Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 60
Не совсем понял как девайс работает?
Он с компом вообще не связан? Или связан? Если да, то как?
Он с компом вообще не связан? Или связан? Если да, то как?
Похоже, это обычный генератор псевдослучайных чисел. Такой, что сложно предсказать следующее выдаваемое число, не зная начального "зерна". А близзардовцы, выдавая этот генератор знают его начальное "зерно" и могут генерировать такие же последовательности, т.е. могут их сверять.
Сапорт Близарда пишет вот это:
You must first associate the Blizzard Authenticator to the World of Warcraft account you play. Once the account has been linked, the Authenticator token will be required to log in to Account Management or to the game; when logging in, you will be prompted to supply a digital code generated by the Authenticator.
Я не слишком въехал, как именно нужно связывать девайс с акком и как логинится в Акк.менеджмент (ибо не варкрафтер - не знаю кухни внутренней), но описалово краткое в пост добавил.
You must first associate the Blizzard Authenticator to the World of Warcraft account you play. Once the account has been linked, the Authenticator token will be required to log in to Account Management or to the game; when logging in, you will be prompted to supply a digital code generated by the Authenticator.
Я не слишком въехал, как именно нужно связывать девайс с акком и как логинится в Акк.менеджмент (ибо не варкрафтер - не знаю кухни внутренней), но описалово краткое в пост добавил.
Лучше не связывать - меньше шансов хака.
...а потом появятся keygen’ы
Шесть знаков - маловато вроде...
Кстати, а что если разобрать и изучить? Есть ли возможность взлома?
P.S. я не играю, просто интересно.
Кстати, а что если разобрать и изучить? Есть ли возможность взлома?
P.S. я не играю, просто интересно.
http://www.southparkstuff.com/season_10/… :)
классная серия про WOW из сауспарка.
классная серия про WOW из сауспарка.
Бедные идиоты. Просирают свою жизнь в виртуальном мире, фигачат друг друга из-за виртуальных шмоток, да еще и теперь такая напасть у них.
Просто слёзы на глазах.
Богатые умники. Просирают свою жизнь в реальном мире, фигачат друг друга из-за реальных шмоток...
Терпимей нужно быть в оценках, уважаемый. У каждого свой выбор досуга и времяпрепровождения.
Не сомневаюсь, что вы обладаете достаточным статусом для себя, чтобы позволять такие высказывания, но общей картины это не меняет (:
Не сомневаюсь, что вы обладаете достаточным статусом для себя, чтобы позволять такие высказывания, но общей картины это не меняет (:
Вау, прямо RSA SecureID !!!
Так называемый плавающий ключь, к стати запрещён к применению в РФ и не только :-)
Штука, по сути обычные часы, которые вместо времени показывают производную некой секретной функции аргументами для которой является время и айди устройства.
Близард знает сколько время, знает алгоритм секретной функции, и таким образом может идентифицировать конкретное устройство по введённому пользователем в данный момент времени числу!
Так называемый плавающий ключь, к стати запрещён к применению в РФ и не только :-)
Штука, по сути обычные часы, которые вместо времени показывают производную некой секретной функции аргументами для которой является время и айди устройства.
Близард знает сколько время, знает алгоритм секретной функции, и таким образом может идентифицировать конкретное устройство по введённому пользователем в данный момент времени числу!
Запрещён?
Действительно, почему запрещён?
http://www.aladdin.ru/catalog/etoken/mod…
Кажется мне, про запрет вы сказали откровенную глупость. Оно, в частности, сертифицировано в России http://www.aladdin.ru/catalog/etoken/cer…
Кажется мне, про запрет вы сказали откровенную глупость. Оно, в частности, сертифицировано в России http://www.aladdin.ru/catalog/etoken/cer…
Может-быть, не знаю как сейчас, но на момент моего первого знакомства с RSA SecureID оно было так, что в прочем мало кого интересовало...
По идее, для прохождения сертификации средство шифрования должно фактически содержать уязвимость в алгоритме шифрования, дабы у большого брата проблем не возникло...
PS. В теории и сигнал мобильника шифруется с помощью псп, так что на его вскрытие должно потребоваться мнооого лет, однако на практике...
По идее, для прохождения сертификации средство шифрования должно фактически содержать уязвимость в алгоритме шифрования, дабы у большого брата проблем не возникло...
PS. В теории и сигнал мобильника шифруется с помощью псп, так что на его вскрытие должно потребоваться мнооого лет, однако на практике...
странно, а у нас в конторе используется...
Скорее всего устройство работает так:
При нажатии на кнопку генерируется последовательность чисел. Входящие данные в генератор: дата, номер аккаунта.
Соответвенно код будет работать небольшой промежуток кремени, например, минуту.
Использование - можно будет передавать своего "персонажа" другим людям без боязни того, что его не вернут. У кого брелок - тот и рулит.
При нажатии на кнопку генерируется последовательность чисел. Входящие данные в генератор: дата, номер аккаунта.
Соответвенно код будет работать небольшой промежуток кремени, например, минуту.
