Об игре
Новости
Войти
Регистрация
Рейтинг
Форум
12:14
4918
 online
Требуется авторизация
Вы не авторизованы
   Форумы-->Идеи и предложения-->

Привязки аккаунтов к системе Google Authenticator


1|2

АвторПривязки аккаунтов к системе Google Authenticator
Доброго времени суток!
Возможно многие из нас сталкивались с данным методом защиты, но если нет то сейчас вкратце постараюсь объяснить принцип работы этой системы.
Итак, на данный момент у каждого игрока есть вероятность попасть на скрипт-стиллер (похищающий пароль в момент авторизации) или же машинально ввести ник и пароль на фейк-сайте, тем самым отправив данные злоумышленнику. Система защиты Google Authenticator нивелирует вред от кражи пароля, так как каждых 30 секунд обновляется одноразовый 6-значный код, который генерируется одноименным плагином в браузере, либо в приложении на телефоне. А поскольку код одноразовый, то злоумышленники похитеть его не смогут, что является совершенно новым уровнем системы безопасности. Несмотря на то, что эта тема не относится непосредственно к игровому процессу, она является достаточно важной и базовой на любом онлайн-проекте. Спасибо за внимание!
Я бы не отказался от банальной двухэтапкой аутентификации
Да что угодно ввели бы, но маловероятно ибо за это нужно платить.
Давно пора вести двухфакторную аутенификацию как во всех нормальных онлайн играх.
Идее +
морочно.
тк придется прикручивать еще восстанавливалку доступа для рукожопов, у которых слетел 2FA гугла (потерян доступ к почте/сломался телефон).
ну и не очень понятно, как это спасет от ввести ник и пароль на фейк-сайте, в том же фейк-сайте сделают окошко еще и для кода гугла, а балбесы будут вводить и его.
-, сложно эт
а для чего это вообще?
недавно Lexe в лп писал про двухфакторку)
давно пора сделать
для Spinogrys:
Для того, чтобы в случае кражи пароля, у злоумышленника не было доступа к аккаунту. Ведь сейчас пароли не угадывают и не перебирают тривиально. Их просто воруют, всякими уловками вроде тех же скриптов-стиллеров, при помощи фейк-сайтов и другими способами. Вот недавно чуть не ввёл пароль на фейк сайте, даже будучи знаком с данными методами взломов, но просто чуть не заметив фейковую ссылку.

Принцип работы можно объяснить на несложном примере:

Например мы при личной встрече договорились встретиться ровно в через 8 часов в 00:00, при этом не созваниваясь между собой. Сверили часы, и (если необходимо) синхронизировали время. Утром проснулись и ровно в 8 утра мы встретились. Каким образом? У нас был ключ "договорились встретиться ровно в через 8 часов" (ключ Google Authenticator) и были синхронно работающие часы, благодаря которым мы не пришли ни в 7:59, ни в в 8:01, а ровно в 8:00. Как-то так:)

Штука на самом деле очень крутая в плане защиты аккаунтов, особенно если юзать приложение на смартфон, так как с него наверняка никак не похитят одноразовый код.
Штука крутая, но как реализовать систему восстановления секретного кода в игре?
недавно Lexe в лп писал про двухфакторку)
5 коммент прочтите
Штука крутая, но как реализовать систему восстановления секретного кода в игре?
Например на основной (указанный при регистрации e-mail) и на альтернативный (указанный опционально при подключении Google Authenticator).
для RoNikyo:
5 коммент прочтите
зачем ? он мне в лп отвечал по этому поводу.

делать все равно что-то надо.
только я предлагал именно двухфакторку, когда заходя с левого устройста тебе пишут что-то типа "Вы пытаетесь зайти с ранее неиспользуемого устройства, введите смс код...."
вводишь код, ставишь галку "доверять устройству"
ну типа как в почтах двухфакторка.

морочно.
тк придется прикручивать еще восстанавливалку доступа для рукожопов

да нытье и рукопопы при любом раскладе будут. даже если реализуешь супер офигенную идею, все равно найдешь криворукий нытик, который скажет, что это фигня полнейшая.
Опять же, можно ведь сделать привязку опционально, чтобы выбор оставался за игроком. По-крайней мере, это лучше, чем то, что есть на данный момент. А терять персонажа которым играешь не один год - неприятно как минимум.
я в этом мало что понимаю, но вот только не надо доп кодов, смсок, засекреченных слов и тд, я всегда знаю когда и от куда захожу, но вот забивать голову всяким хламом не айс)
для Гиперпресс:
я всегда знаю когда и от куда захожу, но вот забивать голову всяким хламом не айс)
для таких как ты, сверху указано, что будет опционально. надо-включил. не надо- забил и не трогаешь)
для Феарад:
ну если опционально то пусть будет, мне не мешает, а может кого-то и спасет от взлома)
морочно.
тк придется прикручивать еще восстанавливалку доступа для рукожопов, у которых слетел 2FA гугла
для Lexa:

Ок. Тогда вопрос непосредственно к тебе, как знающему техническую
сторону вопроса лучше, чем большинство игроков.

Как именно в реалиях нашего проекта защитить свой акк тем игрокам,
которым есть чего терять, и соответственно, хотелось бы защитить?

Мы, со своей стороны, с удовольствием поддержим то, что может быть
реализовано, и при этом решает вопрос нашей безопасности.

Хотя бы "в первом приближении", да. Целенаправленно взломать можно
что угодно и кого угодно.
Как именно в реалиях нашего проекта защитить свой акк тем игрокам,
которым есть чего терять, и соответственно, хотелось бы защитить?


Суть топика:)
для Damager:
Я знаю что это такое и как оно работает.
Прочти правила, обрати внимание на п 1.8 и скажи, а для чего это вообще?
1|2
К списку тем
2007-2024, онлайн игры HeroesWM