Hack massif ?

`Echoes · 12/03/2013, 01h23

[Modéré par GrosBenji ]

workteam · 12/03/2013, 09h46

Perso le shield est pas trop dérangeant en utilisation "normale" d'un pc, je l'ai utilisé depuis sa sortie sans aucun souci.
Par contre après utilisation d'un vpn, le shield demande une authentification à chaque connexion

Bfx · 12/03/2013, 09h48

Même si tu bouges souvent, si tu joues sur portable ça passe, j'ai le shield depuis sa sortie et ça m'a jamais trop gêner.

workteam · 12/03/2013, 09h57

Citation :

Publié par -Bradley-

Même si tu bouges souvent, si tu joues sur portable ça passe, j'ai le shield depuis sa sortie et ça m'a jamais trop gêner.

Pour jouer hors zone europe, m'as fallu passer pour le support pour virer la restriction géographique (je sais pas si cette restriction est toujours de vigueur d’ailleurs, c'étais bien avant le shield, restriction bien sympas finalement) pour me co sur mes persos.

Oui, l'utilisation d'un portable c'est mieux quand tu bouge pour ne pas avoir a désactiver le shield tout le temps.

sayako · 12/03/2013, 10h37

Citation :

Publié par Sergul

Ca veut dire que pour une taille équivalente, si ton mot de passe en minuscule prend 1h à être deviné en bruteforce (temps choisi aléatoirement), il prendra 30'000h à être deviné si tu utilises les min/maj/chiffres. Autant te dire que ça fait encore bien plus avec des caractères spéciaux.

non ça va uniquement dépendre du type de caractere qu'ankama utilise pour les mdp (s'il autorise uniquement les minuscules, ou maj+min ou ça + chiffre ou ajoute les caractéres hors ASCII etc...), le brute force testant toutes les possibilités (en général dans un ordre logique, donc en commençant par a et finissant par 99999999999999999999999999999999..... (je m'arrete la mais il est possible que ça soit plus long, bien que couteux en temps), mais il peut aussi commencer par le premier caractére de table ascii et proceder de meme, si ankama défini une taille mini et maxi il s'adaptera (enfin le mec qui le programme adaptera les zones de recherche)

en bref la seule chose qui te protege ça sera la longueur du mdp, les brute force commençant toujours pas les mdp les plus courts, et evitant de passer trop de temps à trouver

Lakamie · 12/03/2013, 10h58

Citation :

Publié par workteam

Pour jouer hors zone europe, m'as fallu passer pour le support pour virer la restriction géographique (je sais pas si cette restriction est toujours de vigueur d’ailleurs, c'étais bien avant le shield, restriction bien sympas finalement) pour me co sur mes persos.

Oui, l'utilisation d'un portable c'est mieux quand tu bouge pour ne pas avoir a désactiver le shield tout le temps.

Passer par le support c'est pas obligatoire ( temps de réponse lolol ) tu prend un VPN avec des IP FR et voilà en espérant quel soit pas bannis du jeu ou utiliser par des bot

Whale · 12/03/2013, 11h07

Citation :

Publié par Lakamie

temps de réponse lolol

24 heures maximum, ils sont réactifs pour ça. Et il suffit de le faire une bonne fois pour toutes, donc ça reste une meilleure solution que le VPN...

ElSma · 12/03/2013, 11h07

Whoaa sa fait un bout de temps que je ne postait plus rien !

Pour ma part je ne sais pas si c'est le fait d'avoir stoppé dofus depuis plus d'un an ou bien si c'est grâce au shield mais aucun de mes 4 perso stuffé ne s est fait hack lorsque j'ai regardé les pages perso.

Carotte§ · 12/03/2013, 11h52

Je sais pas exactement comme ça fonction et je lisais pas le thread. Mais mauvaise surprise sur un compte ce matin, alors qu'il n'a rien de différent des autres.