Использование - можно будет передавать своего "персонажа" другим людям без боязни того, что его не вернут. У кого брелок - тот и рулит.
насколько я понимаю, используется технология OTP - one time password
мы используем решение Secure Computing - http://www.securecomputing.com/index.cfm?skey=1106
также есть решения Aladdin, RSA и т.д.
"Одноразовый пароль – это ключевое слово, действительное только для одного процесса аутентификации в течение ограниченного промежутка времени. Такой пароль полностью решает проблему возможного перехвата информации или банального подглядывания. Даже если злоумышленник сможет заполучить пароль "жертвы", шансы воспользоваться им для получения доступа равны нулю. "
можно почитать на http://www.infosecurity.ru/cgi-bin/cart/arts.pl?a=_060817
мы используем решение Secure Computing - http://www.securecomputing.com/index.cfm?skey=1106
также есть решения Aladdin, RSA и т.д.
"Одноразовый пароль – это ключевое слово, действительное только для одного процесса аутентификации в течение ограниченного промежутка времени. Такой пароль полностью решает проблему возможного перехвата информации или банального подглядывания. Даже если злоумышленник сможет заполучить пароль "жертвы", шансы воспользоваться им для получения доступа равны нулю. "
можно почитать на http://www.infosecurity.ru/cgi-bin/cart/arts.pl?a=_060817
Именно!
К слову сказать, замечательный способ авторизации в админке самописного чего-то.
Просто как пример:
Пароль=месяц+число+часы+минуты округлённые до десятков.
Часы у вас в компе есть, или даже на самом сайте можно отобразить время сервера, а вот какие вы математические\логические\лингвистические операции проделаете с этим....
Великолепный способ авторизации...
К слову сказать, замечательный способ авторизации в админке самописного чего-то.
Просто как пример:
Пароль=месяц+число+часы+минуты округлённые до десятков.
Часы у вас в компе есть, или даже на самом сайте можно отобразить время сервера, а вот какие вы математические\логические\лингвистические операции проделаете с этим....
Великолепный способ авторизации...
здесь ещё один аспект есть - железка - она одна и уникальная, вы её можете уничтожить и тогда доступ будет существенно затруднён
а алгоритм вы расскажете.. после терморектального криптоанализа (:-)
а алгоритм вы расскажете.. после терморектального криптоанализа (:-)
Алгоритм могут вскрыть.
Так что берем crypt/MD5 и хешируем пароль. :)
Так что берем crypt/MD5 и хешируем пароль. :)
еще не стоит забывать о том, что данный ключик скорее всего генерирует лишь часть пароля, а другая часть есть статическая, которую пользователь придумывает и держит в голове сам.
Ничего нового. Использую такой еТокен для подключения к vpn уже года три.
Интересный гаджет,я думаю,что многие поклонники Вов, да и просто фанаты шедевров,которые делает Blizzard, купят его.
Сам не играю, но вероятно, продажа персонажа станет весьма проблематичной, так как придётся и эту штуку как-то передавать... :)
Ввод ключа с клавиатуры-то все-равно будет. Так что скорее прокатит только в случае ограниченного времени действия ключа, как сказали выше.
Еще как вариант, чтобы эта фиговина была юсб-девайсом с ключом внутри, аналогично ситуации с 1С. Унес девайс - нету доступа. Но это уже совсем, имхо, излишки. Плюс доп. трудности при утере данной девайса-ключа.
Еще как вариант, чтобы эта фиговина была юсб-девайсом с ключом внутри, аналогично ситуации с 1С. Унес девайс - нету доступа. Но это уже совсем, имхо, излишки. Плюс доп. трудности при утере данной девайса-ключа.
Похоже на RSA SecurID
Через 5 лет:
Боитесь за своего персонажа? Приобретите наш новый ДНК-чекер, который проверит ДНК-совместимость, отпечаток пальцев и сетчатку глаза, а также голосовые и физические парметры, дабы ва не оторвали палец и не вырвали глаз))))
Всего лишь 10000$
Боитесь за своего персонажа? Приобретите наш новый ДНК-чекер, который проверит ДНК-совместимость, отпечаток пальцев и сетчатку глаза, а также голосовые и физические парметры, дабы ва не оторвали палец и не вырвали глаз))))
Всего лишь 10000$
Ух, вроде все айтишники, а версий — как в "Что? Где? Когда?".
Что это? Это действительно двухфакторная индентификация ("что-то, что я знаю — пароль" и "что-то, что у меня есть — брелок"), которая лучше именно тем, что для доступа нужно не просто что-то узнать (подобрать, подслушать, засниффить), но и иметь физически — конкретный брелок. Эта система используется повсеместно для доступа в интернет-банки и VPNы. Для ответственных операций внутри безопасного периметра (проведение крупных сделок, например) брелок может использоваться повторно. Иногда сам брелок защищен пин-кодом (нет предела паранойе).
