KERESÉS
RECRUIT - aki keres talál
A Tribe Called Quest @ Arathor
Ha kulturált vagy, itt a helyed!
A Tribe Celled Quest @ Arathor
Healereket és dps-eket keresünk hc progress-re!
New Moon @ Ragnaros
Klánunk Mythic Raidekre keres megbízható játékosokat!
Shattered Legends @ Arathor
Hétvégi Guildünk keres Legion-re aktív PvE orientált játékosokat!
+ új recruit beküldése
topik Loot
 Sziasztok!Valaki eltudná magyarázni nekem részletesen mi is a lootolás lényege? Nem tudom felhúzni a karakterem ilvl-jét. Pedig elég sokat játszok, de egyszerűen nem ad be új cuccokat!
Perseus - 1064 napja
topik wow_ft_32705
wow_b_32705
qinqshuh - 1131 napja
topik wow_ft_32704
wow_b_32704
Samantha Fraser - 1133 napja
topik wow_ft_32703
wow_b_32703
Samantha Fraser - 1133 napja
topik wow_ft_32702
wow_b_32702
Samantha Fraser - 1133 napja

lilwolfy A Blizzard Authenticator bemutatása
lilwolfy - 4389 napja
25
Mivel végre sikerült megrendelnem a várva várt Blizzard Authenticatort, gondoltam írok már arról, hogy mi ez, és miért is jó nekünk. Geek vagyok, szóval lehet, hogy kissé túlságosan belebonyolódom a technikai részletekbe, ezért előre is elnézést kérek Eye-wink

Miért?

Az accountodat alapvetően a login név, és az ahhoz tartozó jelszó védi. Ez a lehető legegyszerűbb, klasszikus autentikációs módszer. Nem is lenne vele baj, ha a WoW nem szerzett volna világ szerte 10 millió előfizetőt, és így egyre jobban felkeltette a rossz fiuk érdeklődését. Ott tartunk, hogy jelenleg célzott támadások folynak az MMO-k ellen, és köztük is kiemelten a wow ellen. Ezek főképp Keyloggerek, phishing levelek.

Nap mint nap találkozunk itt fórumon esetekkel, hogy kompromittálódott egy account,  szóval a probléma nagy, és valós. Ha ellopták az accountodat, megeshet, hogy hetekig nem jutsz hozzá a szeretett karaktereidhez. Ha pedig még a titkos kérdésedre se emlékszel, (mint ahogy kb 90%-nk nem), akkor, - hogy egy klasszikussal éljek - "Well my Friend, you are quite screwed...", magyarul megszívtad, mint a torkosborz.

Hogyan?

Az Authentikátor kiegészíti az alap hitelesítést, egy plusz kóddal. Ellenben a neveddel, és jelszavaddal, amiknek a gyengeségüket pont a statikus voltjuk adja (ezért ajánlott titokban tartani még az account nevet is), ez a kód dinamikusan változik, X percenként újra generálódik valamilyen meghatározott algoritmus alapján. Ennek alapja valamilyen titkos kulcs, ami be van égetve az eszközbe, illetve nyilvántartják a Blizzardnál is. Az eszköz azonosítója alapján lehet tudni, hogy az adott időpillanatban éppen milyen kódot mutat. Ennek a kódnak a kitalálás a kulcs nélkül, lehetetlen, még brute forceval is, mert egy kód túl rövid ideig él, nem lehet végigpörgetni rajta a lehetséges értékek töredékét sem.

Mivel?

Lássuk a konkrét kütyüt. Ez egy Digipass Go 6, a Vasco cégtől. Ez hat számot használ, amit a Vasco DIGIPASS nevű algoritmusával számol az idő, és a titkos kód alapján. Ha jól vettem ki a szűkszavú leírásból, az kódot vagy DES (a létező leggyöngébb), 3DES (ez pont háromszor erősebb a DES-nél;)), vagy AES. Hogy pontosan melyiket használják, arrol nem szól a fáma, de én merem remélni, hogy az AES-t, ami a jelenleg elérhető egyik legerősebb, szabványos szimmetrikus titkosító algoritmus.

Igazándiból ez valójában nem is érdekes, ugyanis az algoritmus kódját két helyről lehet megszerezni. Vagy ellopják a kütyüdet, szétszedik, kiolvassák a kódját, és visszafejtik, (Ez értelemszerűen hülyeség, hiszen ha valaki ellopja, minek akarná szétszedni Eye-wink) vagy a blizzard authentikációs szerverét törik meg, és onnan szerzik meg a fent említett algoritmusokkal titkosított kulcsot.

