[07.12.2010] Обновление защиты аккаунтов

весьма интересно, насколько правильно слать спам на е-мейл, указанный при регистрации?

 

ххихи раньше класно было я помнил свой лог с 11 символов и пас с 12 с верхним и нижним регистров и с спец знаками, ну сейчас тоже помню=) но делаю все копи/пасте потому как лень вбивать особенно когда твинка ввожу

 

не делайте привязку нескольких аккаунтов к одному мобильному - так и ботов меньше будет, и окон поменьше

 

попробуй создать пороль который бует содерджать большие и маленькие буквы, также чтобы был c цифрами.
пример: qwerty123

 

как только, так сразу,

 

вот оно, уважение к доставшим по самое немогу, пользователям 8)

 

по поводу привязки к почте и доп емейлу.
что нам это дает ? все так же брутят и взламывают пароль на игру или на запускатр, грабят и раздевают.
разве что пароли сменить не могут.

или я не прав ? вход в игру возможен только через код присылаемый через доп почту ?

доп почта спасает от возможности увести аккаунт если была взломана основная почта.

1) взломал запускатр - получил доступ к денежным средствам и чарам
2) взломал почту - получил доступ к срезствам ,чарам и смене паролям.

в первом случае доп почта(мобила) не спасает.
во втором случае не получиться сменить пароли на цуп.

и самое интересное: брутят не логин с паролем на цуп а сразу логин на игру

и так пока не зайдут

где самая простая защита от брута ? таймаут на 3 неправильных вводов? ну как вариант - привязка по ип адресу.

и самый интересный вопрос который наверное все хотят задать, но не решаются:

если защитить вашими гениальными идеями, то в случае взлома вернут ли мне мой шмот ?

 

думаю, таймауты и блоки возможно реализовать только корейцам, а корейцы сам знаешь какие инертные. потому и получается, что укрепляют то, что дозволено - запускатор. а то, что можно автологиниться с ярлыка все как-то забывают.

 

в запускатр добавить таймаут тоже корейцы должны ?

знаю те изменения которые были внесены в клиент - то могу с 95% уверенностью сказать что иннова уже не слабо ковырялась в сервере %) и пару раз копнуть поглубже думаю тоже можно)))

 

можно простую защиту от брута реализовать(без вмешательства корейцев), при входе в игру(не цуп) на телефон пользователя отправляется sms с сообщение (в принципе уже было что-то подобное не так давно реализовано, но закрыли лавочку), что произведен вход в игру, и если вошли типа не вы, то предлагается отправить sms с сообщением типа "1" на короткий номер например "44444" (платный - система окупаемости сервиса за счет пользователя - стоимостью рублей 10) при получении с зарегистрированного телефона этого сообщения, цуп временно блокируется(максимум 1 день), на телефон отправляется код разблокирования, снятие блокировки производится либо через sms, но лучше через тех.поддержку. еще можно ввести платную услугу(стоимостью порядка 50 рублей) на добровольную блокировку(срок до 30 дней), ну например на случай долгого отъезда на отдых например.
есть еще простой программный(алгоритм во всяком случае) способ защиты от брута, но тогда запуск твинков через ярлык будет невозможна

в моем случае вернули частично, ну особо ценное вообщем. в любом случае потери будут.
вот интересно, ты сможешь сказать сколько точно у твоих персов сейчас адены, а древней адены, а какие ресурсы есть и в каком количестве, камешки, шмот, крисы, кодексы и т.д.? сомневаюсь, наверняка вспомнишь параметры сета с мейна и пуху, бижу и так по мелочи, что носишь. вот это и вернут. если оперативно заблочат чара взломщика, то вернут может и больше, как повезет. делай скрины ценных вещей, чтобы потом было чем доказать что ты не индюк.


пы.сы. стырить ключ с компа можно тысячью и одним способом, а надежно спрятать ключ можно только одним способом - вытащить его из компа.
пы.пы.сы. сомневаюсь что что-то подобное будет здесь реализовано в ближайшее время, уровень сервиса не тот. да и подход к реализации защит обычно требуется системный(как и к ремонту дорог ), а судя из вышесказанного представителями компании, они не сторонники таких методов.

 

вернут, если аккаунт взломали не по шарингу.

брутят - пароли? ок, откуда злоумышленникам известен логин?
1. взломал запускатр - получил доступ к деньгам. к почте? удачи в бруте моей почты m************. к чарам? дополнительный пароль стоит.
2. взломал почту - получил доступ к средствам. восстановить средства очень просто, их не раскидаешь по аккаунтам. смена пароля? дополнительная почта стоит.

так что все вами написанное упирается в одну вещь - узнать основной e-mail. а вот о том, чтобы его не узнали - в первую очередь должны беспокоиться пользователи.

 

поставил на всех важных для мена акках мобильный телефон, как только дали такую возможность.)

