Plus de sécurité pour les comptes :]

Répondre
 
Partager Rechercher
Citation :
Publié par HPMAN
De toute façon 30s c'est largment suffisant pour faire un login, si en face c'est automatisé.

Donc validité 30s ou 2 semaines ca change quoi? Absolument rien.
De toute façon, c'est pas le temps de validité du mot de passe où est le problème, c'est entre le siège et le clavier le problème.
Virez la personne et bizarrement, le compte sera pas piraté .

Si tu as lu au dessus, le mot de passe est valide 20 min après qu'on est généré le mot de passe sur notre token, une fois connecté, ce mot de passe est mort, enterré , kapout !

Comme a dit buldom, le seul moyen est de faire planté Playonline avant la connexion sur les serveurs de SE voir même de modifier le fichier host et le chiffrement du mot de passe de Playonline pour directement faire une fausse connexion sur un serveur illégitime avec le mot de passe en clair.
Lien direct vers le message - Vieux 25/08/2009, 17h07
Citation :
Publié par Buldom
En gros, si je comprend bien la chose, tu clique sur le token, tu prend un numéros. 15 minute plus tard, tu decide de démarrer pol pour te connecter, tu entre le code que tu a eu 15m plutot et ca fonctionne toujours? Si c'est le cas, le token ne sert pratiquement a rien en fin de compte.
Cela fonctionne comme çà oui.

Et non le token ne sert pas a rien, de toute manière si un "hacker" arrive a faire en sorte que ton PoL ne puisse pas se connecter (pas besoin de le faire crash, il suffit de bloquer l'accès aux serveurs d'authentification de SE (tout ce que tu verras c'est une erreur réseau (comme lors des update/maintenance)), bien 30 secondes suffisent au hacker pour se log a ta place.

Généralement tu vas faire une tentative => le hacker est alerté.
Ta tentative fail => tu recommences, le hacker entre le mot de passe rapidement et voilà. 30sec ou 30minutes c'est du pareil au même au final.
Lien direct vers le message - Vieux 25/08/2009, 18h10
Bon là y'a quand même de quoi s'inquiéter.

Un pote s'est fait hack hier. "Heureusement" il a pu faire bloquer le compte via un call GM sur le compte de sa meuf très vite et a récupéré son compte mais avec 0 tune et 0 item buyable. Il ne lui reste que ses R/E. Un recovery est en cours.

Le truc inquiétant c'est :
-Il joue sur mac, machine virtuelle qui ne sert QUE à faire tourner FF (il accède au net via autre PC ou via mac régulier, mais quand sous machine virtuelle il n'y a vraiment que l'application "FF" qui ait jamais tourné)
-Il n'avait pas tapé son password depuis plus de 6 moins (enregistré et ne le tape jamais. PW qui est unique par rapport à ses autres comptes de mail & co)
-En terme de sécurité ses PC ont tjrs été parfaitement safe et je suis certain que son mac l'était tout autant.

Enfin, je ne sais pas si il utilisait encore son token ou si il l'avait désactivé et je ne sais pas si le hack s'est fait suite à un plantage pol. Quoi qu'il en soit c'est quand même vraiment surprenant et ce serait pas mal de trouver l'origine de la faille assez vite que les gens puissent se protéger en conséquence :/
Lien direct vers le message - Vieux 01/09/2009, 09h57
Faille interface chaise-clavier launched !

On enregistre jamais son mot de passe surtout sur une machine virtuel où les failles ne sont pas comblées
Vraiment chercher le bâton pour se faire battre que d'enregistrer son mot de passe.
Lien direct vers le message - Vieux 01/09/2009, 10h29
Soit, Kyuuki ; mais aller trouver, puis décrypter, un pass enregistré sur une machine dont l"OS de base n'est pas du tout le même que celui de la majorité des joueurs, et qui est en plus réputé bien plus fiable, c'est quand même du hack de qualité.

Question, Phonios :

Fait-il (lui aussi) partie des gens qui affichent leur fortune dans ffxiah, ou un autre site du genre ? Genre, j'ai un KC, un snipper+2, Wood 103, 48 bazillons en liquide, etc ?
Lien direct vers le message - Vieux 01/09/2009, 19h31
Accessoirement quand on a un token, on est obligé d'enregistrer ses pass.

