Anty hack system (tibia.com)

[mezowski86]

Witam,

Co sądzicie o systemie anty hackerskim, który sprawi że nikt nie włamie ci się na konto mimo, że będzie posiadał twój login i hasło?

Będzie to korzystać na takiej zasadzie, że prócz wpisania loginu i hasła będzie do wpisania tzw. security word (słowo bezpieczeństwa czy jak to cipsoft nazwie). Oczywiście będzie to opcjonalna usługa płatna lub nie i jedynie użytkownicy, którzy będą zainteresowani będą mogli ją włączyć na stronie tibia.com.

Na czym polega to security word?
Już tłumaczę, jeżeli zaznaczysz na tibia.com, że chcesz z tego korzystać to każdorazowo po włączeniu klienta tibii i wpisaniu loginu i hasła nie pojawią się postacie do wyboru, a security word.

Załóżmy, że masz security cod 14 znakowe to treści: MAKETIBIASAFE!

Dostajesz np. komunikat wpisz 3 literę security worda - wpisujesz K, nastepnie wpisz 8 literę security coda - wpisujesz I, następnie wpisz 1 literę security coda - wpisujesz M. Oczywiście to o jakie litery security coda zapyta serwer jest generowane losowo po każdej próbie połączenia.

Co wy na to? Czekam na komentarze i jeżeli ktoś ma pisać coś w stylu: przestrzegaj zasad tibia rules to nie zostaniesz zhackowany (co jest nie prawdą) to niech lepiej sobie odpuści.

pozdrawiam,
mz xD

[CingCiong]

Chwilę się zastanowiłem czy odpowiadać czy nie, czy to ma jakiś sens czy nie.
I doszedłem do wniosku, że większego sensu nie ma to i tak odpiszę:

Po co wprowadzać kolejne hasło(jakkolwiek wymyślnie je nazwiesz) jak i tak potencjalny haker (cracer czy inny matherfucker) i tak będzie to znał.
Jeżeli "ukradł" Ci numer i hasło t oco za problem zakosić kolejny ciąg znaków.

Myślę, że lepszym rozwiązaniem jest przeniesienie tibii na inną platformę, zaimplementować w innym języku (najlepiej gdyby był to oryginalny język Cipsoftu), lub coś innego co poprawi bezpieczeństwo i opiera się na jakimś innym zabezpieczeniu.

Podsumowując Twój pomysł nie ma większego sensu, ale fajnie, że podjąłeś jakąś inicjatywę

Pewnie ktoś wpadnie za jakiś czas, żeby odbywało się to przez SMSa, a fascynaci filmów SF, żeby sknować siatkówkę oka lub głębokość rowa.

[mezowski86]

Właśnie, że nie będzie znał twojego security word. Pomyśl chwilę, masz na komputerze keyloggera.

Wpisujesz login : login123
Wpisujesz hasło : haslo123

Wpisujesz 3 litere security world: K
Wpisujesz 7 litere security world: B
Wpisujesz 4 litere security world: E

cHacker dostaje na tacy takie coś: login123, haslo123, K, B, E.

Odpala klienta tibii, żeby się zalogować i dostaje wprowadź 7,2,12 literę security code - wprowadza K, B, E i nie wejdzie...

Jeżeli ma trojana z podglądem graficznym i akurat takiego farta, że jest online kiedy ty się logujesz i widzi jakie litery masz do wpisania to i tak on jak odpali klienta to będzie miał inne do wpisania, kombinacji jest za dużo, żeby mu się udało.

edit: Plusów tego rozwiązania jest bardzo dużo, jeżeli to zostanie wprowadzone to możesz iść sobie spokojnie do cafe pograć w tibie albo u kolegi. Potem wracasz do domu zmieniasz hasło, nikt cię nie ruszy...

[Vasudanin]

Już była taka propozycja. Została zbesztana. Z tą będzie podobnie, bo to w twoim interesie leży ochrona swojego konta, a nie CipSoftu.

[CytrynowySorbet]

Po 1: Jaki to problem dla crackera poczekać te kilka / kilkanaście loginów, żeby poznać znaki odpowiadające danym miejscom (keyloggery z zrzutem ekranu to już codzienność)?

Po 2: Jeśli zostałeś shackowany, to jest to tylko i wyłącznie twoja wina i Cipsoft nie musi, ba, nawet nie powinien, robić nic w tym kierunku.

[mezowski86]

Jeżeli serwer będzie sprawdzał 3 liczby security worda to kombinacji nie jest kilkanaście, a 999. Jeżeli 4 to kombinacji jest 9999, to jest liczba nie do przebicia jeżeli serwer czasowo banuje usera co ileś błędnych haseł.

