|
Prophète
|
forum
Moi je voudrai simplement parler d'une cause possible du piratage des comptes.
Sur le forum officiel il faut s'identifier via son login et son mot de passe de son compte sur dofus. Alors peut être que la source du piratage vient de là et pas du jeu en lui même. Surtout qu'il me semble, que ces problèmes sont apparus peut après la remise en service du forum. En effet pendant toute la période où le forum officiel n'était pas en service, il n'y a eu aucun probleme de piratage (ou alors personne n'en a parlé). Peut être qu'il faudrait songer à réfléchir sur cette piste... |
08/11/2004, 15h19
|
Probleme De Securite Dans Dofus
| Suivre |
|
|
Partager | Rechercher |
|
Prophète / Prophétesse
|
Je tiens à vous remercier les dev pour leur diligence, en effet dès la fin de matiné vous aviez une réponse à me fournir.
il est important pour ceux qui s'amuseraient à hacker des comptes qu'ils ne restent pas impunis, Dofus est un jeu pas un défis d'apprenti haker, les dèveloppeur travaillent dure pour apporter toujours plus d'intêret à ce jeu, et c'est parceque j'aime ce jeu que j'étais en colère et vexé, d'avoir été 1 hacker mais aussi mal entendu par certain de cette communauté. je crois que ce post est clos.... |
|
08/11/2004, 15h48
|
|
Prophète
|
Citation :
 ) je plaisante.
|
|
08/11/2004, 19h12
|
|
Prophétesse
|
Ashitaka,
J'ai pris le temps de lire tout le thread, c'est long ! Tu peux nous dire (en condensé) ce que t'on répondu les devs ? Je comprend la blessure engendrée par la perte de tes persos. Seulement, les devs pourraient voir si l'IP utilisée pour supprimer tes persos est utilisée sur un autre compte... Bon courage !!! Coucouille |
|
08/11/2004, 19h17
|
Alpha & Oméga
|
le truc de la récupération du mot de passe en essayant tout les mdp possible, je n'y crois pas, c'est impossible. je m'explique : (!unpeudemathinside!
 maisfacileayezpaspeur...)Un programme ne prendra pas tout les mots existants, mais n'imprte quelle chaine de caractère. et puis, prendre un mot existant tel quel n'est pas très prudent. Donc la plupart des gens prennent un mdp, qui, tel quel, ne veut rien dire. meme deux mots collés, etc... ca ne veut rien dire tel quel. 26 lettres d'alphabet, plus 10 chiffres. 36 possibilités pour chaque caractère. Ne prenons que les mdp de 6 lettres : ca nous donne 36 puissance 6 possibilités pour les mdp (cf : probabilités, chapitre 5  )36 ^ 6 = 2176782336 on va dire que le temps de répose du serveur est de 2 secs en moyenne pour vérifier la connection 2176782336 * 2 = 4353564672 secondes. Soit environ 72559411 minutes , soit 1209323 heures, soit 50388 journées, soit 138 ans !!!! rien que pour les mdp de 6 lettres ! Courage, et prévoyez 138 ordinateurs, histoire de ne mettre qu'un an, pour récuperer une épee du puissant chevalier Alors ne prenez surtout pas un mdp d'un seul mot. composez avec différents mots. en tout cas, la faille doit etre ailleurs... |
|
08/11/2004, 21h11
|
|
Prophète
|
c les admin d'ankama qui plume les gens! non non je plaisante biensur
quoie que ... lol je sais pas d'ou ca vient cette faille mais je sais que si je me fais hacker mon compte et que on me rends pas aumoins mes perso ben bye bye dofus. |
|
09/11/2004, 00h22
|
|
Prophète
|
Moi aussi j'avoue être inquiet sur le fait que l'on s'identifie sur le forum officiel de la même façon que sur le jeu en lui même.
J'aimerais d'ailleurs savoir si la victime de ce vol de compte a déjà posté sur le forum officiel de Dofus. Sinon il est clair que plus le jeu sera populaire et plus les tentatives de vol de comptes seront nombreuses. |
|
09/11/2004, 09h11
|
|
Prophète / Prophétesse
|
Citation :
en parlant a la personne avant de la hacker , tu peut apprendre beaucoup de chose sur ses gouts et couleurs ... et comme les gens utilise souvent un mot de passe en relation avec leur vie , il deviens aiser pour des petits malins de trouver les mpd. moi mon mot de passe et une succession de chiffre et de lettre |
|
09/11/2004, 10h19
|
|
Prophète / Prophétesse
|
Coucou tous le monde bonne nouvelle Ashitaka est de retour parmi vous....Grâce à la réactiviter et l'efficacité des dev tout est rentrer dans l'ordre...Toma et les autres je vous remercie et compte sur vous pour me tenir au courant du dénouement de l'énigme, sur ce je vais aller faire un petit tour dans la contrée.
