloger sait intercepter ce qu'on tape au clavier mais ne sait pas lire ce que nous lisons.

que fait le pirate avec les 3 codes s'il ne sait pas ou les placer dans la grilles ?

il a en sa possession les nombres 4785, 8423 et 1439 ok mais il ne sait pas si c'est B7, C6 et D4 comme demander par le client ou si ces codes sont les coordonnées de A8,G6,h5 par exemple.

[Mylouze]

Citation :

Publié par Imrage

Le truc de la grille est bien, et si des banques l'ont employé, c'est bien que c'est sécurisé !

Le truc du token, c'est mieux.

L'idéal, c'est la biométrie.

oui mais les banques utilise en plus de la grille une connection securisée type https.

donc tu as un login que tu tape au clavier un MDP a 6 chiffres minimum qui lui par contre NE SE TAPE PAS AU CLAVIER mais a la souris en cliquant a l'écran sur une grille généré aléatoirement a chaque conexion afin d'éviter les problemes de keylogger ( en tout cas pour moi ca marche comme ca) et la fameuse grille matricielle envoyé par la poste.

le tout se faisant via une conexion securisée ce qui n'est pas le cas de AION.

tient ca serait une idée ca inclure un MDP qui ne se tape pas mais se clique via une grille généré aléatoirement.

[elamapi]

Citation :

Publié par ioah

je suis le seul a lire "veuillez saisir B7 , C6 et D4"

Heu ? tu le lis ou ? sur l'écran ?

[Jinou]

Citation :

Publié par ioah

sauf que le keyloger ne sais pas a quel coordonnées appartienne ces codes qu'il a intercepté, je suis le seul a lire "veuillez saisir B7 , C6 et D4"
[...]

Je vois où tu veux en venir, en partant de ce principe effectivement ça rajouterais un peu de sécurité.
Mais sans compter le fait qu'avec un certain nombre limité dans la grille il pourrait faire du bruteforcing (nb de combinaison = nb de case de ta grille puissance 3 ce qui est relativement "peu"), il faut aussi être sûr que le keyloger ne puisse pas lire le "veuillez saisir...." .
Et ça c'est toujours possible, même un système de captcha pourrait être "lu".

Donc là où tu te méprend, c'est que le keyloger... voit tout !

Edit : Enfoiré de plombier !

[agecanonix01]

Plus on sécurise, moins on a de liberté, pensez y.

Sinon un code barre a scanner avant chaque cnnection livré avec la boite de jeu.

Ou alors ta carte d'identité qui verifiera du coup si t'as l'âge recquis pour jouer ou alors une identfication IPV6 à la premiere connection puis 2 IP de plus. Le biométrique, ou alors un test ADN, ou une analyse d'urine.

A tout ca à la fois. Résultat : je suis pas sur qu'il y ai moins de hack ou de GS car on sait tous qu'ils ont toujours un peu d'avance...

[elamapi]

Citation :

Publié par agecanonix01

Plus on sécurise, moins on a de liberté, pensez y.

Sinon un code barre a scanner avant chaque cnnection livré avec la boite de jeu.

Ou alors ta carte d'identité qui verifiera du coup si t'as l'âge recquis pour jouer ou alors une identfication IPV6 à la premiere connection puis 2 IP de plus. Le biométrique, ou alors un test ADN, ou une analyse d'urine.

A tout ca à la fois. Résultat : je suis pas sur qu'il y ai moins de hack ou de GS car on sait tous qu'ils ont toujours un peu d'avance...

Le token, simple, rapide, et le plus secure de tous. Ca existe déjà, matériel ou dématérialisé, c'est simple et peu couteux ... on demande pas la lune non plus

[ioah]

Citation :

Publié par elamapi

Quand le client aion va te demander le chiffre dans A1, tu va lui donner. Le key logger va le noter. Il va noter, AI=X.

Au bout de X temps, il aura toute les valeur de toutes les cases.

comment le keyloger sait il que le client demande A1 ? b3 ? C6 ?

le keyloger intercepte des données taper au clavier mais il ne sait pas si c'est A1 , B3 et C6

même s'il intercepte la grille entière il ne saura jamais ou placer les nombre dans la grille.



a moins qu'un keyloger sache aussi intercepter le client du jeu et voir qu'il réclame A1,b3 et C6

je ne suis pas au courant qu'un tel logiciel existe car dans ces cas la les banques serait au courant et aurait immédiatement stopper le système de grille.

pour faire bref on s'en balance que le keyloger intercepte ce que tu tape au clavier , l'important' c'est qu'il n'intercepte pas la phrase 'veillez saisir les codes de G9 , H2 et C6"


même si le keyloger a les 100 codes le pirate est incapable de les replacer dans la grille , c'est ce qui fait la différence dans ce système de protection.

[ioah]

Citation :

Publié par elamapi

Heu ? tu le lis ou ? sur l'écran ?

si ncsoft ajoute le système de grille , on lira ceci sur l'écran , pas actuellement bien sur

[Mylouze]

Citation :

Publié par ioah

comment le keyloger sait il que le client demande A1 ? b3 ? C6 ?

le keyloger intercepte des données taper au clavier mais il ne sait pas si c'est A1 , B3 et C6

même s'il intercepte la grille entière il ne saura jamais ou placer les nombre dans la grille.



a moins qu'un keyloger sache aussi intercepter le client du jeu et voir qu'il réclame A1,b3 et C6

je ne suis pas au courant qu'un tel logiciel existe car dans ces cas la les banques serait au courant et aurait immédiatement stopper le système de grille.

pour faire bref on s'en balance que le keyloger intercepte ce que tu tape au clavier , l'important' c'est qu'il n'intercepte pas la phrase 'veillez saisir les codes de G9 , H2 et C6"


même si le keyloger a les 100 codes le pirate est incapable de les replacer dans la grille , c'est ce qui fait la différence dans ce système de protection.

sauf que tu peut faire coincidé toute les valeur relevé avec toute les cases et au bout d'un certain temps ca fait des chocapic et ta grille est cracké.