03 20 36 36 09

Logredar · 12/03/2013, 12h17

Citation :

Publié par sayako

non ça va uniquement dépendre du type de caractere qu'ankama utilise pour les mdp (s'il autorise uniquement les minuscules, ou maj+min ou ça + chiffre ou ajoute les caractéres hors ASCII etc...), le brute force testant toutes les possibilités (en général dans un ordre logique, donc en commençant par a et finissant par 99999999999999999999999999999999..... (je m'arrete la mais il est possible que ça soit plus long, bien que couteux en temps), mais il peut aussi commencer par le premier caractère de table ascii et procéder de même, si ankama défini une taille mini et maxi il s'adaptera (enfin le mec qui le programme adaptera les zones de recherche)

en bref la seule chose qui te protege ça sera la longueur du mdp, les brute force commençant toujours pas les mdp les plus courts, et evitant de passer trop de temps à trouver

Haha, statistiquement très peu de mdp contiennent de l'ascii (caractère spéciaux) donc dans la logique on fait au plus court et on commence par la gamme (0-9), puis (a-z 0-9), et en suite (a-z A-Z 0-9) puis les accents et enfin le plus long les caractère ascii.

Mais bon déjà tu t’arrêtes au deux premières gamme parce que t'as déjà fait tomber suffisamment de mdp et parce que plus tu montes dans les gammes plus c'est long et moins t'as de mdp à craquer

.

Donc :

Plus long = plus sécurisé = faux.
Plus de caractères possible = plus sécurisé = vrai.

Il y a 100 000 000 combinaisons de 8 chiffres (0-9)
Il y a 916 132 832 combinaisons de 5 caractères (a-z A-Z 0-9)

Maintenant une table ascii de 200 caractères pour ne pas mettre les très très spécieux du genre null et j'en passe.

Il y a 1 600 000 000 de combinaisons avec seulement 4 caractères. Donc aussi surprenant que cela puisse paraitre, un mdp long avec peu de possibilité de caractère sera plus rapidement trouvé qu'un mdp court avec une grande possibilité de caractère. C'est le principe du loto d'ailleurs, il n'y a forcément beaucoup de numéros à trouver mais le choix est suffisamment grand qu'on ait des centaines de millions, voir des milliards de combinaisons.

Exemple si on enlève les majuscules regardons la différence entre (a-z A-Z 0-9) et (a-z 0-9) avec 4 caractères.

(a-z 0-9) : 1 679 616 combinaisons
(a-z A-Z 0-9) : 14 776 336 combinaisons

Rien que le fait de mettre des majuscules décuples la sécurité d'un mdp.

J'ai essayé sur dofus certains caractères passent du genre g36F95┬3Nniß. Maintenant si vous utilisez un mdp qui utilise une gamme de caractères très importante et qu'il est long c'est parfait, mais faut réussir à le retenir après.

En tout cas je vois pas pourquoi un hacker commencerait par ce qu'il y a de plus long et de moins efficace.

Bfx · 12/03/2013, 12h19

Ouais donc il y a bien un problème là, j'espère qu'il va être réglé rapidement !

Volpel · 12/03/2013, 12h25

Vous m'faites peur là, j'vais mettre mes item dans ma dd avant de deco moi

Super-mario · 12/03/2013, 12h28

Plus long = plus sécurisé = faux.
Plus de caractères possible = plus sécurisé = vrai.

Sauf qu'on ne sait pas quelle table de caractères utilise le mot de passe, donc un mot de passe long prendra plus de temps à être brute force.

Carotte§ · 12/03/2013, 12h37

Mon interlocuteur du Support est trés correct.

Histoire que vous aussi rigoliez,
-Aucune connexion suspecte
-Mail partagé mais un seul compte concerné
-Maison pas vendue
-Autres serveurs de jeu du pas touchés

J'évoque poliment le thread de JoL concernant des soucis, il me dit que JoL c'est pas AG ça les concerne pas. Lors d'une seconde évocation, il m'explique poliment que même si 30 joueurs de RE sont dépouillés, face au total des joueurs ça ne représente rien (ok) et que de son expérience les 'hack' sont souvent du à des 'inadvertances' joueurs (ok). Je vais voir ce que donne mon mail, mais apriori on me dira rien de bien précis. Dans le meilleur des cas j'ai des excuses et on va m'assurer que les méchants ont eu le fessées, dans le pire des cas il va sous entendre que j'ai halluciné. ça ne serait pas la premiére fois, W&S

Edit: Flippez pas, m'enfin soyez conscient qu'il y a peut être un soucis. Perso je vais prendre un moment pour réfléchir à shielder mes comptes bien que ça ne soit qu'en béta. Au moins je serai pas obligé d'appeller pour raconter ma vie et avoir le droit de savoir s'il y a bien un soucis concernant les connexion de mes comptes au serveur (spour ça qu'on paie).

