Безопасность аккаунта

[Sidten 1]

Заголовок конечно же кликбейт, у меня вопрос несколько иного плана.

На industrial S1 последнее время участились взломы игроков и выносы РГ и вещей, и если таким игрокам можно ответить "Ставь 2FA, не используй на других проектах один и тот же логин/пароль", в мрём случае выдалась забавная ситуация. 

Мне и другу (vanek3003) отправили пароли от наших аккаунтов. Без выноса РГ и прочего, только пароль с советом сменить его. У нас стоят 2fa. Только при входе в лаунчер не запрашивается код авторизации, в чём смысл от 2fa тогда? Не знаю на счёт друга, но я сам не играл никогда на других проектах.

Возникают вопросы, каким образом это стало возможным? Как обезопасить аккаунт в таком случае? 

Если по вине проекта вынесут всё что было приобретено путём доната, никто ведь этого не восстановит.

 

[Kraken 2093]

А Вы попробуйте авторизоваться в лаунчере с другого IP адреса, ну ли с впн'ном и посмотрите как работает 2fa.

[Chertopolokh 430]

Есть очень геморный способ получить игровые файлы путём беседы через мессенджер или тот-же Skype. Крякнутый TM с БД доисторических рутов. Так что стать жертвой взлома можно даже не подозревая. 

Совет: никогда не используй эксплорер и следи за FW.

[Sidten 1]

4 минуты назад, Kraken сказал:

А Вы попробуйте авторизироваться в лаунчере с другого IP адреса. Ну ли с впн'ном.

Авторизовался сразу после смены пароля с другого wifi. Никакого 2fa не спросили даже .

[Kraken 2093]

1 минуту назад, Sidten сказал:

Авторизовался сразу после смены пароля с другого wifi. Никакого 2fa не спросили даже .

Если комп один и тот же 2fa не запросит, только вдруг будет зафиксирован вход с другого компьютера 2fa сработает.

[Sidten 1]

Только что, Kraken сказал:

Если комп один и тот же 2fa не запросит, только вдруг будет зафиксирован вход с другого компьютера 2fa сработает.

Ну, ты сказал Ip - этот вариант отмели. Другого ПК у меня к сожалению нет

Вопрос был не в этом.

[Kraken 2093]

Только что, Sidten сказал:

Ну, ты сказал Ip - этот вариант отмели. Другого ПК у меня к сожалению нет

Вопрос был не в этом.

Вопрос был в том как обезопасить свой аккаунт, если у тебя стоит 2fa то никто не сможет зайти под твоим ником в игру или на сайт, исключением есть форум, который не запрашивает 2fa.

[Chertopolokh 430]

2 минуты назад, Kraken сказал:

Вопрос был в том как обезопасить свой аккаунт, если у тебя стоит 2fa то никто не сможет зайти под твоим ником в игру или на сайт, исключением есть форум, который не запрашивает 2fa.

Используя тот же мессенджер или другой источник прямой связи, и если автор темы использует Opera, Mozilla, Chrome, можно обратиться к старым добрым exo's для перехвата активированного 2fa. Но ломать через этот геморой - себя не уважать. Тем более кубачи. 

[Sidten 1]

Ладно я, ситуация касается  и других игроков не меньше.

В частности тех, у кого нет 2fa. 

Если такое имеет место быть - есть дыры в безопасности проекта.

[Kraken 2093]

11 минут назад, Sidten сказал:

Ладно я, ситуация касается  и других игроков не меньше.

В частности тех, у кого нет 2fa. 

Если такое имеет место быть - есть дыры в безопасности проекта.

Те кто не ставят 2fa это уже их проблема, на сайте каждую новую страницу или каждый раз при обновлении страницы Вам предлагают обезопасить свой аккаунт, игроки же нажимают "я люблю рисковать" в чём тогда вопрос собственно?

[Chertopolokh 430]

1 минуту назад, Sidten сказал:

Ладно я, ситуация касается  и других игроков не меньше.

В частности тех, у кого нет 2fa. 

Если такое имеет место быть - есть дыры в безопасности проекта.

Эти дыры никак не завязаны на БД проекта. Абсолютно. Эту операцию можно провести и на серверах Microsoft. Здесь фигурирует лишь вопрос необходимости операции.

[Sidten 1]

4 минуты назад, Chertopolokh сказал:

Используя тот же мессенджер или другой источник прямой связи, и если автор темы использует Opera, Mozilla, Chrome, можно обратиться к старым добрым exo's для перехвата активированного 2fa. Но ломать через этот геморой - себя не уважать. Тем более кубачи. 

Вариант геморрный - значит не юзабелен.

Господа, какие ваши варианты получения левым человеком паролей учётом в моём случае?

Сразу отметаем вирусы, БД других проектов, "сказал кому то" и тд. 

 

Или так понимаю как они узнают пароли это сугубо проблемы игроков без 2fa? а у кого она есть - те молодцы просто.

"Мы предупредили, наша хата с краю".

[Chertopolokh 430]

1 минуту назад, Sidten сказал:

Вариант геморрный - значит не юзабелен.

Господа, какие ваши варианты получения левым человеком паролей учётом в моём случае?

Сразу отметаем вирусы, БД других проектов, "сказал кому то" и тд. 

 

Или так понимаю как они узнают пароли это сугубо проблемы игроков без 2fa? а у кого она есть - те молодцы просто.

"Мы предупредили, наша хата с краю".

Я не буду излагать все детали этого процесса по понятным причинам. Скажу кратко, существует ряд источником с непостоянным доменом где публикуется LP для перехвата IP, Coockies с незащищённого соединения или устаревшего LAN протокола, (как и работает Skype при вылете общей сети). По такому принципу работает не только он, я привёл пример.

 

[Prototype 2084]

Регулярная смена пароля хотя бы раз в пол года и установка 2FA 100% поможет избежать подобной ситуации.

2FA запросит подтверждение при смене ПК, ибо нет смысла её вводить каждый раз.

Ситуация, которую вы описали, возможна только со старыми аккаунтами, на которых давно не меняли пароль.

Не используйте одинаковые пароли на разных проектах.