Advertisements
Kezdőoldal > Aktuális információk, Általános cikkek > Mike O’Brien az account-biztonságról

Mike O’Brien az account-biztonságról

Szeretnék egy kicsit az accountok biztonságáról beszélni: hogyan óvhatjátok meg a lopásoktól, illetve mit teszünk mi a megelőzés érdekében.

Ha egy dolgot kéne megjegyezni ebből a blogposztból, akkor az a következő lenne: a mai világban mindenkinek EGYEDI jelszót kell használnia az accountjához. Ha ugyanazt a jelszót használod a GW2-höz, mint máshol, akkor azonnal cseréld le a Guild Wars 2 jelszavadat egy új, egyedi jelszóra.

Hogyan lopják el a hackerek az accountokat?

A biztonsági tanácsok az elmúlt évek során mind arra koncentráltak, hogyan válasszunk erős jelszót. Ezért talán azt gondolhattátok, hogy a hackerek a gyenge jelszóval védett accountokra csapnak le, esetleg minden egyes szót végigpörgetnek a szótárból. Ez a ritkábbik eset.

Az igazság az: a hackerek azért lopják el az accountot, mert már eleve tudják a nevet és a jelszót.

Sajnos, ha a lecke, amit az évek során megtanultál a biztonsági tanácsokból az, hogy találj ki EGYETLEN komplikált jelszót, és használd azt mindenhol, akkor sajnos a rossz leckét tanultad meg a mai biztonsági előírásokhoz. Minden accounthoz más jelszót kell használnod.

Vannak módszereink az ArenaNetnél, hogy nyomon kövessük a hacker támadásokat élőben. Látjuk, ahogy a hackerek több tízezer IP-címet használnak arra, hogy millió accoount nevet és jelszót scanneljenek át az adatbázisukból, nagyrészt olyanokat amik a mienkben nem is léteznek, egyezés után kutatva. Nem tippelnek, vagy erőlködnek, hogy kitalálják a jelszót, specifikus accounttal és jelszónval próbálkoznak minden alkalommal. Példának okáért, az accountnév „joe.felhasználó@példa.hu”, a jelszó pedig „aligátor101”. Ha nincs egyezés azonnal, akkor egy kicsit variálnak, pl. „aligátor100” vagy „aligátor102”, majd továbbmennek a következő bejegyzésre a listájukon. És érdekes megfigyelni azt, hogy a jelszavak ezeken a listákon általában jó jelszavak. Minden egyes accountra, aminek a jelszava a listán ilyen szintű, hogy „twilight”, tucatnyi erős jelszavú akad. Szóval az emberek nagy része tudja, milyen egy jó jelszó; a gond az, hogy ezt használják több helyen is.

A biztonsági körülmények megváltoztak. A Guild Wars első részének indulásakor még nem találkoztunk ilyen típusú account-lopással. De az elmúlt években több nagy gamer cég és website adatbázisa lett áldozata hasonló merényletnek. Az ily módon szerzett információk sok pénzt érnek a hackerek számára, akik az account-lopást megbízásként kapják, és később újrafelhasználják minden újabb játék kijövetelekor az adatokat.

Szóval ha valaha biztonságos is volt az erős jelszavak használata több helyen, mára már nem az.

E-mailes hitelesítés

Van egy „szolgáltatásunk”, mely segít megőrizni fiókod biztonságát az esetben is, ha a hacker tudja a fiókod nevét és jelszavát.

A következőképpen működik. Amikor először belépsz, hitelesíteni kell az e-mail címed. Ezekután ahányszor megpróbálsz belépni egy új helyről, küldünk egy e-mailt, amelyben meg kell erősítened vagy elutasítanod a bejelentkezési kísérletet.

Tartsátok észben, ha láttok egy váratlan e-mailt arról, hogy érvényesítsétek a belpési kísérletet egy olyan helyről, ahol nem is játszotok éppen, akkor egy hacker már tudja az adataidat! Az egyetlen dolog, ami visszatrtja őt a bejelenkezéstől, az az e-mail rendszer! Azonnal cseréljétek le a jelszavatokat.