Logredar · 12/03/2013, 13h10

Citation :

Publié par Super-mario

Sauf qu'on ne sait pas quelle table de caractères utilise le mot de passe, donc un mot de passe long prendra plus de temps à être brute force.

Bah justement un mdp long composé uniquement que de chiffre sera plus rapidement trouvé qu'un mdp plus courts avec des caractères plus complexes.

Donc plus long = plus sécurisé, c'est vrai que lorsqu'on précise qu'on utilise une variété de caractères étendue. Et c'est totalement faux quand on utilise une gamme basique du genre (0-9) ou (a-z) voir même (a-z 0-9). C'est pas pour rien que c'est marqué partout qu'il faut au moins un chiffre, une lettre et une alternance majuscule/minuscule. C'est pour taper dans la gamme (a-z A-Z 0-9).

Quoi qu'il arrive certains mdp long seront plus rapide à trouver que certains mdp court, en définitive la longueur ça ne suffit pas pour dire que c'est sécurisé, bien au contraire.

On peut voir la même chose en maths avec les systèmes de numération. Les nombres en binaires sont toujours plus longs qu'en hexadécimal et pourtant ça reste les mêmes nombres.

Exemple 15 en binaire c'est 1111 et en hexadécimal c'est F, donc au final en binaire c'est plus long mais au final t'as pas plus de combinaison avec 4 chiffres choisis entre 0 et 1 qu'avec un seul chiffre choisi en 0 et F.

En définitive c'est assez con mais une date de naissance du genre 17071984 tu la convertie en hexadécimal et t'obtiens 1047F70 et en binaire c'est 0001 0000 0100 0111 1111 0111 0000.

Dans tout ces cas tu n'as jamais la même longueur et pourtant ne nombre de combinaisons en partant de zéro pour arrivé au résultat c'est le même. La différence c'est qu'en binaire t'arrivera plus rapide à de long mdp qu'en hexadécimal.

Maintenant je ne pense pas que le hacker moyen s'intéresse au binaire car il ne doit pas y avoir des masses de mdp composés uniquement de 0 et de 1. Mais par contre des mdp composé uniquement de chiffre de 1 à 9, ou de lettre a-z il y en a plein et c'est les systèmes qui ont le bon compromis entre simplicité et abondance des mots de pass. Donc à mon avis avant de commencer par les tables ascii le hacker commence par les 0-9/ a-z. Ce serait stupide de commencer par le plus long et le moins rentable.

hoochie · 12/03/2013, 13h21

[Modéré par GrosBenji ]

-Aphroditte- · 12/03/2013, 13h25

[Modéré par GrosBenji ]

Bfx · 12/03/2013, 13h25

Citation :

Publié par Carotte§

Mon interlocuteur du Support est trés correct.

Histoire que vous aussi rigoliez,
-Aucune connexion suspecte
-Mail partagé mais un seul compte concerné
-Maison pas vendue
-Autres serveurs de jeu du pas touchés

J'évoque poliment le thread de JoL concernant des soucis, il me dit que JoL c'est pas AG ça les concerne pas. Lors d'une seconde évocation, il m'explique poliment que même si 30 joueurs de RE sont dépouillés, face au total des joueurs ça ne représente rien (ok) et que de son expérience les 'hack' sont souvent du à des 'inadvertances' joueurs (ok). Je vais voir ce que donne mon mail, mais apriori on me dira rien de bien précis. Dans le meilleur des cas j'ai des excuses et on va m'assurer que les méchants ont eu le fessées, dans le pire des cas il va sous entendre que j'ai halluciné. ça ne serait pas la premiére fois, W&S

Edit: Flippez pas, m'enfin soyez conscient qu'il y a peut être un soucis. Perso je vais prendre un moment pour réfléchir à shielder mes comptes bien que ça ne soit qu'en béta. Au moins je serai pas obligé d'appeller pour raconter ma vie et avoir le droit de savoir s'il y a bien un soucis concernant les connexion de mes comptes au serveur (spour ça qu'on paie).

