Форумы-->Идеи и предложения--> 1|2
Автор | Привязки аккаунтов к системе Google Authenticator |
Доброго времени суток!
Возможно многие из нас сталкивались с данным методом защиты, но если нет то сейчас вкратце постараюсь объяснить принцип работы этой системы.
Итак, на данный момент у каждого игрока есть вероятность попасть на скрипт-стиллер (похищающий пароль в момент авторизации) или же машинально ввести ник и пароль на фейк-сайте, тем самым отправив данные злоумышленнику. Система защиты Google Authenticator нивелирует вред от кражи пароля, так как каждых 30 секунд обновляется одноразовый 6-значный код, который генерируется одноименным плагином в браузере, либо в приложении на телефоне. А поскольку код одноразовый, то злоумышленники похитеть его не смогут, что является совершенно новым уровнем системы безопасности. Несмотря на то, что эта тема не относится непосредственно к игровому процессу, она является достаточно важной и базовой на любом онлайн-проекте. Спасибо за внимание! | Я бы не отказался от банальной двухэтапкой аутентификации | Да что угодно ввели бы, но маловероятно ибо за это нужно платить. | Давно пора вести двухфакторную аутенификацию как во всех нормальных онлайн играх.
Идее + | морочно.
тк придется прикручивать еще восстанавливалку доступа для рукожопов, у которых слетел 2FA гугла (потерян доступ к почте/сломался телефон).
ну и не очень понятно, как это спасет от ввести ник и пароль на фейк-сайте, в том же фейк-сайте сделают окошко еще и для кода гугла, а балбесы будут вводить и его. | -, сложно эт | а для чего это вообще? | недавно Lexe в лп писал про двухфакторку)
давно пора сделать | для Spinogrys:
Для того, чтобы в случае кражи пароля, у злоумышленника не было доступа к аккаунту. Ведь сейчас пароли не угадывают и не перебирают тривиально. Их просто воруют, всякими уловками вроде тех же скриптов-стиллеров, при помощи фейк-сайтов и другими способами. Вот недавно чуть не ввёл пароль на фейк сайте, даже будучи знаком с данными методами взломов, но просто чуть не заметив фейковую ссылку.
Принцип работы можно объяснить на несложном примере:
Например мы при личной встрече договорились встретиться ровно в через 8 часов в 00:00, при этом не созваниваясь между собой. Сверили часы, и (если необходимо) синхронизировали время. Утром проснулись и ровно в 8 утра мы встретились. Каким образом? У нас был ключ "договорились встретиться ровно в через 8 часов" (ключ Google Authenticator) и были синхронно работающие часы, благодаря которым мы не пришли ни в 7:59, ни в в 8:01, а ровно в 8:00. Как-то так:)
Штука на самом деле очень крутая в плане защиты аккаунтов, особенно если юзать приложение на смартфон, так как с него наверняка никак не похитят одноразовый код. | Штука крутая, но как реализовать систему восстановления секретного кода в игре? | недавно Lexe в лп писал про двухфакторку)
5 коммент прочтите | Штука крутая, но как реализовать систему восстановления секретного кода в игре?
Например на основной (указанный при регистрации e-mail) и на альтернативный (указанный опционально при подключении Google Authenticator). | для RoNikyo:
5 коммент прочтите
зачем ? он мне в лп отвечал по этому поводу.
делать все равно что-то надо.
только я предлагал именно двухфакторку, когда заходя с левого устройста тебе пишут что-то типа "Вы пытаетесь зайти с ранее неиспользуемого устройства, введите смс код...."
вводишь код, ставишь галку "доверять устройству"
ну типа как в почтах двухфакторка.
морочно.
тк придется прикручивать еще восстанавливалку доступа для рукожопов
да нытье и рукопопы при любом раскладе будут. даже если реализуешь супер офигенную идею, все равно найдешь криворукий нытик, который скажет, что это фигня полнейшая. | Опять же, можно ведь сделать привязку опционально, чтобы выбор оставался за игроком. По-крайней мере, это лучше, чем то, что есть на данный момент. А терять персонажа которым играешь не один год - неприятно как минимум. | я в этом мало что понимаю, но вот только не надо доп кодов, смсок, засекреченных слов и тд, я всегда знаю когда и от куда захожу, но вот забивать голову всяким хламом не айс) | для Гиперпресс:
я всегда знаю когда и от куда захожу, но вот забивать голову всяким хламом не айс)
для таких как ты, сверху указано, что будет опционально. надо-включил. не надо- забил и не трогаешь) | для Феарад:
ну если опционально то пусть будет, мне не мешает, а может кого-то и спасет от взлома) | морочно.
тк придется прикручивать еще восстанавливалку доступа для рукожопов, у которых слетел 2FA гугладля Lexa:
Ок. Тогда вопрос непосредственно к тебе, как знающему техническую
сторону вопроса лучше, чем большинство игроков.
Как именно в реалиях нашего проекта защитить свой акк тем игрокам,
которым есть чего терять, и соответственно, хотелось бы защитить?
Мы, со своей стороны, с удовольствием поддержим то, что может быть
реализовано, и при этом решает вопрос нашей безопасности.
Хотя бы "в первом приближении", да. Целенаправленно взломать можно
что угодно и кого угодно. | Как именно в реалиях нашего проекта защитить свой акк тем игрокам,
которым есть чего терять, и соответственно, хотелось бы защитить?
Суть топика:) | для Damager:
Я знаю что это такое и как оно работает.
Прочти правила, обрати внимание на п 1.8 и скажи, а для чего это вообще? |
1|2К списку тем
|