[Violaine]

Devant la vague de vol de compte, je me demandais ce qui pouvait être fait.

Est il envisageable selon vous (et éventuellement notre CM s'il passe par là) que NCSoft développe un "authentificateur" à la manière de ce que l'on peut voir dans la concurrence ?

Qu'il soit matériel ou logiciel. Je pense dans le dernier cas au système utilisé dans Requiem que j'avais trouvé bien foutu.

Par contre, ce genre de protection est il fiable ? Détournable également ?

J'ai bien peur que les systèmes classiques de login via identifiant et mot de passe ne soient en passe de devenir de vraies passoires malheureusement.

Cordialement

[Igneel Kychuki]

Le problème c'est que dans requiem le service client ben il te prend dans le dos

j'me suis fais hack sur requiem (mdp compte et le code d'identification du personnage) car il a demandé en ticket au service qui n'a pas chercher a savoir s'il était le dis propriétaire

j'ai juste reçu en rentrant du boulot un email comme quoi mon mdp était changer a l'ip XX.XX.XX.XX

donc se system peut étre sympa mais s'il est détourné d'une mauvaise façon ça peu piqué

[Pimprabbit]

Une authentification par token, du style de celui de Blizzard, est normalement inviolable (à moins que le GS ait mis des caméras chez toi ou piraté ton cerveau ).

Reste à savoir si NC à la volonté et surtout l'envie et les moyens d'investir dans de telles solutions assez coûteuses à mettre en place (Blizz à attendu d'être fortement installé sur le marché et suffisamment riche pour le faire).

[G_A]

Une explication de ton system miracle serai la bienvenu.

J'avou que depuis cette vague de hack, je suis vraiment tendu. J'ai pas envie que mon personnage finissent sans âme .

[elamapi]

Citation :

Publié par Violaine

Devant la vague de vol de compte, je me demandais ce qui pouvait être fait.

Est il envisageable selon vous (et éventuellement notre CM s'il passe par là) que NCSoft développe un "authentificateur" à la manière de ce que l'on peut voir dans la concurrence ?

Qu'il soit matériel ou logiciel. Je pense dans le dernier cas au système utilisé dans Requiem que j'avais trouvé bien foutu.

Par contre, ce genre de protection est il fiable ? Détournable également ?

J'ai bien peur que les systèmes classiques de login via identifiant et mot de passe ne soient en passe de devenir de vraies passoires malheureusement.

Cordialement

Attention: les "ouin ouin, on est des vaches à lait, ouin ouin, c'est a NCSOft de protéger" vont arriver.

Sinon, concernant le sujet.

Je ne sais pas si NCSoft va le faire, mais ça serait une bonne idée. Ou au moins la méthode la plus sure qui soit de sécuriser son compte.

A partir du moment ou l'authentificator est lié au compte (la seule partie critique, il ne faut pas que sont pc soit vérolé a ce moment la, mais ça peut etre fait à partir d'un autre ordi, genre tél mobile, cyber café, etc ...) il est quasi impossible (sauf féployer des moyens digne de la nasa) de voler un compte.

[elamapi]

Le principe de la solution est trés simple (et qui plus est non couteuse avec des moyen dématérialisé genre petit programme pour téléphone mobile, et PAS UNIQUEMENT iphone, mais tout gsm).

Le principe en TRES GROS (mais en ENORME).

Votre token a une clef. Cette clef est associé a votre compte (faut pas se faire pirater a ce moment la, aprés c'est bon).

Ensuite a chaque login; votre token génére une clef aléatoire (mais en fonction de la fameuse clef associé au compte) qui n'est utilisable qu'une seule fois tous les X temps (X temps pouvant etre une nombre de fois, un nombre de mois ou une combinaisons des deux). Impossible donc de la tapper deux fois dessuite.

Vous allez donc entrer votre login, votre mot de passe, ET la clef que va vous donner votre token.

Si un vilain pirate vole votre login / mot de passe et la clef aléatoire généré par le token et qu'il essaye de se connecter ... ca l'envéra chier car la clef a déja été utilisé.

Un pirate peut reproduire le token, c'est super simple, mais il doit trouver la clef associé a votre compte ... et comme elle n'est stocké nule par sauf sur votre token (a l'exterieur du PC donc ..) impossible a pirater.