Co do keyloggerów które robią zrzuty ekranów to widać nie znasz ich działania. Musisz być online, żeby widzieć co klient robi na ekranie i nawet przy dużym framerate widzisz pojedyńcze klatki. Większe możliwości daje program pisany specjalnie do hackowania tibii, ale ich jest strasznie mało. pzd

edit: Mylisz się, że cipsoft nie powinien robić nic. Jeżeli mają ambicje i mają się za dobrą firmę to powinni coś robić, żeby do próby hacków nie dochodziło. Ale widać ich zdolności programistyczne nie są duże. Jakby tym serwisem zainteresowała się dobra grupa hackerska to są wstanie skasować wszystkie konta i backupy na serwerze i macie tydzień gry z głowy.

[Edwardo]

Oni mają własne problemy typu DDoS. Ale zauważ, że wystarczy kg co spisuje znaki z klawiatury. Ma login i hasło. A na to kolejne hasło poczeka kilka dni i już ma wszystko.

[mezowski86]

Cytuj:

Oryginalnie napisane przez Edwardo

Oni mają własne problemy typu DDoS. Ale zauważ, że wystarczy kg co spisuje znaki z klawiatury. Ma login i hasło. A na to kolejne hasło poczeka kilka dni i już ma wszystko.

Edwardo: dla chcącego nic trudnego. Przy 9999 kombinacjach to nie kwestia kilku dni tylko raczej kilku tygodni/miesięcy. Do tego cipsoft może wprowadzić dłuższą blokade czasową jak ktoś będzie cały czas się źle logował. Jeżeli udało im się stworzyć skomplikowaną grę jak na amatorów to taka rzecz to dla nich pikuś, tylko widać nie widzą w tym zysku dla siebie...

[Lasooch]

Kombinacji możesz mieć i 1000000000, ale znaków masz, powiedzmy, 15, więc po parunastu/parudziesięciu loginach (+zrzut ekranu, żeby wiedzieć, która to dana litera) wszystko będzie jasne (już po pierwszym loginie będzie wiedział, że hasło wygląda np. **ke**b******, założmy, że w drugim wylosuje 1, 6, i 8 - m*ke*ibi*****). Po 5 dniach od wymyślenia systemu będzie keylogger idealnie rozczytujący to hasło (oczywiście po od kilku do kilkudziesięciu loginach postaci). Więc po co to?

Sam grałem od ~7.1 do ~8.3, nigdy nie miałem hacka. Bo nie jestem kretynem. Oczywiście jak ktoś profesjonalny będzie chciał, to Ci hasło i tak ukradnie, ale powiedzmy sobie szczerze - profesjonaliści nie bawią się w kradzież itemków w grze.

@down: wmawiaj sobie.

[mezowski86]

Inna sprawa, że bezpieczeństwo poprawi się znacznie. Możesz pójść spokojnie do cafe czy do kolegi pograć bez obawy o hacka. Problem jeżeli masz trojana na komputerze z podglądem graficznym? Ale przecież antivir takie programy wyłapie. Nie wyłapie jedynie prostych keyloggerów, a takie podglądu graficznego nie mają. Trudność i czasochłonność kradzieży haseł spowoduje, że hacków praktycznie nie będzie;-)

[Duch Niespokojny]

Cytuj:

Oryginalnie napisane przez Lasooch

Kombinacji możesz mieć i 1000000000, ale znaków masz, powiedzmy, 15, więc po parunastu/parudziesięciu loginach (+zrzut ekranu, żeby wiedzieć, która to dana litera) wszystko będzie jasne (już po pierwszym loginie będzie wiedział, że hasło wygląda np. **ke**b******, założmy, że w drugim wylosuje 1, 6, i 8 - m*ke*ibi*****).

No właśnie niekoniecznie. Keylogger musiałby przechwytywać nie tylko dane znaki, ale także ich pozycję w haśle.

[Rothes]

Cytuj:

Oryginalnie napisane przez Duch Niespokojny

No właśnie niekoniecznie. Keylogger musiałby przechwytywać nie tylko dane znaki, ale także ich pozycję w haśle.

Skoro klient gry musi w jakiś sposób poinformować użytkownika, których znaków oczekuje, to żadnym problemem nie będzie wyciągnąć tych danych z pamięci/przesyłanych pakietów.