 

а вот тут вы време. мне вернули 10% от украденого. никто не занимался моим вопросом 3 месяца, и вы потеряли логи.

и самое интересное, вот вы здесь пишите что вернут, а в суппорте сидят " -_- " и в ответ получаешь стандартную фразу: "компания ничего вам не должна возвращать."

прочитал ваш пост и посмеялся, вы в данном посте отрицаете возможность взлома.
1) вы говорите что нужно знать логин
2) вы говорите что нужно знать почту

а как тогда людей взламывают ?
п.с. я вам показывал как именно взламывают и даже командную строку выложил.

п.п.с. а вы сделайте статистику в которой будет видно взломали игру через запускатр или через ярлык и я думаю вы поймете в чем соль.

п.п.п.с. если вам настолько влом погуглить то я могу вам скинуть программку для брута и она не имеет никакого отношения к запускатру

скажу положа руку насерце - в шею гоните ваших идейных разработчиков защиты. куча бреда и ничего ценного не было реализовано. и самое интересное из ваших нововведений : нахрена капча на активацию сертефиката ?

 

я тоже поствил - но вот незадача, таскать в кармане 5 телефонов - дыбилизм, а толку от симок которые в шкафу лежат

 

бу-га-га
сорри, неудержался
уважаемый, как я могу сохранить в тайне название своей почты, если вы его чуть ли не на плакате пишете ?

http://i037.**********/1012/cd/922e38886a29.jpg

а вообще знание почты то и не нужно.

предположим я сознательный пользователь, прописал основной майл и дополнительный и еще телефон привязал к акку(защита фулл).

также имеем среднестатистического взломщика(не асс). на хакерском форуме он скачивает свеженькую сборку трояна, троян настраивается(нужен скрытый режим и активация при запуске запускатора, маскировка под по имеющий доступ скажем к порту 25(smtp) - ну или через другую дырку, кейлогер(драйвер) - если лог/пасс вводится ручками и снифер буфера обмена - если вводятся вставкой)
далее троян распространяется в целевой аудитории(тематические сайты)
итого, у злоумышленника есть лог и пасс.
взломщик используя лог и пасс заходит в цуп(видит - картинка выше)
далее ломатель меняет лог и пасс используя ворованный пасс.(пользователю в это время приходит sms с инфой что его ломанули - "а-а-а-а" у пользователя паника)
а вот тут интересно, преступник видит основную почту, но она ему не нужна
он просто жмет на ссылку изменить основную почту, в появившемся окошке забивает свое мыло и вводит пароль от цупа - основная почта изменена,дополнительную почту хакать смысла нет, только время терять, все равно никакого проку, затем малолетний хакер в уже запущенный запускатор вводит новый лог/пасс, но нажав кнопочку играть видит проблему - его просят ввести пароль от игры, упс, ошибочка вышла, никакой проблемы нет, жмем на любимую кнопку всех блондинок "забыли пароль ?", выбираем вариант востановление пароля через основную почту - меняем пароль от игры - вбиваем его в запускатор, вуаля, защита от дурачка пройдена.
нужно заметить, что школота не фармит акки в соло, а собирается в "стаю", так как ключевым фактором при взломе является время(весь процесс разбивается на этапы и распаралеливается для ускорения) для инфы: когда меня ломанули, я был за компом, на востановление паролей у меня ушло 10 минут(стресс, паника и тд), за это время воры раздели мейна, очистили его склад, сняли аугмент и пвп точку, скинули все это, и успели раздеть твинка и чуть чуть не добежали до склада.
если пользователь спит или на работе(вне дома короче) у него вообще нет шансов.
на поиск инфы по взлому потратил 15 мин, еще наверное минут 30-40 наверное потратилось бы на поиск исходника виря, который не палится основными антивирусами.
а еще один легкий каламбурчик
на форумах советуют действия по раздеванию персов делать под "радаром", а лучше сразу под двумя для надежности, для чего я думаю сами догадаетесь, не дети(надеюсь)

я все это к чему, ребята, не обманывайте себя, руководство, друзей, говоря о существовании надежной защиты от взломов на вашем контенте, и прекратите в конце концов дурить головы пользователям. либо делайте уже защиту(если не хватает ресурса, то хотябы латайте известные дыры), либо вообще молчите о ее существовании, зачем позорить себя и компанию в которой работаете.

пы.сы. прекрасно отдаю себе отчет, что с юридической точки зрения компания не обязана следить за безопасностью данных на компьютерах пользователя(наличие троянских модулей в памяти компьютера пользователя), а также, как бы то ни было компенсировать пользователю потери в случае взлома(аккаунт пользователю не принадлежит), но вы должны понимать, что отсутствием защиты вы сами провоцируете людей(влекомых жаждой наживы) на противоправные действия, от которых страдают ваши клиенты(об убытках компании умолчу, пусть этим парятся ваше руководство и учредители)

 

я вам говорю про сейчас, а не вспоминаю что было пол-года назад. или вы привыкли жить воспоминаниями?