[Jinou]

Citation :

Publié par ioah

[...]
le keyloger intercepte des données taper au clavier mais il ne sait pas si c'est A1 , B3 et C6
[...]

Le soucis c'est que tu penses que le keyloger ne peut que lire bêtement le clavier.
Il pourrait très bien lire à l'écran comme un bête screenshot.
Pire encore, accéder à la zone mémoire où sont stockés ces valeurs affichés à l'écran.

Bref le keyloger peut faire plein de chose, lire les entrées clavier est sa fonction principale mais il n'est pas forcément limité à ça

[Shallyn]

Citation :

Publié par Violaine

Par contre, ce genre de protection est il fiable ? Détournable également ?

J'ai bien peur que les systèmes classiques de login via identifiant et mot de passe ne soient en passe de devenir de vraies passoires malheureusement.

Oui le OTP (one time password ou "mot de passe valable 1 fois") est extremement fiable. On pourrait avoir 50 keylogger sur le PC et toujours s'authentifier sur un MMO, tout simplement car le 2eme mot de passe généré par le OTP ne fonctionne qu'une fois. Donc le Chinois va l'intercepter par keylogger mais il ne peut rien en faire.

A noter que le OTP sur téléphone portable a 0,5 euros se retournent contre les joueurs de WoW qui paume leur compte et qui n'ont pas l'OTP car c'est tellement peu cher que les Chinois en mettent un sur le compte a la place du joueur !!

En attendant un OTP sur AION :

- Installez toutes les mises a jour Windows
- Toujours la dernière version de FLash player / Java
- Un antivirus
- Le parefeu de windows activé

ET surtout : surfez sur le net avec Firefox à jour + les modules complémentaires ADBLOCK (en s'abonnant a la liste anti pubs FRANCE + Easy list) + Noscript

[ioah]

Citation :

Publié par mylouse

sauf que tu peut faire coincidé toute les valeur relevé avec toute les cases et au bout d'un certain temps ca fait des chocapic et ta grille est cracké.

s'il y avait la moindre probabilité de réussite alors les banques auraient déclaré ce système non fiable et l'aurait arrêter , or il est de plus en plus utilisé c'est donc que la grille ne peu pas être reconstituer avec les 100 codes et il y a des banques qui ne se contentent pas d'une grille 10X10 mais 100X100 avec 5 codes a donner au lieux de 3.

bonne chance donc pour la tentative de réussir a cracker tout ca car si les banques s'en foutent royalement que les keyloger connaissent les codes c'est bien que le système est fiable......pour le moment

mais sinon il est exacte que le token semble être encore mieux , pourquoi n'est il pas utilisé de partout je ne sais pas , vu que c'est bourré d'électronique va savoir si au moment ou il génère le code il n'est pas détectable par un autre appareil électronique ? radar de token etc etc , faut s'attendre a tout avec les nouvelles technologies

[ioah]

Citation :

Publié par Shallyn

....Le pare-feu de Windows activé.....

je suppose que tu voulais dire "Le pare-feu de Windows désactivé" et remplacé par un véritable pare-feu car effectivement comme passoire le pare-feu de Microsoft a la palme d'or.

[Shallyn]

Citation :

Publié par ioah

je suppose que tu voulais dire "Le pare-feu de Windows désactivé" et remplacé par un véritable pare-feu car effectivement comme passoire le pare-feu de Microsoft a la palme d'or.

Je pars du constat que les gens sont infectés majoritairement de l'intérieur ... bon parefeu ou pas c'est trop tard. Mais si ils ont 30 euros a investir mieux vaut les mettre dans l'antivirus.

[ithurts]

Un autre moyen tout simple et tout bidon que 3/4 des gens n'utilisent pas ...

Vu que la connexion est sécurisé normalement sur les pages de login le seul moyen de récupérer nos pass/login c'est de passer par un keylogger qui enregistre les touche tapées au clavier.(Vous pouvez vérifier vous même avec wireshark par exemple, le mot de passe que vous donnez n'apparait pas dans les logs quand y'a le petit cadenas en bas à droite de votre navigateur)

UTILISER UN MOT DE PASSE "COPIER COLLER" DEPUIS UN FICHIER QQ PART SUR VOTRE HD POUR VOTRE COMPTE NCSOFT.

Car les keyloggers y'en a à foison, mais alors des hack qui regarde ce qu'il y a dans la pile du copier coller de windows y'en a pas beaucoup (ça doit ptet même pas exister) ou qui scan votre DD à la recherche d'éventuel fichier texte avec vos log encore moins.

Il faut simplement générer le mot de passe sur internet et TOUJOURS LE COPIER COLLER sans jamais le taper.
y'a tout un tas de site pour ça.

Et voilà, on est plus ou moins completement à l'abris

Mais c'est trop dur pour le joueur lambda, il préfère le porte clef de l'authentificateur blizzard ^^