Форумы-->Идеи и предложения-->
1|2
| Автор | Сделать защиту пароля лучше |
|---|
| Недавно пришлось воспользоваться функцией восстановление пароля. Как обычно ввёл имя персонажа и емейл. на мыло я получил свой старый пароль! это же ужас! Не удивительно что так часто акки ломают, воруют пароли. Поэтому скорее уже как просьба к администрации: хочется чтобы на сервере хранились не сами пароли, а их хэш. Тогда их труднее станет украсть. | Не удивительно что так часто акки ломают, воруют пароли.
игру принципиально невозможно взломать, или ты всерьёз думаешь, что получив доступ к базе, взломщику будет интересен нуболоулевел, который точно по левым ссылкам ни вжисть не пойдёт, да ?)
хочется чтобы на сервере хранились не сами пароли
откуда вывод, что пароли хранятся в открытом виде?
учи матчасть лучше ка | | Нупский вброс | для RichardB:
Сам учи матчасть, если гордость не позволяет. Если хранятся не сами пароли а их хэш, то невозможно получить свой пароль как он есть. Только сменить на новый его возможно.
Вообще ваши (не ричарда а всех) комментарии не особо интересны, ведь 95% это нубы- анти-халявщики и просто лица которым нечего делать дай написать чего-нибудь. | Поэтому скорее уже как просьба к администрации: хочется чтобы на сервере хранились не сами пароли, а их хэш. Тогда их труднее станет украсть.
это подразумевает что могут слить всю базу аков. или ты всерьёз думаешь, что получив доступ к базе, взломщику будет интересен нуболоулевел, который точно по левым ссылкам ни вжисть не пойдёт, да ?)а не будут угонять персов типа Нолдора. пока еще топов никто не угнал. так что абсолютно безосновательно говорить что могут сломать саму базу. так что хеширование паролей тебе точно ничем от взлоов не поможет. | Проблема взломов никак не связана с предложением, если еще оно верное.
Как писал шериф, почему не 'ломают' империю и самых вкусных? И сюда спокойно подходит ответ, аля, ничего не будет изменено, пока нубы сами будут отдавать свои пароли.
Да и уровень кулхацкеров, которые по непонятной мне причине, как нубу-безанти-халявщику, вообще заходят за чужого перса, не грозит базе сервера.
Уровень тса, из за лени, был определен в пред посте. | | как игрок из категории нубы- анти-халявщики и просто лица которым нечего делать дай написать, дай напишу: проблема высосана из пальца, никаких взломов в игре нет, есть только наивные и глупые, которые сами дарят свои пароли мошенникам и лазят где попало, аля по "тестовым" серверам, квестам на брюли и золото и т.п. | Все сделанное человеком можно сломать.
Однажды могут сломать и админку, и тогда пригодилось, бы то что предлагает DarkDaniel - дало бы время всем пострадавшим сменить пароли самостоятельно.
Иначе администрации придется самим решать кого угнали, а кого нет - это в общем случае нетривиальная задача :) | Если хранятся не сами пароли а их хэш, то невозможно получить свой пароль как он есть.
почитай как взламывают md5. ну и почитай про обратимое и необратимое шифрование.
я написал, куда копать.
учись исправно, и не пиши более подобный вброс | 2 Richard, Самый Синий
Если админы ни чего не делают для безопасности - то аки будут и дальше ломать регулярно. в этой игре для обеспечения безопасности не сделано ни чего!!!!!
И плюс ещё сделано куча дырок!!!!
Пересылка паролей в открытом виде на почту - запрещена всеми рекомедациями по безопасности. У любого сисадмина увидевшего мейл с паролем - челюсть падает сразу. (для тех кто в танке - этот пароль в полне возможно подойдёт не только к героям, просто наличие хоть одного игрового пароля хакеру даст очень много информации о человеке)
самые простые решения для обеспечения весьма приличного уровня безопасности - это логин должен отличаться от игрового имени и быть привязан к мобиле. так же на мобилу должны приходить информация о смене паролей.
а рекомендации из серии не надо переходить на "левые ссылки" - это всё равно что написать не пользуйтесь интернетом, и в первую очередь игровыми сайтами типа www.heroeswm.ru | Все сделанное человеком можно сломать.
да только никакой "хакер" способный на взлом гвд не будет тратить своё время на взламывание гвд. | пароль в полне возможно подойдёт не только к героям
ответ:
запрещена всеми рекомедациями по безопасности.
ТС раздул из мухи слона. | пароль в полне возможно подойдёт не только к героям
ответ:
запрещена всеми рекомедациями по безопасности.
Всеми рекомендациями по безопасности также запрещено иметь несколько различных паролей от одного ресурса. а тут и клан чаты, клан форум, дейли и прочее. Рассказы про то что это всё пользователи должны всё это помнить, иметь разные пароли и тд - это опять-таки грубое нарушение безопасности (только уже админами).
Не всё так просто, как тут многие хотят показать. Сейчас невозможно избежать взлома персонального компа и кражи паролей таких. Но всё это можно в легкую компенсировать другими методами. Вот только тут ни чего не сделано.... | Мне кажется вы усложняете. при наличии прямых рук - проблем с "типа кражей" быть не может.
"Украли" пароль за счет фишингового сайта? сам виноват, нефиг было лезть куда не стоит
Стырили пароль с емейла, когда ты его туда восстанавливал - опять же, виноват сам. ибо нефиг было лезть в непроверенный софт-сайты, чтобы у тебя хакнули мейл. (а иначе я просто не вижу возможности про..терять пасс из письма).