уважаемый, вы сначала должны зайти с использованием логина моя_почта@мыло.ру, чтобы капитан очевидность в виде фогейма вам показал, что именно с этим логином вы вошли. так что смейтесь дальше.

т.е. вы подтверждаете что к вашему компьютеру я смогу подключиться без проблем и ничто меня не остановит, с учетом того, что я знаю ваш ip? ни антивирус, ни фаервол? печаль.

делали. все взломы сопровождаются сменой пароля, что сделать можно только если имеешь доступ к почтовому ящику жертвы. так что соль белая.

весь внимание. в пм.

от трояна помогают антивирус и фаервол. запускатр не является ни тем ни тем, так что эти камни в сторону разработчиков антивирусных программ, а так же в сторону своей беспечности.

упс. ошибочка вышла. восстановить можно только через мобильный телефон и доп.почту. ладно, спишем на невнимательность, читаю дальше.

а дальше ничего интересного...

p.s. да, я тоже люблю вытаскивать фразы из контекста.

 

походу шотина достали глупыми вопросами)

 

честно говоря не понял разницу между никнеймом и почтой вместо никнейма, это чтото меняет? одинаково легко крадутся с компа пользователя.

kis2010 троян не отловил(а это считается довольно надежный антивирус+фаервол, - и в чем моя беспечность), dr.web cureit нашел нечто подозрительное в 1 библиотеке (не уверен что это троян на самом деле, отправил разработчику и стер с компа, пока ничего не отписали). в данном случае разработчиков антивирусного по винить особо не в чем, способы распространения троянов(в нашем случае) как правила локальны(подсадка, т.е. нет самораспостраняющегося модуля), функционал сильно ограничен, они просто не знают об этой угрозе. по характерному поведению может и могут зацепить, а может и нет. конечно в любом случае пользователь лох ушастый, и комп у него слабый, и инет лаговый, и винда глючная, и антивирусник обязательно дырявый, а и чуть не забыл, еще руки не из того места растут, тут не поспоришь (а очень хочется )

а ведь и правда ошибочка вышла(спасибочки за поправку), нужна оказывается доп. почта, каюсь, сам не проверил, от того и ввел людей в заблуждение. ну теперь самолично проверил и со всей ответственностью заявляю, взломщику действительно нужно менять доп. почту, это где то около 2 минут времени занимает. в целом картину не меняет, а жаль, появилась чуток надежда, но быстро канула в лету.

честно говоря, затеял тему с целью узнать почему не хотите защиту от взломов реализовывать. вариант, что все мы лохи и сами виноваты уже классика, и за серьезный ответ давно не катит.
не хотите диалога и не не надо, для нас это всего лишь игра, развлечение, а вот для вас это работа, жизнь, реальная жизнь. наши проблемы ничто по сравнению с вашими.

а вот тут полностью согласен, очень сильно сомневаюсь, что дальше будет что-то интересное.

 

к несчастью вы не разбираетесь в по
я говорю про то что брутят через логин и пароль к игре, цуп ломают только если хотят увести чара а не вещи на нем. вы тогда уж разделяйте два понятимя:
1) доступ к игровым ценностям
2) полный доступ к аккаунту.

из этого я делаю вывод что никакой мобильник( вторая почта) не сможет уберечь от п.1 (доступ к игровым ценностям) т.к. это защитит лишь от смены пароля схемы восстановления доп. пароля не знаю, не экспериментировал.
другими словами ваша защита не защитит от взлома игры.
так что соль черная

а что тут пм ? прогри которые написаны для логин сервера, и которые брутян не ваш запускатр, а пароли для игры, не те которые вы себе напридумывали, а те которые пароли игры(логин сервера).
чистосердечное: за пол часа набрутил 4 аккаунта по логинам с форума и паролям методом брута )))))))))))))))
понятно о чем я говорю ? ни слова про запускатр - ой я про него сказал

скажу по другому: ваз запускатр хранит пароли в открытом виде. в данном случае можно провести алгоритм с менеджерами в банке: на стикере на мониторе наклеян пароль с одной стороны банк защищен, а с другой пароль на мониторе наклеян.
сравнение понятно ?
второе сравнение: пинкод написан на кредитке....

фразы фразами - но вам показывают на ваши слабые места ??? где капча на вход в запускат ? и зачем капча на активацию сертификата ? про остальные варианты защиты я уже писал выше. прокомментируйте каждый из предложенных вариантов - если вы такой рассматривали, если не рассматривали - то возьмите на рассмотрение.

 

на сколько я помню когда менял почту: после тычки отправляется письмо на текущую основную почту, и если с текущей основной почты не будет клацнута ссылка на подтверждение, то почта не изменится (там 2 шага, а не 1 при смене основного мыла).