Tu veux dire qu'ils ne vont rien te rendre ?

Carotte§ · 12/03/2013, 13h31

Depuis que je parle au Support, je n'ai jamais exigé qu'on me rende ce qui m'a été volé, seulement de savoir pourquoi ça merde chez eux. Mais j'ai ni l'un ni l'autre.

Logredar · 12/03/2013, 13h34

Citation :

Publié par -Bradley-

Tu veux dire qu'ils ne vont rien te rendre ?

C'est mal parti pour j'ai l'impression

.

Super-mario · 12/03/2013, 13h41

Citation :

Publié par Logredar

Bah justement un mdp long composé uniquement que de chiffre sera plus rapidement trouvé qu'un mdp plus courts avec des caractères plus complexes.

Donc plus long = plus sécurisé, c'est vrai que lorsqu'on précise qu'on utilise une variété de caractères étendue. Et c'est totalement faux quand on utilise une gamme basique du genre (0-9) ou (a-z) voir même (a-z 0-9). C'est pas pour rien que c'est marqué partout qu'il faut au moins un chiffre, une lettre et une alternance majuscule/minuscule. C'est pour taper dans la gamme (a-z A-Z 0-9).

Quoi qu'il arrive certains mdp long seront plus rapide à trouver que certains mdp court, en définitive la longueur ça ne suffit pas pour dire que c'est sécurisé, bien au contraire.

On peut voir la même chose en maths avec les systèmes de numération. Les nombres en binaires sont toujours plus longs qu'en hexadécimal et pourtant ça reste les mêmes nombres.

Exemple 15 en binaire c'est 1111 et en hexadécimal c'est F, donc au final en binaire c'est plus long mais au final t'as pas plus de combinaison avec 4 chiffres choisis entre 0 et 1 qu'avec un seul chiffre choisi en 0 et F.

En définitive c'est assez con mais une date de naissance du genre 17071984 tu la convertie en hexadécimal et t'obtiens 1047F70 et en binaire c'est 0001 0000 0100 0111 1111 0111 0000.

Dans tout ces cas tu n'as jamais la même longueur et pourtant ne nombre de combinaisons en partant de zéro pour arrivé au résultat c'est le même. La différence c'est qu'en binaire t'arrivera plus rapide à de long mdp qu'en hexadécimal.

Maintenant je ne pense pas que le hacker moyen s'intéresse au binaire car il ne doit pas y avoir des masses de mdp composés uniquement de 0 et de 1. Mais par contre des mdp composé uniquement de chiffre de 1 à 9, ou de lettre a-z il y en a plein et c'est les systèmes qui ont le bon compromis entre simplicité et abondance des mots de pass. Donc à mon avis avant de commencer par les tables ascii le hacker commence par les 0-9/ a-z. Ce serait stupide de commencer par le plus long et le moins rentable.

J'suis d'accord, mais entre un MDP de 9 caractères et un de 10 caractères, il faudra repasser toutes les combinaisons de 9 avec tous les caractères envisagés.

En fait, l'un ne va pas sans l'autre. Plus le rang est élevé, et plus la gamme a de l'importance, et plus la gamme est importante, plus la montée dans les rangs est utile.

Skeite · 12/03/2013, 13h47

Citation :

Publié par Carotte§

Mon interlocuteur du Support est trés correct.