Sajnos ezzel a rendszerrel sem tudunk tökéletes védelmet nyújtani a hackelés ellen. Hogy miért? Először is: a játékosok kb. egyharmada még nem hitelesítette az e-mail címét. Nem kérhetünk e-mail hitelesítést olyanoktól, akik még nem is erősítették meg a címüket. Másodszor: sok esetben a lopott jelszóadat megegyezik az e-mail fiók jelszavával, és ez esetben semmit nem ér a hitelesítő e-mail, hiszen a hackerek hozzáférnek ahhoz is.

Két-tényezős hitelesítés

Az e-mail hitelesítés mellett további védelmet adhatsz a fiókodnak a két-tényezős hitelesítéssel az e-mail fiókodon. Ami egy jó ötlet. Az e-mail hitelesítés hasonlóan védi meg a fiókodat a játékok tipikus két-tényezős megvalósításaihoz.

Ezen a téren gyorsan kell lépnünk vállalatként, és fogunk is. Megvan a házi fejlesztésű verziónk az okostelefonokra, már teszteljük is, és szeretnénk a GW2-t összekapcsolni a Google Authenticatorral, mely már rendelkezik működő azonosítóprogramokkal a legtöbb okostelefon platformon. A következő két hét során tervezzük elérhetővé tenni számotokra ezt.

Jelszó-feketelista

Mióta megfigyeltük, hogy a hackerek olyan account-neveket keresnek az adatbázisban, amelyek nem is léteznek, arra várva, hogy valaki hátha létrehozza valamelyiket, biztosra szeretnénk menni, hogy az újonnan csatlakozó játékosok nem használják azokat a jelszavakat, amelyekre a hackerek „várnak”. Ezért a hackerek által keresett jelszavakat – jelenleg 20 millióról van szó, és növekedik – feketelistára tesszük, és nem engedjük, hogy kiválaszthassák jelszónak bármelyiket is. (Ez az account-nevekre nem vonatkozik.)

Ez a lépés nagymértékben megakadályozta a hackereket az új accountok feltörésétől – az ezen lépés bevezetése előtt létrehozott accountok feltörésének aránya 1,5% volt, az utána készített accountok között ez mindössze 0,1%.

Mivel láthatóan sikeres ez a módszer, ezért szeretnénk kiterjeszteni a létező accountokra is. Ám sajnos nehéz megállapítani, hogy a létező fiókok jelszavai ismertek-e a hackerek számára, vagy nem: arra is nehéz rájönni, hogy egy belépési kísérlet egy hacker támadás része, vagy az igazi tukajdonosa próbál belépni. Minden létező ügyfelünket megfogunk kérni arra, hogy cseréljék le a jelszavukat, és feketelistára tesszük azokat is.

Ezért ez a következő felkéréshez vezet. Minden ügyfelünket megkérünk arra, hogy cseréljétek le a jelszavatokat. Amikor ez megtörténik, a rendszer letiltja az előző jelszót, és ezek után nyugodt lehet mindannyiótok afelől, hogy a GW2 jelszava egyedi. (Természetesen addig, amíg nem használjátok más játékoknál vagy honlapokon, amire határozottan megkérnénk titeket, hogy ne tegyétek!)

A következő hetekben ezt a felhívást eljuttatjuk a játékosoknak, és lehetséges, hogy azoknál a játékosoknál szükség lesz a jelszócserére, akik nem tették meg ezt eddig önkéntesen.

Egyébként ha úgy érzed, hogy gondot okoz egy új, egyedi jelszó kitalálása, főleg most, hogy több milliónyi lehetőség blokkolva van, javasoljuk, hogy négy random szót tegyetek egymás mellé, ahogyan ebben a képregényben is látható. Használj egy jelszót, mint pl. „pöttyös pipán holló alszik”. Ahogyan a képregény is kiszámolta, ha mindenki a legnépszerűbb 2000 szóból választ ki négyet, akkor is 16 trillió lehetőség marad. Hamarosan be is vezetünk egy random jelszógenerátort, ami hasonló jelszavakat javasol.