Кто-то из твоих недоброжелателей увидал твой пасс, записанный на листочке - тут вообще без комментариев.
А если брать в расчет ситуацию, когда поступающая почта мониторится админом.. ну блин, а кто вообще выставляет как основной мейл - недостаточно защищенный ящик?
А вообще, ребят, по своему опыту скажу... в 99.9% случаев потери перса виноваты хозяева персонажей. Всякие там "праграммы для взлома золата в героях" пишутся нубами и для нубов. А если вдруг кто-то умудрится взломать ваш ящик или комп (причем именно взломать, а не воспользоваться вашими косяками), то вы действительно думаете, что делаться это будет ради героев? и вы действительно считаете, что, в таком случае, потеря пасса от персонажа будет вашей наибольшей проблемой? =)))
ПС. в качестве примера. в клиенте стоит доп. защита пароля (шифрование, ключ от которого хранится на компе, и воспользоваться паролями из клиента на других компах невозможно), так вы бы знали, сколько проблем у игроков возникает на этапе "переставил винду, потерял пароль от емейла. а от перса пасс забыл". | 2 DeMoN-MAX
не позорься.
Нет даже защиты от перебора паролей, нет требований к паролю. На сайте вообще ни чего для защиты нет.
в ИИП пишут
https://www.heroeswm.ru/forum_messages.php?tid=2204929
5. Взломан - возникло подозрение (или кто-то сообщил), что Ваш персонаж взломан.
В таком случае не нужно паниковать и обвинять Администрацию во всех смертных грехах. Это сделано для Вашего же блага, ради сохранности Вашего персонажа и его имущества. Вам же нужно ознакомиться с темой "Что делать, если ваш персонаж взломали" (https://www.heroeswm.ru/forum_messages.php?tid=903491) и принять соответствующие меры.
а при возникновении проблемы начинают как и ты сказки про 99.9% случаев потери перса виноваты хозяева персонажей расказывать. | для spb123:
ну, сказки рассказываешь сейчас именно ты, почему в основном ломают лоу-мидл ноунеймов, а не топ рейтинга или 14+ БУ? Именно потому, что высокие лвл и просто умные люди понимают, что не стоит лазить по подозрительным ссылкам, светить своё игровое мыло и т.д. | для spb123:
хм, ну сейчас проверил - нет таймаута после неправильного ввода паролей. раньше, вроде как, был.
но это мелочи. вернемся к нашим баранам. вот возьмем меня. у меня пароль из 10 (допустим) символов. среди которых знаки, большие и маленькие буквы и цифры. это что-то порядка 100 вариаций на 1 позиуию. на 2 позиции уже 100*100, соответственно. ну и так далее. т.е. 100^10 для такого пароля.
Предположим, что ты написал прогу, которая тупо перебором долбится на аккаунт. сколько уйдет на это времени? о! ты умный, и решил ускорить процесс? ну поздравляю. в игре идет отслеживание таких умных, которые долбятся по одному и тому-же адресу с периодичностью машины. и выдается суточный бан при частых запросах.
на 4000 запросов страницы у меня уходит где-то мм... ну часа 4. это при том, что мой-то софт проверен и разрешен к юзанию, и запрашивает дааалеко не страницу логина.
в общем уйдет у тебя пару лет на взлом пасса хая. с простеньким паролем. после чего любой, у кого есть опция просмотра "смен и пересечений айпишников" увидит это.
В общем паранойя - это, конечно, полезно. но иногда слишком уж...
А если тебе совсем страшно за перса - меняй периодически пасс. и вообще не пользуйся паролем типа *имядатарождения*. | | + ах да, еще добавим с полсотни знаков "второго" алфавита. т.е. 150*150. в общем бред же | 2 DeMoN-MAX
безопасность системы начинается с серверной части.
В каждой системе должна быть настроена политика безопасности (хотя бы теже требования к паролям).
Извещения о том что кто пытался подобрать пароль к вашей учётке.
Чёткая политика действий при возникновении проблем.
Всё это сделать элементарно, и совершенно достаточно для обеспечения достаточного уровня безопасноти к такого рода приложения как игрушка.
Если админы Вас разводят типа мы тут в белом а во всём вы виноваты - то это тупо разводка. Совершенно тупая разводка когда ни кто не чешется, хотя многие игроки платят деньги.
Сейчас ежедневно десятки сообщений идут о взломах, а админы все в белом... Глаза разуйте.
Напоминает рассказы о блондинках в магазинах авто-запчастей.
Где радостные продавцы их позорят по полной, а потом сидят без покупателей, так как у блндинок нет знаний об авто, но хватает мозгов чтобы понять что над ними поглумились. И больше в тот магаз - ни ногой!!!
Не хотите ли что бы к Вам также относились при походе к врачу?
Тогда не надо требовать от пользователей интернет игрушки выход в инет через виртуалку с линуксом, через NAT, прокси сервер на всякий, ежедневно менять пароль из 24 символов с отличием не менее 10, иметь 2-3 антивируса под линух, и с блокировкой всех других IP кроме ГВД. | для spb123:
гхм гхм... ладно, дальше пойдет холивар, в который мне влезать влом. да и потом, мы разными понятиями оперируем. я конкретным опытом ДАННОЙ игры, вы - понятиями "теоретической системы обеспечения безопасности". проехали короче. да и не относится тема уже к ИИП. При желании на все вопросы отвечу в ЛС |
1|2К списку тем
|