Histoire que vous aussi rigoliez,
-Aucune connexion suspecte
-Mail partagé mais un seul compte concerné
-Maison pas vendue
-Autres serveurs de jeu du pas touchés

J'évoque poliment le thread de JoL concernant des soucis, il me dit que JoL c'est pas AG ça les concerne pas. Lors d'une seconde évocation, il m'explique poliment que même si 30 joueurs de RE sont dépouillés, face au total des joueurs ça ne représente rien (ok) et que de son expérience les 'hack' sont souvent du à des 'inadvertances' joueurs (ok). Je vais voir ce que donne mon mail, mais apriori on me dira rien de bien précis. Dans le meilleur des cas j'ai des excuses et on va m'assurer que les méchants ont eu le fessées, dans le pire des cas il va sous entendre que j'ai halluciné. ça ne serait pas la premiére fois, W&S

Edit: Flippez pas, m'enfin soyez conscient qu'il y a peut être un soucis. Perso je vais prendre un moment pour réfléchir à shielder mes comptes bien que ça ne soit qu'en béta. Au moins je serai pas obligé d'appeller pour raconter ma vie et avoir le droit de savoir s'il y a bien un soucis concernant les connexion de mes comptes au serveur (spour ça qu'on paie).

Moi j'le dis clairement que le support est incompétent par moment ( desolé pour le petit hs ), la preuve est là. Moi j'ai été victime d'un bannissement soi-disant utilisation de bot alors qu'on était à 2 sur 8 personnages ( on avait même pas filé les logs, chacun 4 personnages) en donjon incarnam. Deconnecté => banni. Le support tellement borné qui me sort '' ce n'est pas la peine de relancer le ticket, notre réponse ne changera pas ". En clair, nous on avait payé 1 mois d'abonnement x 8, 2 heures après on est banni. Pas con Ankama, y s'font du fric et bannissent, avec un peu de chance y'auras un pigeon qui réabonnera une nouvelle team

sayako · 12/03/2013, 14h22

Citation :

Publié par Super-mario

J'suis d'accord, mais entre un MDP de 9 caractères et un de 10 caractères, il faudra repasser toutes les combinaisons de 9 avec tous les caractères envisagés.

En fait, l'un ne va pas sans l'autre. Plus le rang est élevé, et plus la gamme a de l'importance, et plus la gamme est importante, plus la montée dans les rangs est utile.

je vais répondre également à la personne cité dans le message qui est celle qui a cité le mien

dans le cas d'un craquage de mdp le programmateur va limiter la recherche dans les caractéres accessibles pour créer un mdp, il ne se limitera pas aux chiffres s'il sait que l'on peut également mettre des lettres, et mettra aussi les majuscule si le mdp est sensible à la casse

dans ce cas là plus ton mdp est long plus il est dur à trouver

pour la table ascii elle contient toutes les lettres de l'alphabet anglais (donc pas de lettres à accent) en majuscule et minuscule, les chiffres et la ponctuation, les espaces retour chariot et autres <>() etc... sachant qu'il est extremement rare qu'on puisse utiliser d'autres caracteres pour un mdp c'est bien cette table qui est parcourue par le programme de brute force pour choisir les caracteres, en général dans l'ordre (en commencant par le premier caractere donc), et si on enleve les caracteres spéciaux ça commence donc par les chiffres (de 0 à 9) puis les majuscules et enfin les minuscules

donc comme les possibilités pour chaque caractères sont deja définies il faut un mdp le plus long possible pour être le plus difficile possible à craquer par bruteforce

citrow · 12/03/2013, 14h48

Ça me semble assez incroyable que le sujet dure depuis tant de pages, et que personne ne soit ici au courant que le brute force n'est pas possible sur dofus.

Sylphaen a expliqué depuis longtemps que lorsque un nombre de requêtes anormales sur un nom de compte sont envoyées à un serveur dofus, le compte est temporairement bloqué et il est impossible que le brute force aboutisse...

Le brute force c'est bien sympa pour trouver un mdp wifi, c'est un autre boulot lorsque on s'attaque à un serveur sécurisé.