Coté serveur, c'est rien a mettre en place, une collone en plus dans la base de donné, et une routine pour vérifier la clef.

Le seul truc couteux, c'est la logistique pour vendre les token hard, (mais la encore, avec un petit soft pour téléphone portable, ca coute rien).

Le token n'est rien d'autre qu'un programme qui génère une clef, en fonction d'une autre clef, et en fonction de certaine contrainte (pas généré 2x la meme clef entre X temps, pas générer la même clef avant d'en avoir généré X autre différente etc ...).

Ce programme peut etre intégré dans un boitier (comme le blizzard authentificator) avec un bouton. Y a , sur le dos du boitier la clef a lier, et un bouton qui génére une clef aléatoire chaque fois que vous appuyez dessus.

[agecanonix01]

Citation :

Publié par Pimprabbit

Une authentification par token, du style de celui de Blizzard, est normalement inviolable (à moins que le GS ait mis des caméras chez toi ou piraté ton cerveau ).

Reste à savoir si NC à la volonté et surtout l'envie et les moyens d'investir dans de telles solutions assez coûteuses à mettre en place (Blizz à attendu d'être fortement installé sur le marché et suffisamment riche pour le faire).

Bonjour,

C'est quoi un Token ? Apres recherche voir ici : http://fr.wikipedia.org/wiki/Token même si le wiki reste un week qui

@elamapi, le double post, c'est le mal

[elamapi]

Citation :

Publié par agecanonix01

Bonjour,

C'est quoi un Token ?

@elamapi, le double post, c'est le mal

Need la fonction "effacer" pour corriger ca ... Sinon, j'ai expliqué ce qu'est un token.

[Pimprabbit]

Un petit article sur le sujet :

http://www.gameblog.fr/news_5281_bli...-authenticator

Ca ressemble à ça :



En fait tu as une ligne supplémentaire à remplir au moment de rentrer tes mots de passes, tu recopie une série de chiffres générés aléatoirement par le bidule, renouvelés toutes les minutes et collationnés par le serveur d'authentification.

[MllePomone]

Et si on commençait par une demande de validation par mail pour toute modification de mdp du compte NCsoft?

Et pas un simple "Oups on vous a changé votre mot de passe, too bad, contactez le support".

[Tiptop]

Ben à vrai je serai plus apte à voter contre un truc du style à cause du tél portable ! (contre ce machin ) et/ou sinon aussi encore contre le fait de devoir encore sortir le porte monnaie pour un "token" ...
Enfin bon contre quoi

Je pense que la sécurité peut-être optimisé sans çà. Il ne faut pas non plus faire une fixation la dessus, ce n'est quand même pas à la portée de tout le monde de hack un compte/ordi.

[elamapi]

Citation :

Publié par MllePomone

Et si on commençait par une demande de validation par mail pour toute modification de mdp du compte NCsoft?

Et pas un simple "Oups on vous a changé votre mot de passe, too bad, contactez le support".

Ca aide bien sur et ca devrait d'ailleur etre déjà le cas, mais malheureusement ça n'est pas beaucoup plus sécure.

Si je prend le cas du magnifique couple trojan/keylogger.

Le trojan dump qui passe sur les ports port classique http/smtp/imap dans l'attente d'une adresse email et déclanche le keylogger envoye les logs/pass.

Ce qui fait que trés rapidement, le pirate a en sa possession, les logs/pass email + log/pass aion (ou autre).

Avec un token, il peut chopper tout les logs/pass de la terre, il ne pourra pas s'en servir pour hacker le compte aion.

@Tiptop, proposé de manière optionnelle, tu ne serais pas obligé de le prendre.

[Mylouze]

Citation :

Publié par Tiptop

Ben à vrai je serai plus apte à voter contre un truc du style à cause du tél portable ! (contre ce machin ) et/ou sinon aussi encore contre le fait de devoir encore sortir le porte monnaie pour un "token" ...
Enfin bon contre quoi

Je pense que la sécurité peut-être optimisé sans çà. Il ne faut pas non plus faire une fixation la dessus, ce n'est quand même pas à la portée de tout le monde de hack un compte/ordi.

bof un key logger en trojan sur un mail foireux et hop je sais tout ce que tu tape en temps réel meme si tu change ton MDP.
apres reste a faire la difference entre les different truc tapé mais je vous jure que c'est tout con comme truc.

