Перейти к публикации

Безопасность аккаунта


Перейти к решению Решение от Prototype,

Рекомендованные сообщения

Заголовок конечно же кликбейт, у меня вопрос несколько иного плана.

На industrial S1 последнее время участились взломы игроков и выносы РГ и вещей, и если таким игрокам можно ответить "Ставь 2FA, не используй на других проектах один и тот же логин/пароль", в мрём случае выдалась забавная ситуация. 

Мне и другу (vanek3003) отправили пароли от наших аккаунтов. Без выноса РГ и прочего, только пароль с советом сменить его. У нас стоят 2fa. Только при входе в лаунчер не запрашивается код авторизации, в чём смысл от 2fa тогда? Не знаю на счёт друга, но я сам не играл никогда на других проектах.

Возникают вопросы, каким образом это стало возможным? Как обезопасить аккаунт в таком случае? 

Если по вине проекта вынесут всё что было приобретено путём доната, никто ведь этого не восстановит.

 

Ссылка на комментарий

Есть очень геморный способ получить игровые файлы путём беседы через мессенджер или тот-же Skype. Крякнутый TM с БД доисторических рутов. Так что стать жертвой взлома можно даже не подозревая. 

Совет: никогда не используй эксплорер и следи за FW.

Ссылка на комментарий
4 минуты назад, Kraken сказал:

А Вы попробуйте авторизироваться в лаунчере с другого IP адреса. Ну ли с впн'ном.

Авторизовался сразу после смены пароля с другого wifi. Никакого 2fa не спросили даже .

Ссылка на комментарий
1 минуту назад, Sidten сказал:

Авторизовался сразу после смены пароля с другого wifi. Никакого 2fa не спросили даже .

Если комп один и тот же 2fa не запросит, только вдруг будет зафиксирован вход с другого компьютера 2fa сработает.

Ссылка на комментарий
Только что, Kraken сказал:

Если комп один и тот же 2fa не запросит, только вдруг будет зафиксирован вход с другого компьютера 2fa сработает.

Ну, ты сказал Ip - этот вариант отмели. Другого ПК у меня к сожалению нет 😞

Вопрос был не в этом.

Ссылка на комментарий
Только что, Sidten сказал:

Ну, ты сказал Ip - этот вариант отмели. Другого ПК у меня к сожалению нет 😞

Вопрос был не в этом.

Вопрос был в том как обезопасить свой аккаунт, если у тебя стоит 2fa то никто не сможет зайти под твоим ником в игру или на сайт, исключением есть форум, который не запрашивает 2fa.

Ссылка на комментарий
2 минуты назад, Kraken сказал:

Вопрос был в том как обезопасить свой аккаунт, если у тебя стоит 2fa то никто не сможет зайти под твоим ником в игру или на сайт, исключением есть форум, который не запрашивает 2fa.

Используя тот же мессенджер или другой источник прямой связи, и если автор темы использует Opera, Mozilla, Chrome, можно обратиться к старым добрым exo's для перехвата активированного 2fa. Но ломать через этот геморой - себя не уважать. Тем более кубачи. 

Ссылка на комментарий

Ладно я, ситуация касается  и других игроков не меньше.

В частности тех, у кого нет 2fa. 

Если такое имеет место быть - есть дыры в безопасности проекта.

Ссылка на комментарий
11 минут назад, Sidten сказал:

Ладно я, ситуация касается  и других игроков не меньше.

В частности тех, у кого нет 2fa. 

Если такое имеет место быть - есть дыры в безопасности проекта.

Те кто не ставят 2fa это уже их проблема, на сайте каждую новую страницу или каждый раз при обновлении страницы Вам предлагают обезопасить свой аккаунт, игроки же нажимают "я люблю рисковать" в чём тогда вопрос собственно?

Ссылка на комментарий
1 минуту назад, Sidten сказал:

Ладно я, ситуация касается  и других игроков не меньше.

В частности тех, у кого нет 2fa. 

Если такое имеет место быть - есть дыры в безопасности проекта.

Эти дыры никак не завязаны на БД проекта. Абсолютно. Эту операцию можно провести и на серверах Microsoft. Здесь фигурирует лишь вопрос необходимости операции.

Ссылка на комментарий
4 минуты назад, Chertopolokh сказал:

Используя тот же мессенджер или другой источник прямой связи, и если автор темы использует Opera, Mozilla, Chrome, можно обратиться к старым добрым exo's для перехвата активированного 2fa. Но ломать через этот геморой - себя не уважать. Тем более кубачи. 

Вариант геморрный - значит не юзабелен.

Господа, какие ваши варианты получения левым человеком паролей учётом в моём случае?

Сразу отметаем вирусы, БД других проектов, "сказал кому то" и тд. 

 

Или так понимаю как они узнают пароли это сугубо проблемы игроков без 2fa? а у кого она есть - те молодцы просто.

"Мы предупредили, наша хата с краю".

Ссылка на комментарий
1 минуту назад, Sidten сказал:

Вариант геморрный - значит не юзабелен.

Господа, какие ваши варианты получения левым человеком паролей учётом в моём случае?

Сразу отметаем вирусы, БД других проектов, "сказал кому то" и тд. 

 

Или так понимаю как они узнают пароли это сугубо проблемы игроков без 2fa? а у кого она есть - те молодцы просто.

"Мы предупредили, наша хата с краю".

Я не буду излагать все детали этого процесса по понятным причинам. Скажу кратко, существует ряд источником с непостоянным доменом где публикуется LP для перехвата IP, Coockies с незащищённого соединения или устаревшего LAN протокола, (как и работает Skype при вылете общей сети). По такому принципу работает не только он, я привёл пример.

 

Ссылка на комментарий
  • Developer
  • Решение

Регулярная смена пароля хотя бы раз в пол года и установка 2FA 100% поможет избежать подобной ситуации.

2FA запросит подтверждение при смене ПК, ибо нет смысла её вводить каждый раз.

Ситуация, которую вы описали, возможна только со старыми аккаунтами, на которых давно не меняли пароль.

Не используйте одинаковые пароли на разных проектах.

Ссылка на комментарий
Гость
Эта тема закрыта для публикации сообщений.
  • Сейчас на странице   0 пользователей

    • Нет пользователей, просматривающих эту страницу.
×
×
  • Создать...