Как работает? Брелок генерирует ОТР, одноразовый пароль, который добавляется к обычными логину-паролю. Вариантов два. Наиболее популярный — система а ля RSA, где пароль генерируется от текущего времени и валиден в течение короткого окна (обычно — одной минуты). Сервер знает, какой именно пароль сгенерирует ваш брелок в данную конкретную секунду, ибо считает его тем же алгоритмом, от того же корня, от того же момента во времени. Проблема: через энное время и количество использований часы на брелке рассинхронизируются с часами на сервере и пароли перестают работать, брелок нужно менять.
Чуть менее популярный вариант — система еТокен, где числа генерируются не от времени, просто по порядку: одна активация — одно число. Такая система не зависит от часов (в ней часов и нет), и "окном" является плюс-минус несколько кодов — сервер знает, какие коды и в каком порядке генерирует ваш брелок, а также помнит, какие коды вы уже использовали и ждет от вас одного из следующих пяти, скажем, кодов по списку. Понятно, что если нажать кнопочку раз пятьдесят, то "ваши" коды уйдут далеко-далеко, и сервер их не узнает. В этом случае вы переходите в режим синхронизации и вводите 5-6 кодов подряд, сервер находит нужное место в списке и вы спокойно начинаете работу с этого момента в обычном порядке.
Кстати, есть третий, самый дешевый вариант — это ОТР-карточки, на которых выписаны 50-100 паролей, и соответственно кража только одного из паролей дает лишь 1-2% шанса, что злоумышленник войдет в систему. Пароли, конечно, не совсем одноразовые, иначе придется менять карточку через 50-100 логинов соответственно — а для активной работы с системой (как часто игрок логинится в WoW?) это многовато.
Как и в большинстве случаев, дополнительная безопасность — дополнительные расходы (стоимость брелка, его доставки, замены и т.п.) и дополнительные неудобства (необходимости иметь брелок при себе и передавать при передаче доступа к персонажу, необходимости светить какой-то реальный адрес для доставки брелка и пр.)
Но вообще — шаг разумный и понятный.
Что это? Это действительно двухфакторная индентификация ("что-то, что я знаю — пароль" и "что-то, что у меня есть — брелок"), которая лучше именно тем, что для доступа нужно не просто что-то узнать (подобрать, подслушать, засниффить), но и иметь физически — конкретный брелок. Эта система используется повсеместно для доступа в интернет-банки и VPNы. Для ответственных операций внутри безопасного периметра (проведение крупных сделок, например) брелок может использоваться повторно. Иногда сам брелок защищен пин-кодом (нет предела паранойе).
Как работает? Брелок генерирует ОТР, одноразовый пароль, который добавляется к обычными логину-паролю. Вариантов два. Наиболее популярный — система а ля RSA, где пароль генерируется от текущего времени и валиден в течение короткого окна (обычно — одной минуты). Сервер знает, какой именно пароль сгенерирует ваш брелок в данную конкретную секунду, ибо считает его тем же алгоритмом, от того же корня, от того же момента во времени. Проблема: через энное время и количество использований часы на брелке рассинхронизируются с часами на сервере и пароли перестают работать, брелок нужно менять.
Чуть менее популярный вариант — система еТокен, где числа генерируются не от времени, просто по порядку: одна активация — одно число. Такая система не зависит от часов (в ней часов и нет), и "окном" является плюс-минус несколько кодов — сервер знает, какие коды и в каком порядке генерирует ваш брелок, а также помнит, какие коды вы уже использовали и ждет от вас одного из следующих пяти, скажем, кодов по списку. Понятно, что если нажать кнопочку раз пятьдесят, то "ваши" коды уйдут далеко-далеко, и сервер их не узнает. В этом случае вы переходите в режим синхронизации и вводите 5-6 кодов подряд, сервер находит нужное место в списке и вы спокойно начинаете работу с этого момента в обычном порядке.
Кстати, есть третий, самый дешевый вариант — это ОТР-карточки, на которых выписаны 50-100 паролей, и соответственно кража только одного из паролей дает лишь 1-2% шанса, что злоумышленник войдет в систему. Пароли, конечно, не совсем одноразовые, иначе придется менять карточку через 50-100 логинов соответственно — а для активной работы с системой (как часто игрок логинится в WoW?) это многовато.
Как и в большинстве случаев, дополнительная безопасность — дополнительные расходы (стоимость брелка, его доставки, замены и т.п.) и дополнительные неудобства (необходимости иметь брелок при себе и передавать при передаче доступа к персонажу, необходимости светить какой-то реальный адрес для доставки брелка и пр.)
Но вообще — шаг разумный и понятный.
Покупаешь данный девайс
заходишь в акк менаджер. авторизуеш брелок по серийнику
запускаешб клиент, вводиш лог/пас
далее если всё ок тыкаешь по кнопке на брелке. генерица код на основе серийника
заходишь в акк менаджер. авторизуеш брелок по серийнику
запускаешб клиент, вводиш лог/пас
далее если всё ок тыкаешь по кнопке на брелке. генерица код на основе серийника
А откуда вы взяли что брелок вообще дату знает? Там же одна кнопка на передней панели, и врядли другие есть - как же дату/время установить?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Кодовый замок для World of Warcraft