[la-sadi-a-dit]

Bonsoir,
L'inside ankama du 29/06/2011 est sortit
je ne l'ai pas regardé mais j'en ai visionné simplement le courrier des lecteurs.

(je n'arrive pas à insérer correctement le lien de la vidéo je laisse quelqu'un plus talentueux que moi le faire... ne pas réussir un simple copier/coller... )

Très souvent est revenue ici la proposition d'accentuer la sécurité des comptes de diverses manières.

Il est annoncé ici (à partir de 5:18) à venir pour la fin de l'année un système de certificat installé sur nos machines qui ne permettra de se connecter uniquement depuis la machine certifiée.

Très souvent les débats tournant autour de propositions renforçant la sécurité des comptes on mis en avant le fait que cela risquerait de favoriser encore plus le prêt de compte.

Mais si l'on peut alors se limiter à une machine cette déviance n'est elle pas mise à mal ?
Certains argueront que nul besoin de renforcer la sécurité tant que l'on ne prête pas son compte ou que l'on ne va pas sur n'importe quel site etc. Mais nul n'est à l'abri d'une minute d'absence d'esprit et de se voir alors victime de phishing. Si cette modification permet de pallier ces erreurs alors tant mieux.

Néanmoins y voyez vous des failles/contournements possibles?

la-sadi-a-dit

[Paile]

Ca me semble un très bon compromis.

On peut bien sur avoir toujours du prêt de compte familial (conjoint, fratrie), mais c'est le genre de prêt de compte difficilement évitable ou repérable, et pas le plus nocif.
Et ça permet de sécuriser son compte pour ceux qui sont inquiets, tout en limitant justement le prêt de compte, puisque les amis ne pourront plus se connecter. Un choix à faire, à chacun d'assumer le sien.

Y'aura sans doute des soucis de blocage de compte (prêté à un ami, qui le bloque à sa machine), en revanche.

[Koontz]

Moué,je vois déjà les futurs problèmes.
Que se passera t'il si ma carte video grille et que je la change ou que mon ordi grille? Si je joue sur un ordi de bureau mais aussi sur un portable(quand je suis ailleurs que chez moi)?
J'espère bien que ça ne sera pas obligatoire et quelles données seront stockées sur ce certificat?

Bref qu'est qu'il ne faut pas faire pour garder sa clientèle de joueurs immatures,quitte a les assistés encore plus.

Bientôt on aura même un gentil membre d'ankama qui viendra lancer dofus a notre place...

[Zoha]

@Paile: de toute manière, le prêt de compte est "interdit".

Sinon, je trouve le système assez bon. A voir ce que ça donnera.

[ShosuroPhil]

Si c'est fait intelligemment, genre avec réponse secrète pour activer/désactiver le certificat, ça me semble une bonne idée. Et que le certificat soit non volable (genre, si je prends le fichier tel quel et le copie sur un autre ordi, ça ne doit pas marcher).

Apres, le gogol assez atteint pour laisser quelqu'un d'autre activer ça sur un de ses propres comptes...

[feuby]

A voir également. Je suis un peu sceptique. Si on change d'ordi ? de PC ? ordi qui grille ?

Si il suffit de rentrer la réponse secrète pour avoir un nouveau certificat ca peut être pas mal.

Du moment que c'est facultatif je vois pas pourquoi ca serait pas mis en place. Si c'est obligatoire, ca va être une vraie merde, parceque moi j'utilise plusieurs ordis. Mais j'ai du mal a voir pourquoi mettre une sécurité pareille. A aucun moment ca n'empechera les sites de pishing de voler les trucs via des keyloggers, ou alors les "devient modo" suffira que ca demande la réponse secrète aussi (pas bien dur d'avoir la question une fois qu'on a les logs, ils savent déja trouver notre niveau).

Ca empêche en rien les keyloggers. Si c'est "une machine par joueur" c'est largement trop restrictif a mon avis. Une bonne part de la communauté doit disposer d'au moins 2 ordis. Si c'est pas une machine par joueur, rien n'êmpechera de certifier d'autres machines pour le prêt de compte. Et si ca demande la réponse secrète ca sera encore pire. Je vois pas du tout l'utilité d'un truc pareil.

[Fulleux]

Citation :

Publié par feuby

Si c'est obligatoire, ça va être une vraie merde, parce que moi j'utilise plusieurs ordis.

Voila , a voir ...

[Shuggananas]

Citation :

Publié par feuby

Du moment que c'est facultatif je vois pas pourquoi ca serait pas mis en place. Si c'est obligatoire, ca va être une vraie merde[...]

La même, portable, fixe, ou quand on veut se connecter chez un pote, j'espère que ça sera pas obligatoire.

[Kikako]

Voila qui me semble aussi un bon compromis, je ne vois pas de failles.

Citation :

Publié par Paile

Y'aura sans doute des soucis de blocage de compte (prêté à un ami, qui le bloque à sa machine), en revanche.

Ceci n'arrivera qu'une fois.

[Paile]

Il me semble que c'est présenté comme purement facultatif.