[edit pour en dessous: bah vi, vu que l'un des deux est un "one time" et l'autre va de paire, fatalement].
Lien direct vers le message - Vieux 01/09/2009, 19h42
Pour le moment la plupart des derniers cas de hack sont dû a cause du phishing, les gens victime ont visités une copie du site PoL et ont entré login/pass ici :< Et apparemment c'est automatisé, car certains rapportent qu'ils se sont fait déconnecter a peine 1 minute après avoir entré leurs infos sur le faux site.

Quant aux mots de passe enregistrés je croyais que c'était impossible pour le compte SE ? (+ il reste la token).

Citation :
Fait-il (lui aussi) partie des gens qui affichent leur fortune dans ffxiah, ou un autre site du genre ? Genre, j'ai un KC, un snipper+2, Wood 103, 48 bazillons en liquide, etc ?
J'y crois vraiment pas a çà, je ne pense pas que les RMT n'ont que çà a faire de cibler leurs victimes. Le principe de ce genre de mode d'action c'est de viser une masse, et dans la masse il y a toujours ne serais-ce que 2-3% d'utilisateurs vulnérables/qui mordent a l'hameçon. Exactement comme tout le phishing ou détournement d'information en général. On fait un truc de qualité médiocre (leur copie du site SE est vraiment médiocre, leurs spam /tell IG en se faisant passer pour un GM est médiocre, leurs virus~troyens sont médiocres), mais çà suffit toujours a en attraper quelques uns.

Et puis des dizaines de joueurs affichant "ouvertement" leur richesse ne se sont pas fait hack aussi.
Lien direct vers le message - Vieux 01/09/2009, 20h21
Reste le mystère à résoudre des gens qui sont pas assez bête pour aller rentrer leurs pass sur un site inconnu mais qui se sont quand même fait hack.

Le souci (via PC là je parle), ce serait déjà de trouver si l'infection atteint le PC en lui même et quel fichier est concerné, parce que pour le moment, ça patauge pas mal comparé à la dernière vague de hack.

Sinon oui, j'ai édité mon message plus haut mais je parlais bien entendu des pass POL, une fois le token activé, on est obligé d'enregistrer ces derniers pour pouvoir se log. Kyuuki va t'acheter une chèvre.
Lien direct vers le message - Vieux 01/09/2009, 20h26
Ben ok, Antipika. Sauf que dans ce cas on a affaire a priori a un type qui prend soin, quand même : 1 pc séparé pour www, une machine de base pas Windows. Ca me parait un peu fort, justement, d'aller pêcher ce 1/°° d'utilisateurs, au lieu de s'attaquer aux autres plus nombreux ?

Je veux bien qu'un virus dédié FF de mauvaise qualité passe une machine XP pas à jour ; mais comment il arrive sur une machine Mac qui émule window et qui en plus ne navigue pas (et qui donc en particulier ne va pas sur le site PoL, et donc pas sur une copie de ce site) ?

Déjà, faut aller sur le site en question ; pour y faire quoi (je veux dire quand on n'est pas rédacteur JoL, y a quelque chose la bas ? ) ?
Ensuite, faut y aller avec ses comptes/pass ; pour quoi y faire, encore (même rédacteur JoL, tu password pas) ? Pas le site interdit de linkshell communauty, quand même ?
Enfin, faut pas aller sur le bon, tout en ayant la bonne url. Moui ... un patch de notre fichier hosts, une magouille dans nos routeurs, ou n'importe. Ca par contre, je vois bien l'effet hack.
Mais les deux premiers, ça me paraît être gros.

Et puis, faut intercepter en bloquant la connexion le one-time password ; s'en servir rapidement. Mais alors pourquoi ne pas aussi intercepter le pass du compte SE ? Ca aussi, ca me parait gros.

Par contre, si quelqu'un a désassemblé le générateur de one-time du token, alors là ...
Lien direct vers le message - Vieux 02/09/2009, 00h34
En même temps tu n'as aucun moyen de vérifier la véracité de ces informations. Il y a pas mal de gens qui par honte ne vont pas dire qu'ils ont fait telle ou telle connerie... (de l'achat de gils, a se faire own par a cause d'un phishing, un logiciel tier, une autre machine infecté sur son réseau local + router configuré n'importe comment). Il y a forcement eut une faille de l'utilisateur quelque part et une faille grossière car les RMT ont pas le niveau pour attaquer n'importe qui. Après il est aussi possible que l'on soit passé a côté de la faille (cela arrive a tout le monde, on ne vérifie pas tout les matins si son plugin flash est a jour par exemple :<).