Rozwiązanie ma jedną zasadniczą wadę, która z miejsca je dyskwalifikuje: zbytnio wydłuża czas logowania - przyglądałeś się kiedyś zachowaniu nałogowego gracza logującego się do gry po kicku? Byłby gotów pobić krzesłem pomysłodawcę takiego rozwiązania. ;-)

"Poważne" firmy (Blizzard) też nie stosują żadnych dodatkowych zabezpieczeń (no dobra, jakiś czas temu wprowadzili elektroniczne tokeny, ale wiąże się to z dodatkowym kosztem i na dobrą sprawę i tak nie znam nikogo kto by z nich korzystał) i jakoś to nikomu zbytnio nie przeszkadza. Wystarczy mieć łeb na karku. Niech się, nieświadome niebezpieczeństw czyhających w sieci, dzieci uczą na własnych błędach.

[mezowski86]

Właśnie dlatego ta funkcja będzie opcjonalna i będą ją włączać normalni gracze którym nie zależy czy zalogują się za 5 czy 15 sekund. Jak ktoś jest psycholem to zawsze może jej nie włączać.

[Vil]

Cytuj:

Oryginalnie napisane przez mezowski86

edit: Mylisz się, że cipsoft nie powinien robić nic. Jeżeli mają ambicje i mają się za dobrą firmę to powinni coś robić, żeby do próby hacków nie dochodziło.

Klasyczne metody hackerskie sa na tyle kosztowne i czasochlonne, jak rowniez wymagajace pod wzgledem umiejetnosci, zeby ktokolwiek na duza skale wykorzystywal je do wyciagania od ludzi plate setow w jakiejs trzeciorzednej gierce. Natomiast metody dziecinne (typu keylogerry) w 100% przypadkow dzialaja jedynie z winy poszkodowanego, z tytulu jego nieostroznosci lub swiadomego lamania regulaminu.

W zadnym z tych przypadkow nie jest winna firma udostepniajaca gre, w zadnym z nich nie ma zadnego, opartego na zdrowej logice jak i na rachunku kosztow, powodu, by robic cokolwiek w kierunku poprawy bezpieczenstwa. Malo tego, jesli lamiesz regulamin swiadomie, to w bardziej stanowczym wariancie powinienes tracic cala postac, a nie tylko to co pseudohacker zdecyduje sie z niej zabrac.

[mezowski86]

Mnie po prostu jako studenta informatyki denerwują rzeczy które są niezabezpieczone. Oczywiście doświadczonym użytkownikom nie grozi shackowanie konta, ale takie dzieci 12 letnie które grają w tibie są całkowicie bezbronne i tracą itemy na których zdobycie musieli włożyć dużo pracy. O nich powinien pomyśleć cipsoft i zwiększyć bezpieczeństwo.

[Erhion]

Cytuj:

Oryginalnie napisane przez mezowski86

Właśnie dlatego ta funkcja będzie opcjonalna i będą ją włączać normalni gracze którym nie zależy czy zalogują się za 5 czy 15 sekund. Jak ktoś jest psycholem to zawsze może jej nie włączać.

P kicku nawet normalni gracze chcą jak najszybciej się zalogować.

[Albertus]

Ja nigdy hacka nie mialem , ale bardzo bylbym zadowolony gdyby zwiekszyli bezpieczenstwo mego konta.


Dobre bylo by ze ktos moze se na stronce ustawic ze loguje sie tylko z jednego IP , a na zmiane tego czekalo by sie tydzien ( jak w mejlu) przynaimniej gracze ze stalym IP mieliby jakies zabezpieczenie.

[mezowski86]

Nie rozumiem ludzi którzy nie zgadzają się na poprawę bezpieczeństwa tibii nawet jeżeli te zmiany mają być opcjonalne. Same się nasuwają oskarżenia, że ktoś taki sam się trudni hackami i poprawa bezpieczeństwa nie jest mu na rękę.

[Vil]

Cytuj:

Oryginalnie napisane przez mezowski86

Nie rozumiem ludzi którzy nie zgadzają się na poprawę bezpieczeństwa tibii

nie rozumiem ludzi, ktorzy nie rozumieja, ze Cipsoft nie ma potrzeby inwestowania kasy w chronienie ludzi lamiacych regulamin.

[Lasooch]

Cytuj:

Oryginalnie napisane przez mezowski86

Nie rozumiem ludzi którzy nie zgadzają się na poprawę bezpieczeństwa tibii nawet jeżeli te zmiany mają być opcjonalne. Same się nasuwają oskarżenia, że ktoś taki sam się trudni hackami i poprawa bezpieczeństwa nie jest mu na rękę.

Jak dla mnie jedyny nasuwający się wniosek jest taki, że ci ludzie mają mózgi. A to, że ubędzie parę 12-letnich dzieciaków (plx fri itans), bo im p-set zniknie, to tylko korzyść - dla wszystkich.