Adatbázis feltörések

Láttunk olyan teóriákat játékosoktól, miszerint a hackelések a Guild Wars adatbázis feltöréséből származtak. Az adatbázisaink rendkívül jól vannak védve, és a csapat állandóan figyeli az esetleges külső behatolások jeleit, és teljesen biztosak vagyunk benne, hogy semmi ilyesmi nem történt.

Az olyan nagy cégekn, mint a Blizzard, vagy a Valve is elkötelezettek a biztonsági előírások, stb betartása iránt, ám mégis szenvedtek már az adatbázisaik különböző adatlopásokat. Egy nap mi is célpontjává válhatunk egy nagy méretű hacker-támadásnak.

Ha ez megtörténne, azonnal értesítenénk a játékosokat, és rögtön életbe lépnének azok a lépések, melyek a széles-körű account-hackeléseket hivatottak megakadályozni. És még van valami, amin érdemes elgondolkozni. Mivel megköveteljük minden GW2 játékostól az egyedi jelszót, ezért tulajdonképpen nincs mit ellopni, ami segíthetne bejutni más játékokba vagy honlapokra.

Kereskedelmi biztonság

Láttunk pár esetet, amikor a hackerek gemet vásároltak a feltörés után. Ez egy szokatlan típusa a támadásnak, mert vannak ingame korlátozásaink arra nézve, hogy megelőzzük, hogy egyik fiókról a másikra átküldjék a vagyont hasonló esetekben.

Kifejlesztettünk újabb korlátozásokat arra az esetre, hogy megelőzzük a hackereket, hogy az accounthoz kötött bankkártyákat ily módon használhassák, emellett lehetőség van a felhasználónak törölni az accountról a bankkártyát.

Természetesen ha egy játékos úgy gondolja, hogy egy hacker engedélynélküli tranzakciót hajtott végre, akkor a supportot felkeresheti, s visszakapja a pénzt.

A legjobb trükkök

Ez a bejegyzés főleg arról szól, hogyan használják a máshonnan lopott adatokat a hackerek játékfiókok feltöréséhez. De minél jobban szorítjuk ezt a módszert vissza, annál újabb, illetve más trükkökhöz fordulnak a hackerek, ezért fontos, hogy ismerjétek a többi módszert is.

  • Adathalászat – Ha egy email link arra kér, hogy írjátok be a jelszavatokat, soha ne tegyétek meg. Könnyen lehet, hogy hamis honlap. Inkább írjátok be az url-mezőbe, hogy “account.guildwars2.com”, vagy használjatok könyvjelzőt,.
  • Social engineering – Ha valaki Anetes dolgozónak adja ki magát, s a jelszatokat kéri, ne adjátok meg neki. A mi alkalmazottainknak soha sincs erre szüksége.
  • Trójaiak és spyware-k – Ne töltsetek le és futtassatok szoftvereket, melyeknek az eredetében nem vagytok száz százalékig biztosak. A rosszindulató programok keyloggert tartalmazhatnak, melyek rögzítik a jelszavaitokat, s továbbküldik.
  • Email biztonság –Őrizzétek meg a biztonságát a GW2 accountotok emailjének, csakúgy, mint magának az accountnak.

Az indíték

Miért törik fel a hackerek az accountokat? Mert pénzt keresnek ezzel.

A valódi pénzzel kereskedő társaságok ugyebár aranyat szeretnének a játékosoknak eladni. Ehhez összekell gyűjteniük az aranyat, és reklámozni is kell azt. Az értékeket lopott accountokról emelik le, illetve ezekkel botolnak. Szintén lopott accountokat használnak a spammelésre.

Ha az emberek nem vennék a lopott aranyat, akkor megszűnne ez az „iparág”. Célunk, hogy ne legyen több feltörés, aranyárulás, botolás és spammelés.