Ez valóban egy lehetséges forgatókönyv, de vajon megéri e kivitelezni a támadást. Feltételezhetjük, hogy az alkalmazott VACMAN (vagy IDENTIKEY) szervereket megfelelően védik, de ha be is jutnak szereznek egy kódot, amit felhasználónként kell visszafejteni. Ez a visszafejtés DES esetében pár óra, 3DES esetén pár nap, AES esetén párszáz év találgatással. Szivárványtáblával gyorsabb lehet, de utánanéztem, hogy a szükséges táblaméret: 3.06499108 * 10^54 Yottabyte (1 Yottabyte: 1000^8 byte. Viszonyításul, 1 Giga byte az 1000^3 byte), és többszöröse, mint az internet jelenlegi mérete.

Természetesen a generált kódból, és az időpillanatból sem lehet következtetni az eredetire, mert ez az algoritmus egyirányú, nem visszakövethető.

És ha tönkremegy?

A kütyü szétszedhetetlen, nem egyszerű hozzáférni a belsejéhez, épp ezért elemet se lehet benne cserélni. Félni nem kell azonban, mert a gyártó szerint az elem várható élettartama 7 év. Leírás szerint garantáltan túl él egy méteres zuhanást (tehát valójában sokkal többet is), vízálló (1 méter mélységben 30 percig, de ez nem is búvá óra), elvisel 4KV, közvetlen, és 8Kv, légi (villám) elektromos kisülést. Mozgó alkatrészei nincsenek, szóval jól tűri a dobálást, remegést. Elpusztíthatatlanabb, mint egy csótány.

Végül.

Ezek ismeretében láthatjuk, hogy ez az egyik legjobb elérhető védelem az accountunkhoz, és mindenkinek ajánlott beszereznie egyet. (Főleg, ha nem emlékszel a titkos kérdésre) A titkos szám bepötyögése kevesebb fáradtság, és stressz, mint egy ellopott jelszó miatti két, három hét wowtalanság, és tengernyi levelezés az account supporttal.
Miért, eddig nem tudtad? o.O Sticking out tongue
Vegyünk egy hasraütős példát.

Valaki kinézi magának a karidat. Kideríti, melyik guildben vagy, és megnézi a guildfórumot / honlapot. Megnézi, hogy ott milyen néven regisztráltál, msnedet, emiledet. Ezekből már tippelhet az account nevedre, de ha akar direkt támadást is indíthat ellened, msn-el, vagy e-mailla.

Sose becsüljétek le a Social engineeringet! Eye-wink

Röviden mondva, igenis elképzelhetőek a célzott támadások (és nem is túl nehezek), de főképp a vak pecázás megy.
De jó most már tudom, hogy használjam a sajátom. Köszi! Smiling
amugy az account fel törések ugy mennek h a kis hacker ficko ki választja a neki meg feleő karit ami teszem azt full pvp/raid gearben van és azt mondja h neki ez kell vagypedig csak egyszerüen szimpla véletlen h melyik acccot töri fel?..mert ha az első akkor sztem egyenlőre nekem nem kell ilyen védő eszköz:D
Valóban hiányzik, oops Laughing out loud

Ja van benne vmi. De én elképzeltem azt az anyázást amikor pl a kis teső lehúzza a WCn xD.. meg a vele járó rumlit. Smiling
 Azért messze kisebb rumli az, ha elhagyod a tokent, mint ha feltörik az accod. Mivel az igaz, hogy ugyanannyit kell levelezni blizz-el mindkét esetben, de elhagyott token esetén ha sikerült megoldani a dolgot, akkor ott vár minden karaktered minden cuccával, ellenben ha feltörik, akkor még plusz körök, hogy a cuccokat és karaktereket is visszakapd.

Amúgy a cikkből a "Az accountodat alapvetően a login név, és az ahhoz tartozó jelszó." mondatából nem hiányzik egy ige? Smiling
Jóvan én csak abból indultam ki, hogy az ember nap mint nap elhagy dolgokat. Máraki persze.... Smiling
És akkor hasonló rumli van mintha ellopták volna.
Ergo aki el veszt mindent ne vegye ilyet. Laughing out loud
Akkor hasonló az eljárás, mint az elveszett jelszónal. Levelezni kell az account supporttal, fénykép a személyiről, az eredeti játékról, és meg kell adni a kütyü IDját.

Jelenleg csak a wowhoz használt az authenticator, de technikailag semmi akadálya, hogy kiterjesszék a többi Blizzardos szolgáltatásra is.
#16 | vizoo válasza #15
A dolog lényege, hogy ne veszítsd el. Ha mégis megtörténik, akkor abban az esetben nem leválasztani kell az accountodról, hanem szépen felvenni a kapcsolatot a Blizzard Billing & Account supporttal és hosszas adategyeztetéses mizéria után "leválasztják" neked. Gondolom én Smiling

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
Impresszum, jogi nyilatkozat | Kapcsolat
World of Warcraft is a trademark and Blizzard Entertainment is a trademark or registered trademark of Blizzard Entertainment in the U.S. and/or other countries.
wow.lap.hu | mmorpg.lap.hu | Computerworld.hu | PCWorld.hu | GameStar.hu | VideoSmart.hu