|
|
09/11/2004, 11h51
|
|
Prophète / Prophétesse
|
je souhaiterai repondre à bjornF, non pour donner un coup de pousse au hackers, mais pour donner envie aux users d'utiliser un mdp de plus de 6 lettres et avec au moins un caractère spécial dedans genre $ = ou _ ou | ...
pour la simple raison que, lors du "contest" "piratez dofus" lancé à la fin de la béta pour tester la sécurité, j'avais fait le même calcul que bjornF et j'arrivais à peu près à la même conclusion... mais c'est en considérant 1 seul test à la fois... sachant que le nouveau serveur est concu pour "encaisser" des milliers de connections, il devrait pouvoir répondre à des milliers de tentatives de connections... à la même seconde... ça explique certains lags soudains ... certaines déconnections massives... oui il doit bien y en avoir qui "brute forcent"... en effet, seulement 1000 process qui testent un mot de passe à 6 lettres sur 1 seule machine, c'est possible.... même 10 000 ... il n'y a qu'une petite requete HTTP à envoyer... toute petite , quelques octets... le hacker est donc limité par sa bande passante... mettons 16Ko/s en envoi (adsl classique), ça doit bien autoriser d'envoyer disons allez 5000 requetes seconde, 10 000 toutes les 2 sec... on tombe à 5 jours d'attente pour trouver un mot de passe à 6 caractères. si mes calculs et approximations sont justes... à bon entendeur, changez de mot de passe ! |
|
09/11/2004, 12h15
|
|
|
Une tentative de 'brute force' serait longue et très peu discrète...
Nous analysons nos Logs régulièrement et nous bannissons des dizaines de compte tous les jours. Un programme nous permet de retrouver facilement la totalité des comptes (gratuit et payant) d'une personne à partir de son IP. Pour les actions plus grave nous contactons directement la personne et nous nous réservons le droit d'entamer des poursuites en justice. Je peux vous affirmer que le crime ne reste pas impuni sur Dofus .
|
|
09/11/2004, 12h28
|
|
Prophète / Prophétesse
|
heureux de le lire, je ne cherche pas dutout à vous coincer, mais, que faire si :
le pirate n'utilise pas son ip pour tester un mdp mais un serveur web publique (genre un compte free). php suffit pour faire ça... et qu'il ne fais pas son brute force sur le jeu, mais sur le forum de www.dofus.com ?. |
|
09/11/2004, 12h35
|
|
|
Utiliser un serveur publique ne rend pas la personne anonyme pour autant, nous avons déjà fait fermer un site web chez free en contactant l'hébergeur, qui nous à aussi donner les IPs et les informations personnelles de la personne.
|
|
09/11/2004, 12h41
|
|
Alpha & Oméga
|
En effet depuis la dernière lois sur l'informatique et les libertés voté par le parlement français l'année dernière, ce genre de procédure est légale (on peut penser que c'est à la limite de la légitimité, mais c'est un autre débat).
Par ailleurs il existe un moyen infaillible pour noter son password sur son PC sans qu'on l'y retrouve : il suffit de l'écrire sur un post-it collé sous le clavier !Enfin je viens d'avoir une idée à creuser : pourquoi ne pas avoir 3 mots pour accéder au jeu : - 1 login non dévoilé dans le jeu - 1 mots de passe classique - 1 nom de compte qui est dévoilé au yeux de tous mais qui ne sert à rien pour se connecter ? |
|
09/11/2004, 13h04
|
|
Bagnard
|
helas les crackers utilisent des proxies qui peuvent etre totalement anonymes et intracables alors pour bannir ceux la ca sera pas facile
 j'en avais parlé je crois mais lors de la creation de compte faudrait vraiment insister sur la recommandation de prendre un mot de passe de folie genre "9d5g4s2fd4fus27" 
|
|
09/11/2004, 13h09
|
|
Alpha & Oméga
|
A moins d'utilisé des masses de socks et des ordinateurs zombies y'a pas moyen , donc c'est pas l'informaticien du dimanche qui va trouvé vos mot de passe par bruteforce online
|
|
09/11/2004, 13h57
|
|
Prophétesse
|
Pour revenir a ma question ...
Comment s'est terminée ton histoire ? - Tu as récupéré tes persos - Tu as récupéré tes items - On a pendu le hacker par les c..... au milieu de la place du village .... Merci Coucouille |
|
09/11/2004, 18h52
|
|
Prophète / Prophétesse
|
Citation :
Ashitaka une belle plante heureuse de revenir dans la contrée....
|
|
10/11/2004, 08h35
|
|
Alpha & Oméga
|
Ravie que tu ais put tout récupérer, Ashitaka.