Ensuite, pour les keyloggers : ça peut être une protection : si ton pc est sain quand tu installes le certificat, et que tu te fais infecter ensuite, tu n'as aucune raison de taper ta réponse secrète, et donc d'avoir récupéré le login/mot de passe leur servira peu.

Je parle de keylogger, pas de phishing, donc de programme malveillant installé (acceptation d'une fausse mise à jour, ce genre d'erreur). Pour le phishing, demander la question secrète ne changera rien pour les sites sur le thème "devient modo" ou "cadeaux à gagner" mais ça change pas mal de chose sur tout ce qui est imitation de vraies pages, vu que ça rendra d'autant plus méfiant qu'on demande la question secrète.


Par contre, c'est sur que si on permet plusieurs certificats, on sécurise pas mal le prêt de compte..

[Ryhl]

Hum, ça me fait vaguement penser à steam qui envoie une Clef de déblocage par mail afin de pouvoir accéder à son compte depuis tel ou tel Pc.

[Informpro]

Pour rire : ils ont réfléchi aux moyens techniques à mettre en oeuvre au moment de proposer un truc pareil :] ? Et puis tout simplement aux gens qui ont plusieurs PC ? Et puis tout simplement aux accidents de PC ? vu que je crois pas qu'AIR autorise le stockage de MAC (réf nécessaire), ça sera probablement par IP. Déjà mieux. Si je suis en déplacement ? Si je change de FAI ? toussqh. enfin bon, on verra quand on aura les "dates AG", on pourra anticiper les dates réelles un peu.

[Bulle-bizarre]

Citation :

Publié par Ryhl

Hum, ça me fait vaguement penser à steam qui envoie une Clef de déblocage par mail afin de pouvoir accéder à son compte depuis tel ou tel Pc.

Ouais ou comme dans rift.
En gros, lorsque l'ip change, on passe dans un mode 'argent bloqué', on peut jouer, faire des combats, parler. Mais on ne peut pas utiliser l'argent, les équipements, et tout le reste (j'sais pas si j'me suis bien fait comprendre?).
Le seul moyen de débloqué ça, c'est un code envoyé automatiquement par mail lors d'un changement d'ip. Ensuite on rentre ce dis-code en jeu, ou au pire sur le site ankama, et l'état 'argent bloqué' est débloqué et on peux jouer normalement.

[Xouthos]

Et si t'as une ip dynamique?

[[Sum]Skillzorus]

Donc, en gros, si notre PC est mort on sait plus jouer à dofus ? sauf en demandant au support etc ? on a deux PC on sait pas utiliser les deux ?

Faut arrêter ça devient de la connerie, bientôt on pourra se connecter qu'avec un compte par machine... Ça va em****** des milliers de joueurs car une centaine de paon se font hack super la mentalité d'Ankama... ils ont qu'à revoir un peu leur multiple bug et leur vision au lieu d'instauré ça.

[ShosuroPhil]

Bon, faut arrêter de délirer...

Ils le savent que certains utilisent leurs comptes depuis plus d'un PC différent, et autres trucs évidents. Selon toute vraisemblance, ce sera un truc optionnel, et en gros ce sera un certificat spécifique a un ordinateur (pas une IP, pas un FAI, par exemple), et vu qu'ils ne sont pas totalement idiot, ce sera désactivable depuis hors jeu (genre, via la gestion de compte - probablement via la réponse secrète, vu que si c'est juste le mot de passe, un keylogger qui récupère précisément le pass restera tout aussi dangereux).

Mais non, comme d'hab' la moitie des JOLiens préfèrent un bon gros troll sur Ankama.

[Ryhl]

Je verrai plutôt la chose non géré par Ip mais éventuellement via la Mac (si c'est faisable) et applicable à plusieurs Pc. A voir si ça peux enrailler un peu le Phising.

Message supprimé par son auteur.

[Ron²]

Si on peut configurer plusieurs ordis c'est cool.

[Kikako]

Je ne vois pas de raison que ce ne soit pas une option. Il ne faut pas chercher ce qui peut contraindre les joueurs mais quelles peuvent être les détournement possibles.

Un défaut pourrait être une chute de vigilance, le compte étant censé être sécurisé. D'où le risque d'utilisation de mots de passe simples voir communs à d'autres sites/jeux. La désactivation de l'option ne devrait être permise que couplée à un changement de mot de passe.

Le changement de machine sécurisée/la désactivation de l'option ne devrait se faire qu'avec un délai important ( 16h/24h) et devrait être annulé s'il y a une connexion entre temps sur la première machine. Dans ce cas, encore une fois, changement de mot de passe. On éviterait ainsi un vol pour quelqu'un se connectant régulièrement tout en le prévenant tout en limitant les échanges de comptes.

Le changement de machine valide devrait être suffisamment simple pour qu'une personne puisse passer ses weekends comme sa semaine sur deux PC dofusément sécurisés. Mais on pourrait aussi imaginé plusieurs PC sécurisés, je n'y vois pas de faille.