[Tiptop]

Non mais je parle même pas Mylouse de la capacité informatique d'hacker un compte. Il faut pour faire çà quand même avoir une mentalité de daube (et je suis poli). C'est du vol quoi et je ne pense pas que le monde entier est un voleur d'où ma réflexion.

Oui elamapi pourquoi pas, si c'est au choix de l'utilisateur je ne verrai rien à redire.

edit pour mylouse ci dessous : t'inquiete j'avais bien compris tes propos

[Mylouze]

Citation :

Publié par Tiptop

Non mais je parle même pas Mylouse de la capacité informatique d'hacker un compte. Il faut pour faire çà quand même avoir une mentalité de daube (et je suis poli). C'est du vol quoi et je ne pense pas que le monde entier est un voleur d'où ma réflexion.

Oui elamapi pourquoi pas, si c'est au choix de l'utilisateur je ne verrai rien à redire.

je ne parle pas de la volonté ou non de hacker un compte comme tu dit c'est du vol et il faut avoir cette mentalité de voler.

je ne repond que sur l'aspect technique de la chose en donnant un exemple tout con d'un keylogger qui est un des truc les plus simples pour se faire hacker.

et franchement j'y crois pas une seconde que les hack ont été fait avec un truc aussi bete mais ca n'engage que moi.

[ioah]

une solution efficace , gratuite , non contraignante et sans avoir a utilisé de système hard est d'utilisé le système de la grille qui a fait ses preuves dans les banques, explication :

en plus du login et du mot de passe il faut donner une 3eme information qui se trouve sur une grille que vous avez remplie vous même et envoyer a ncsoft et qui est liée a votre compte :

la grille se compose de 10 colonnes numérotées de 'A' a 'J' et de 10 rangées numérotées de 1 a 10 , dans ces 100 cases vous avez vous même inscrit des nombres aléatoirement ou bon vous semble et envoyer la grille a ncsoft.

quand vous voulez jouer a Aion après avoir saisi login et mot de passe on vous demande au moins 3 nombres qui se trouve sur la grille par exemple B3,E5 et H9 signifie que vous devez saisir le nombre qui est inscrit sur ces cases.

ce système est inviolable car vous seul et ncsoft connaisse la grille.

ce système ne coûte rien et il est utilisé par pas mal de banques pour les opérations internet, payement sécurisé pour cartes virtuelles.

[Jinou]

Citation :

Publié par ioah

[...]
ce système est inviolable car vous seul et ncsoft connaisse la grille.
[...]

Je ne vois pas ce que ça apporte de plus, ta grille elle est stockée où ? Sur le PC ? Si c'est le cas ça n'apportera rien.

Si je suis ton raisonnement, le système actuel est inviolable, car seul moi et NCsoft connaissons le mot de passe.

Ah mince ça marche pas...

[ioah]

Citation :

Publié par Jinou

Je ne vois pas ce que ça apporte de plus, ta grille elle est stockée où ? Sur le PC ? Si c'est le cas ça n'apportera rien.

Si je suis ton raisonnement, le système actuel est inviolable, car seul moi et NCsoft connaissons le mot de passe.

Ah mince ça marche pas...

faut pas faire exprès d'être bête hein !!

la grille est en papier en 2 exemplaires , un pour toi un que tu envoie par la poste a ncsoft

si la grille était stoquer sur le pc tu crois que j'aurais répondu au post ?

franchement faut être débile pour stoquer des mots de passe ou une grille sur un pc.

[elamapi]

Citation :

Publié par ioah

faut pas faire exprès d'être bête hein !!

la grille est en papier en 2 exemplaires , un pour toi un que tu envoie par la poste a ncsoft

si la grille était stoquer sur le pc tu crois que j'aurais répondu au post ?

franchement faut être débile pour stoquer des mots de passe ou une grille sur un pc.

Ca demande plus de traitement coté ncsoft la grille papier. Le token a l'avantage d'etre totalement automatique sans besoin d'aucun traitement. Mais l'idée est bonne aussi

Edit: en fait oui et non, ta grille ne change pas, un keylogger aura fini, a la longue par connaitre l'association entre la grille et les valeurs a force de les tapper.

Ex: dans la case A1, j'ai choisi le chiffre 3.