J'espere que ta mésaventure montrera a tous que les devs font bien des efforts contre le piratage de comptes ^_____^. |
|
10/11/2004, 11h19
|
|
Prophète / Prophétesse
|
CLAP CLAP pour les dev
|
|
10/11/2004, 11h29
|
|
[VaB]
Alpha & Oméga
|
Oui je suis très content que tu ai récupère tes perso
 Merci aux devs ,vous avez fait du beau travail  (je suis même étonné par la rapidité )Je pense que tu dois être plus que contente Ashitaka ,je me trompe ? ^^ |
|
10/11/2004, 11h36
|
|
La rapidité est normale, vu que là, c'était un cas d'école (réponses négatives à toutes les questions et c'était a priori vrai)... si vous saviez le nombre de personnes qui nous contactent pour un vol en nous affirmant qu'ils n'ont jamais au grand jamais donné leur mot de passe et qui ensuite s'avèrent qu'ils l'ont donné ou qu'ils n'ont pas pris de mesure pour le protéger.
En l'espèce, c'est particulier. Le voleur n'a en fait rien volé, il a juste supprimé tous les persos. On l'a identifié (il est chez Noos). Je tiens à rectifier un post de Yamato, le site que j'ai fait fermé était chez lycos (il prétendait changer l'apparence de vos persos, mais en fait c'était un programme qui sauvegardait votre mot de passe Dofus). A ce sujet, bravo Lycos pour la réactivité. Je touche encore du singe (Tot, viens ici), mais je vous confirme et vous assure que rien ne nous laisse à penser aujourd'hui que la sécurité ait été prise en défaut depuis la sortie du jeu. Je ne peux donc que vous rappeler les consignes : - NE DONNER A PERSONNE VOTRE MOT DE PASSE - Choissez-en un qui ne soit pas du genre : 0000 ou password - N'utilisez pas ce mot de passe sur d'autres sites, forums ou services - N'utilisez pas les programmes relatifs à Dofus, mais non distribués ou reconnus par Ankama. - Changez-en souvent (surtout si vous avez l'habitude de vous en servir dans des lieux publics). - UTILISEZ BIEN LA FONCTION DECONNEXION en fin de jeu (quelqu'un pourrait se connecter après vous si vous utilisez la version zippée, la version updater n'est pas concernée). |
|
10/11/2004, 11h50
|
|
Prophète / Prophétesse
|
bin moi ,je voulais juste dire que trouver des mdp compliqué, oui c'est bien, mettre 3 mdp au lieu d'un seul, oui ok...mais il faut savoir qu'il est très simple d'implanter sur l'ordinateur d'un internaute, un programme enregistrant chaque touche qui est appuyée sur le clavier et qui envoye les données a l'aide d'un spyware à la gentille personne qui vous as placé ce petit programme....donc si votre pseudo sur dofus est par exemple chapeau^rouge et que le pirate recoit ce texte : chapeau^rougehjkir564fds que le mdp soit compliqué, en 1, 2 ou 3 mots, pour lui c'est très facile à savoir. DOnc je répète que pour moi la meilleur chose est de mettre dans le jeu une confirmation de suppression de perso, c'est à dire de ne plus y jouer avec pendant 48h a partir du moment ou la demande a été faite, si c'est le cas, la suppression est annulée.
de plus, un firewall, un antivirus c'est bien gentil mais ca sert à une chose la plupart du temps, à ralentir le PC et à crèer un max de problème. Le seul truc que je trouve un peu valable pour le moment est Zone alarm security suite. Le reste ne sert à rien, après 10 min que norton ou un firewall est allumé, le pirate a trouver comment le contourner... la solution elle est d'analyser son pc régulièrement à l'aide d'antivirus online, mis à jour très régulièrement, d'installer un ou deux programmes anti-spyware, de formater régulièrement son pc et de rèflèchir un peu par soi même...C'est à dire se demander pourquoi ma connection envoye et recois des données alors que je ne fais rien sur le net...faire des recherches google sur les programmes qui ne vous dise rien et qui utilisent le CPU... En ce qui concerne la recherche par IP, je voudrais savoir comment vous faite avec les IP changeants? je pense pas qu'il soit compliquè de changer toutes les 30s et moins d'IP. y - a - t'il un lien entre eux? je suis sceptique... Ceci dit, Ecoutez tous les devs et ne mettez pas de MDP facile, ne le donnez pas et ne l'ecrivez pas sur un fichier word...pour le reste bin priez lol. merci, tcheu |
|
11/11/2004, 02h01
|
| Suivre |
Connectés sur ce fil1 connecté (0 membre et 1 invité)
Afficher la liste détaillée des connectés
|