[Shuykeiw]

Chouette. Je voyage déjà entre la France et la Suisse, et en France je ne peux m'abo' sans passer par un proxy. Je surkiff la sécurité, j'passe où pour l'échantillon d'ADN ?

[Jota² Pi]

Citation :

Publié par Shuykeiw

Chouette. Je voyage déjà entre la France et la Suisse, et en France je ne peux m'abo' sans passer par un proxy. Je surkiff la sécurité, j'passe où pour l'échantillon d'ADN ?

Pas mieux...
L'anonymat est un droit, je n'ai pas envie de me faire coller un "pisteur" alors que je cherche avant tout à les éviter, question de protéger ma vie privée.

Donc :
- si c'est obligatoire : j'arrête dofus,
- si c'est facultatif et activé par mail/mot de passe pour les changements de pc : peut-être mais pas davantage.

Ce serait quand même dommage que par la négligence de certains joueurs qui
- ne savent pas utiliser internet vis-à-vis de leur propre sécurité
- ou prêtent leurs comptes de façon systématique
- et empoisonnent à longueur de journée "j'me suie fé hak, vous zete nul, dofus pa sécurisé" sur le forum off ou au support,

ce système de pisteur soit imposé à tous.

Allez va, je vais me contredire : qu'il soit imposé à ces joueurs qui sont victimes de vols de compte tous les 4 jours ? Pourquoi pas...


EDIT en réponse à MrFOUfou :

Oui mais non, tout le monde n'a pas forcément transmis des données... fiables lors de son inscription.

Un pisteur reste un pisteur, c'est comme une puce que l'on met sous l'épiderme pour identifier une personne dans certaines circonstances.
L'utilisation initiale peut en être détournée : qui peut garantir qu'Ankama ne soit pas rachetée un jour par une grosse entreprise intéressée par d'autres projets dont les objectifs ne sont pas aussi ludiques que Dofus, et pour lesquels ces pisteurs pourront se révéler bien utiles ? Je sais... je suis parano semble-t-il.

Mais, au vu des précisions que l'équipe d'Ankama vient d'apporter, et dans la mesure où ce n'est pas obligatoire, je n'ai plus rien à dire.
J'ai bien compris l'intérêt pour les joueurs qui prêtent leur compte, ça soulagera grandement le support vis-à-vis des plaintes pour vol de compte, je pense.

Après réflexion, je dirais même que l'outil peut m'intéresser pour être encore d'avantage anonyme... j'attends de voir l'outil concrétisé.

[Rallph]

Citation :

Publié par Ron²

Si on peut configurer plusieurs ordis c'est cool.

NaN, ca sert a rien ! Parce dans "Plusieurs ordis" y'a "l'ordi du hackeur" … A part si c'est par réponse secrète mais ca va etre casse bonbon de la rentrer a chaque fois …

Ou comme Google, tu as ton nom de compte, ton mot de passe et ils envoient un message sur ton portable avec un code permettant de te connecté, ainsi, comme tu es le seul a avoir CE portable avec CE numéro tu es sur d'etre le seul a pouvoir te co sur ton compte … Mais probleme pour les petits de 8ans qui n'ont pas de phone (portable de leur parents ?)

[MrSimsoft]

Comme le précise ShosuroPhil, il sera bien sur possible de certifier plusieurs machines. La certification ne se base pas sur l'IP de la machine ni sur les composants de la machine, il est donc "stable" dans le temps et vous n'avez donc pas d'inquiétudes à avoir dans le cas où vous changez une pièce. Vous pourrez également révoquer à tout moment depuis votre gestion de compte les certificats de vos machines.
Et enfin, si vous avez activé ce système, vous pouvez débloquer juste la session de jeu actuelle sans pour autant certifier la machine (cas du cybercafé par exemple).

PS: Wawabo, je ne vois pas en quoi ce système est une atteinte supplémentaire à ta vie privée dans la mesure où tu transmet déjà des informations personnelles lors de l'inscription etc. Nous ne faisons pas de scan de la machine ou autre pour généré le certificat.

[BillFR]

Ce système n'est pas encore finalisé. Je ne vais pas trop entrer dans les détails ici, on fera un bel article devblog pour illustrer le fonctionnement quand ce sera prêt.

Mais en gros :
- ce ne sera pas obligatoire
- on pourra gérer plusieurs certificats pour un même compte (donc plusieurs ordis), et révoquer des certificats depuis sa gestion de compte si jamais
- la certification se fait via la boite mail, donc si votre mail est une passoire, finalement ca changera pas grand chose
- on pourra débloquer une session de jeu (via mail, toujours) sans pour autant certifier la machine, ainsi on peut jouer dans un cyber/chez un pote sans pour autant laisser un certificat permanent sur l'ordi


Mais c'est vrai que c'était tentant de rendre ça obligatoire, sur un unique ordi, ip fixe, avec obligation d'acheter un lecteur d'empreintes digitales et un scanner rétinien usb pour pouvoir jouer

Plus de news ankabientôt