Pour le loguer, le jeu va ma demander (entre autre) le chiffre de la case A1. Comme ce chiffre est invariable, il suffit au keylogger de stocker cette valeur et de l'envoyé.

Bon, c'est sur que ca va devenir compliqué pour les hackers. Mais le fait qu'il faille du traitement coté ncsoft (recolter les grilles des gens, l'entrée sans faire de fautes ...) me laisse penser qu'une telle solution ne sera pas viable.

[Jinou]

Tu n'as pas saisi le point où je voulais en venir.

Regarde le système actuel, ton mot de passe n'est connu que par NCsoft, et par toi. Il est stocké dans ton cerveau.

MAIS on arrive à avoir des personnes qui se font hacker.
Excluons les cas "débiles" où le mot de passe était visible.

Comment se sont-ils fait piraté alors ?
A partir de là plusieurs possibilité:
- ils ont rentré leurs mot de passe dans un faux site => grille ou pas tu tombes
- Ils ont tenté du bruteforcing => grille ou pas tu tombes
- Brèche chez NCsoft (peu probable, c'est juste pour l'exemple) => grille ou pas tu tombes

Ce que je veux dire c'est que pour un utilisateur un minimum prudent, la grille ne va rien lui apporter de plus.
Après pour l'utilisateur idiot qui utilise les mêmes identifiants partout c'est une autre histoire je te l'accorde.

[Tiptop]

En fait en refléchissant bien c'est une bonne idée pour un jeu qui débute le token compris dans la boîte de jeu par exemple ... enfin un peu plus compliqué pour l'achat numèrique.

[elamapi]

Citation :

Publié par Jinou

Tu n'as pas saisi le point où je voulais en venir.

Regarde le système actuel, ton mot de passe n'est connu que par NCsoft, et par toi. Il est stocké dans ton cerveau.

MAIS on arrive à avoir des personnes qui se font hacker.
Excluons les cas "débiles" où le mot de passe était visible.

Comment se sont-ils fait piraté alors ?
A partir de là plusieurs possibilité:
- ils ont rentré leurs mot de passe dans un faux site => grille ou pas tu tombes
- Ils ont tenté du bruteforcing => grille ou pas tu tombes
- Brèche chez NCsoft (peu probable, c'est juste pour l'exemple) => grille ou pas tu tombes

Ce que je veux dire c'est que pour un utilisateur un minimum prudent, la grille ne va rien lui apporter de plus.
Après pour l'utilisateur idiot qui utilise les mêmes identifiants partout c'est une autre histoire je te l'accorde.

Un keylloger qui note ton log/mdp. Pas forcement chez toi d'ailleur. Pour ceux qui ont un minimum de vie sociale, il arrive parfois d'aller jouer chez un amis. De se connecter a partir de son PC (sans lui donner le mdp bien sur). Mais est ce que ce PC est safe ?
Win XP a une facheuse tendance a executer automatiquement les launchers quand on insere uen clef ou un disque usb. Parfois ca passe au travers des AV. Aucun amis n'est venu chez vous pour vous montrer ses dernieres photos sur sa clef USB.

Bref, des méthodes pour se faire véroler le PC, y en a des milliers, même pour des gens avertie. Alors sur la masse, y doit bien en avoir un paquet pour ne pas faire tres attention.

C'est l'avantage du token. Attention ou pas, c'est inviolable.

[Jinou]

Je répondais à la personne au dessus elamapi, mais sinon ce que je disais va dans ton sens.
Tu as répondu entre-temps c'est pour ça.

Une grille est "statique", une fois interceptée elle sera toujours valide là ou le tokken ne risque rien peu importe la tentative vu qu'il varie en fonction du temps/utilisation.

[ioah]

Citation :

Publié par Jinou

.... ils ont rentré leurs mot de passe dans un faux site => grille ou pas tu tombes....

faux !!! le faux site ne peut pas te demander les codes de la grille car ce n'est que le client du jeu qui réclame les codes de la grille.

tu te ferra hacké tons pass et login dans un faux site mais jamais ta grille , le hackeur ne pourra jamais te piraté ton compte s'il est lié a une grille.

[Jinou]

Bon c'était pour le principe de l'"interception" ioah mais vu que tu tiens a avoir un cas concret, le keyloger tout simplement.
Là que tu le tapes dans ton client, sur un site ou n'importe où, une fois intercepté ta protection tombe en miette.