J'ai en revanche lu quelques pages plus tôt qu'une attaque DDOS n'était pas à la portée du premier venu. c'est également faux, n'importe qui peut participer à une attaque DDOS, à l'aide de logiciels facilement disponibles depuis google, et sans aucune connaissance particulière.
Un exemple simple de ce phénomène, c'est la mouvance anonymous qui peut submerger de requêtes un site à l'aide de quelques dizaines d'ordis (et pas forcément de réseaux d'ordis zombies), et d'un logiciel libre de droit.

Donc faire le lien attaque ddos = hackeurs qualifiés qui en profitent pour voler des MDP, c'est n'importe quoi, ne tombez pas dans le panneau des gens qui veulent se dédouanner de toute responsabilité dans la sécurité de leur propre compte dofus.

Carotte§ · 12/03/2013, 14h54

Citation :

Publié par citrow

Ça me semble assez incroyable que le sujet dure depuis tant de pages

La même jusqu'à ce matin.

`Echoes Roi	[Modéré par GrosBenji ] Dernière modification par GrosBenji ; 12/03/2013 à 02h04.
12/03/2013, 01h23

workteam [LTOP] Empereur / Impératrice	Perso le shield est pas trop dérangeant en utilisation "normale" d'un pc, je l'ai utilisé depuis sa sortie sans aucun souci. Par contre après utilisation d'un vpn, le shield demande une authentification à chaque connexion
12/03/2013, 09h46

Bfx Bagnard	Même si tu bouges souvent, si tu joues sur portable ça passe, j'ai le shield depuis sa sortie et ça m'a jamais trop gêner.
12/03/2013, 09h48

Whale Alpha & Oméga	Citation : Publié par Lakamie temps de réponse lolol 24 heures maximum, ils sont réactifs pour ça. Et il suffit de le faire une bonne fois pour toutes, donc ça reste une meilleure solution que le VPN...
12/03/2013, 11h07

ElSma Roi	Whoaa sa fait un bout de temps que je ne postait plus rien ! Pour ma part je ne sais pas si c'est le fait d'avoir stoppé dofus depuis plus d'un an ou bien si c'est grâce au shield mais aucun de mes 4 perso stuffé ne s est fait hack lorsque j'ai regardé les pages perso.
12/03/2013, 11h07

Carotte§ [Promi]	Je sais pas exactement comme ça fonction et je lisais pas le thread. Mais mauvaise surprise sur un compte ce matin, alors qu'il n'a rien de différent des autres. 03 20 36 36 09
12/03/2013, 11h52

Bfx Bagnard	Ouais donc il y a bien un problème là, j'espère qu'il va être réglé rapidement !
12/03/2013, 12h19

Volpel Dauphin / Dauphine	Vous m'faites peur là, j'vais mettre mes item dans ma dd avant de deco moi
12/03/2013, 12h25

Super-mario [VaB] Alpha & Oméga	Plus long = plus sécurisé = faux. Plus de caractères possible = plus sécurisé = vrai. Sauf qu'on ne sait pas quelle table de caractères utilise le mot de passe, donc un mot de passe long prendra plus de temps à être brute force.
12/03/2013, 12h28

hoochie Alpha & Oméga	[Modéré par GrosBenji ] Dernière modification par GrosBenji ; 12/03/2013 à 16h33.
12/03/2013, 13h21

-Aphroditte- [HC] Alpha & Oméga	[Modéré par GrosBenji ] Dernière modification par GrosBenji ; 12/03/2013 à 16h33.
12/03/2013, 13h25

Carotte§ [Promi]	Depuis que je parle au Support, je n'ai jamais exigé qu'on me rende ce qui m'a été volé, seulement de savoir pourquoi ça merde chez eux. Mais j'ai ni l'un ni l'autre.
12/03/2013, 13h31

Logredar [LVLA] Alpha & Oméga	Citation : Publié par -Bradley- Tu veux dire qu'ils ne vont rien te rendre ? C'est mal parti pour j'ai l'impression .
12/03/2013, 13h34

Carotte§ [Promi]	Citation : Publié par citrow Ça me semble assez incroyable que le sujet dure depuis tant de pages La même jusqu'à ce matin.
12/03/2013, 14h54

Hack massif ?

Connectés sur ce fil