Après je dirais pourquoi je suis pas encore hack alors (même question pour 99% des autres joueurs) ? Et j'ai pas 50 firewall ni 19 antivirus. J'utilise le logiciel commercial le plus connu, le firewall de ma *box (comme presque tout le monde, c'est configuré par défaut maintenant), firefox et voilà.

Citation :
Par contre, si quelqu'un a désassemblé le générateur de one-time du token, alors là ...
...il s'attaquerait a autre chose ou aurait déjà un emploi pour la NSA. Mais techniquement de toute manière c'est impossible. Il n'y a même pas de supposition a avoir de ce côté là.

Y'a pas 30 possibilités : soit c'est la faute de SE ou de l'entreprise qui commercialise la token (faille majeure de leur côté, base de donné piraté, fuite interne, j'en passe...). Mais là on est d'accord on serait -tous- exposé, sans exception, donc il n'y aurait pas juste quelques cas sporadiques de hack. De plus SE/VASCO ne pourrait pas le dissimuler (cela influerai indéniablement leur cours en bourse, on ne peut pas rigoler avec çà, serious business quoi ).

Soit c'est la faute de l'utilisateur.

Le 3ème option : un hacker de renommé international a piraté a mon système, il m'a choisit moi comme victime car j'avais pour $3,000 de gils sur moi alors que son talent pourrait lui rapporter 10,000 fois cette somme, c'est bon pour hollywood tout çà. Sérieusement un personne est capable de casser un dispositif pareil, je l'embauche de suite.

Citation :
Le souci (via PC là je parle), ce serait déjà de trouver si l'infection atteint le PC en lui même et quel fichier est concerné, parce que pour le moment, ça patauge pas mal comparé à la dernière vague de hack.
Il faudrait que les personnes infectés "prêtent" leur PC a un utilisateur un peu plus expérimenté pour essayer de trouver l'origine du problème oui :s
Lien direct vers le message - Vieux 02/09/2009, 01h34
De toute façon c'est pas bien compliqué, on a encore jamais vu un compte se faire réellement "hack". Tout à toujours tourné sur l'interception des mots de passe, et tout de suite avec le mot de passe, c'est plus vraiment du hack
Lien direct vers le message - Vieux 02/09/2009, 02h13
Encore d'accord, Pika. Nous n'avons pas toutes les infos, ni les moyens de vérifier celles qu'on nous donne. Mais nous avons un profil : un paranoïaque avancé, deux machines séparées pour jouer et pour browser avec des OS différents. Sur la base de ce profil, on peut raisonnablement extrapoler que
-il n'a pas passé son account à son frère, ni à sa GF, ni à une de ses guildies pour auto-PL.
-il ne rentre pas son pass n'importe où.
-il n'utilise pas le même password pour toutes ses activités.
-il fait relativement gaffe aux états technique de ses OS FW, AV.
-il fait relativement gaffe à la config de l'ensemble, plus que le joueur lambda.

Je vois mal un tel profil faire une énorme bourde comme aller sur le SE linkshell service, et entrer son compte sur aucun site, RMT ou autre ; on se fait pas suer avec la sécurité pendant des années pour finalement craquer comme ça. Enfin, je pense

Quand tu dis que les RMT n'ont pas le niveau : Ca fait quand même un moment qu'on voit des automates de qualité branchés sur ffxi. Te souviens-tu de ces mules qui faisaient en boucle la quête du maire de Selbina ? de celles qui pêchaient exclusivement des coral fragments au nez et à la barbe des bounty hunters ? de celles qui martingalaient quitte ou double avec Varchet ? de celles qui minaient safe sans bouger à Halvung ? Ok, y a du pur script ; mais y a aussi du hack de ff. Ils n'en sont pas forcément la source ; mais ils savent exploiter le filon de façon industrielle. Alors, si, je pense qu'ils ont le niveau.
Lien direct vers le message - Vieux 02/09/2009, 08h49
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés
Thème visuel : Fuseau horaire GMT +2. Il est actuellement 00h19.
^^ Haut de page ^^