A GW2-vel legalizáltuk az aranyvásárlást, de úgy, hogy a „gyeplőt” a játékosok kezébe adtuk, és nem a kereskedőkébe. Akik aranyat akarnak venni, már megtehetik egy nyílt piacon, sőt fordítva is, gemet is, ám igazi pénzzé nem válthatják vissza.

Amíg ez működik, addig nincs visszaáramló pénz a kereskedőkhöz, és így nincs értelme accountokat feltörniük.

Tehát a védelmi rendszerünk gyökerei mélyen belevannak építve a Guild Wars 2 designjába, és kihasználjuk a jövőben is ezt, hogy a GW2 biztonságosabb legyen, mint a tradicionélis MMO-k.

De semmi sem működik fekete-vagy-fehér alapon. Nem számít mennyi profitot vonunk el a gold-sellerektől, a tény megmarad, hogy a GW2 egy népszerű játék, és minden népszerű játék a hackerek kedvelt célpontja szokott lenni. Fenntartunk egy nyitott csatornát, ahol a játékosainkkal beszélünk arról, hogy mik az igazi veszélyek, így tudni fogják, hogyan védjék meg magukat, és persze ott van a GM-csapat, akik a meghackelt játékosokat segítik.

A biztonság az apró részleteken múlik, köszönjük, hogy elolvastátok ezt.

-Mike O’Brien

 Eredeti bejegyzés: http://www.guildwars2.com/en/news/mike-obrien-on-account-security/

Advertisements
  1. Endrosz
    2012. szeptember 29. - 09:49

    Köszi szépen a fordítást, ez fontos anyag!

    “Ezért a hackerek által keresett jelszavakat – jelenleg 20 millióról van szó, és növekedik – feketelistára tesszük, és nem engedjük, hogy kiválaszthassák jelszónak bármelyiket is. ”

    Na ez egy újszerű lépés, máshol még nem láttam — tényleg komolyan veszik a biztonságot a fiúk.

  2. Abrakadabra
    2012. szeptember 29. - 11:03

    Ahhoz, hogy valaki ellopja az accodat, nem elég 1 hacker… Te is kellesz hozzá, az hogy buta legyél, mint egy tök! Ne hagyd magad! (über fasza jelszó, amit soha senkinek nem árulsz el, még anyunak sem!) :D

  3. monssti
    2012. szeptember 29. - 11:39

    Köszi a fordítást! Viszont nekem lenne egy kérdésem ” A következő hetekben ezt a felhívást eljuttatjuk a játékosoknak, és lehetséges, hogy azoknál a játékosoknál szükség lesz a jelszócserére, akik nem tették meg ezt eddig önkéntesen.” itt le van írva hogy akik eddig nem tették meg, ez nekem nem világos annyira már cseréltem jelszót az első héten akkor most cseréljek újra vagy már nem kell?

    • myrrdhinn
      2012. szeptember 29. - 12:10

      Majd el fogják mondani, amikor itt lesz az ideje :)
      Persze, ha most lecseréled újra akkor később már biztosan nem kell majd.

    • monssti
      2012. szeptember 29. - 19:00

      köszi a választ akkor megint neki kell álljak agyalni új jelszón :)

  4. nady
    2012. október 21. - 14:10

    nekem jött egy ojav üzenet ami engedélyt kér a belépésre valahol pesten de nemtok jelszót váltani! pls help

  5. nady
    2012. október 21. - 14:17

    ja és nemtok belépni se a játékba se a GW2 netes oldalára sem vki segítsen pls!!!

    • nathriel01
      2012. október 21. - 14:19

      Miért nem tudsz belépni? Mit ír ki, mikor megpróbálod?

  6. Bala
    2012. november 26. - 19:26

    Nekem sem akar elindulni a játék. Azt írja h hitelesítsem az accountomat valami email alapján. A baj csak az hogy nem kaptam email-t. Ilyenkor mit lehet tenni?

  1. No trackbacks yet.

Itt és most várjuk a hozzászólásod!

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: