Pull to refresh

Comments 60

Не совсем понял как девайс работает?
Он с компом вообще не связан? Или связан? Если да, то как?
Похоже, это обычный генератор псевдослучайных чисел. Такой, что сложно предсказать следующее выдаваемое число, не зная начального "зерна". А близзардовцы, выдавая этот генератор знают его начальное "зерно" и могут генерировать такие же последовательности, т.е. могут их сверять.
Сапорт Близарда пишет вот это:
You must first associate the Blizzard Authenticator to the World of Warcraft account you play. Once the account has been linked, the Authenticator token will be required to log in to Account Management or to the game; when logging in, you will be prompted to supply a digital code generated by the Authenticator.

Я не слишком въехал, как именно нужно связывать девайс с акком и как логинится в Акк.менеджмент (ибо не варкрафтер - не знаю кухни внутренней), но описалово краткое в пост добавил.
Да я сам ни разу не играл :)
Может каждый брелок умеет генерировать свой набор из шестизначных чисел. А в аккаунте вводишь любое число с брелка и там на сервере уже знают какие могут быть другие числа. Может как-то так.
Обычно надо регистрировать серийный номер брелка.

Тут вся шутка в алгоритме генерации одноразового пароля, который привязан ко времени.

Хорошая защита.
Лучше не связывать - меньше шансов хака.
Там пароль всё равно спрашивается.
Это не миди, а треккерная музыка.
Демо-сцена традиционно писала и использовала музыку на програмных секвенсерах (трекерах). Принцип похож на MIDI, но не MIDI. :)

Из известных могу вспомнить Stream Tracker.
UFO just landed and posted this here
Такую штуку взломать стоит на порядок дороже, чем купить все эти шмотки за реальные деньги. Хотя, если кто-то вместо Феррари может позволить себе ломать код одного брелка ...
Шесть знаков - маловато вроде...
Кстати, а что если разобрать и изучить? Есть ли возможность взлома?

P.S. я не играю, просто интересно.
Я думаю, что секретность базируется не на секретности алгоритма, а на секретности ключа ("зерна").
Это же одноразовые пароли.
Бедные идиоты. Просирают свою жизнь в виртуальном мире, фигачат друг друга из-за виртуальных шмоток, да еще и теперь такая напасть у них.
Богатые умники. Просирают свою жизнь в реальном мире, фигачат друг друга из-за реальных шмоток...
Терпимей нужно быть в оценках, уважаемый. У каждого свой выбор досуга и времяпрепровождения.
Не сомневаюсь, что вы обладаете достаточным статусом для себя, чтобы позволять такие высказывания, но общей картины это не меняет (:
UFO just landed and posted this here
UFO just landed and posted this here
Вау, прямо RSA SecureID !!!
Так называемый плавающий ключь, к стати запрещён к применению в РФ и не только :-)

Штука, по сути обычные часы, которые вместо времени показывают производную некой секретной функции аргументами для которой является время и айди устройства.
Близард знает сколько время, знает алгоритм секретной функции, и таким образом может идентифицировать конкретное устройство по введённому пользователем в данный момент времени числу!
Может-быть, не знаю как сейчас, но на момент моего первого знакомства с RSA SecureID оно было так, что в прочем мало кого интересовало...

По идее, для прохождения сертификации средство шифрования должно фактически содержать уязвимость в алгоритме шифрования, дабы у большого брата проблем не возникло...

PS. В теории и сигнал мобильника шифруется с помощью псп, так что на его вскрытие должно потребоваться мнооого лет, однако на практике...
странно, а у нас в конторе используется...
Скорее всего устройство работает так:

При нажатии на кнопку генерируется последовательность чисел. Входящие данные в генератор: дата, номер аккаунта.

Соответвенно код будет работать небольшой промежуток кремени, например, минуту.

Использование - можно будет передавать своего "персонажа" другим людям без боязни того, что его не вернут. У кого брелок - тот и рулит.
Да, это похоже на аналог вариант RSA SecurID. Сам такой использовал на старой работе.

Обычно код работает минуту, и бывает нужно помнить секретный ПИН, который добавляется к номеру.
насколько я понимаю, используется технология OTP - one time password

мы используем решение Secure Computing - http://www.securecomputing.com/index.cfm?skey=1106

также есть решения Aladdin, RSA и т.д.

"Одноразовый пароль – это ключевое слово, действительное только для одного процесса аутентификации в течение ограниченного промежутка времени. Такой пароль полностью решает проблему возможного перехвата информации или банального подглядывания. Даже если злоумышленник сможет заполучить пароль "жертвы", шансы воспользоваться им для получения доступа равны нулю. "

можно почитать на http://www.infosecurity.ru/cgi-bin/cart/arts.pl?a=_060817
Именно!
К слову сказать, замечательный способ авторизации в админке самописного чего-то.
Просто как пример:
Пароль=месяц+число+часы+минуты округлённые до десятков.

Часы у вас в компе есть, или даже на самом сайте можно отобразить время сервера, а вот какие вы математические\логические\лингвистические операции проделаете с этим....
Великолепный способ авторизации...
здесь ещё один аспект есть - железка - она одна и уникальная, вы её можете уничтожить и тогда доступ будет существенно затруднён

а алгоритм вы расскажете.. после терморектального криптоанализа (:-)
Алгоритм могут вскрыть.

Так что берем crypt/MD5 и хешируем пароль. :)
Для надежности в уме шифруем, что получилось, в AES.

В уме! :)
а для пущей безопасности надо брать соленый md5 - т.е. считаем его дважды, в уме естесственно =)
еще не стоит забывать о том, что данный ключик скорее всего генерирует лишь часть пароля, а другая часть есть статическая, которую пользователь придумывает и держит в голове сам.
Ничего нового. Использую такой еТокен для подключения к vpn уже года три.
Интересный гаджет,я думаю,что многие поклонники Вов, да и просто фанаты шедевров,которые делает Blizzard, купят его.
> да и просто фанаты шедевров,которые делает Blizzard

А им-то нафиг?
видишь на брелке красуется надпись Близзард,один мой знакомый и жизнь отдаст за все что связано с этой компанией
Сам не играю, но вероятно, продажа персонажа станет весьма проблематичной, так как придётся и эту штуку как-то передавать... :)
Не думаю.

Это ж только для тех, кто хочет экстра-безопасность получить.
Ну продажа персонажей запрещена по внутренним правилам игры, вообще-то (: Так что это не прокатит)
То, что продажа запрещена, не мешает людям покупать и продавать деньги/аккаунты.
ну близзардам это не мешает банить такие аккаунты (:
Тем не менее, продаётся намного больше, чем банится.
Я думаю эту штуку можно будет отключить в Account Management.
Ввод ключа с клавиатуры-то все-равно будет. Так что скорее прокатит только в случае ограниченного времени действия ключа, как сказали выше.
Еще как вариант, чтобы эта фиговина была юсб-девайсом с ключом внутри, аналогично ситуации с 1С. Унес девайс - нету доступа. Но это уже совсем, имхо, излишки. Плюс доп. трудности при утере данной девайса-ключа.
Через 5 лет:
Боитесь за своего персонажа? Приобретите наш новый ДНК-чекер, который проверит ДНК-совместимость, отпечаток пальцев и сетчатку глаза, а также голосовые и физические парметры, дабы ва не оторвали палец и не вырвали глаз))))
Всего лишь 10000$
Ух, вроде все айтишники, а версий — как в "Что? Где? Когда?".

Что это? Это действительно двухфакторная индентификация ("что-то, что я знаю — пароль" и "что-то, что у меня есть — брелок"), которая лучше именно тем, что для доступа нужно не просто что-то узнать (подобрать, подслушать, засниффить), но и иметь физически — конкретный брелок. Эта система используется повсеместно для доступа в интернет-банки и VPNы. Для ответственных операций внутри безопасного периметра (проведение крупных сделок, например) брелок может использоваться повторно. Иногда сам брелок защищен пин-кодом (нет предела паранойе).

Как работает? Брелок генерирует ОТР, одноразовый пароль, который добавляется к обычными логину-паролю. Вариантов два. Наиболее популярный — система а ля RSA, где пароль генерируется от текущего времени и валиден в течение короткого окна (обычно — одной минуты). Сервер знает, какой именно пароль сгенерирует ваш брелок в данную конкретную секунду, ибо считает его тем же алгоритмом, от того же корня, от того же момента во времени. Проблема: через энное время и количество использований часы на брелке рассинхронизируются с часами на сервере и пароли перестают работать, брелок нужно менять.
Чуть менее популярный вариант — система еТокен, где числа генерируются не от времени, просто по порядку: одна активация — одно число. Такая система не зависит от часов (в ней часов и нет), и "окном" является плюс-минус несколько кодов — сервер знает, какие коды и в каком порядке генерирует ваш брелок, а также помнит, какие коды вы уже использовали и ждет от вас одного из следующих пяти, скажем, кодов по списку. Понятно, что если нажать кнопочку раз пятьдесят, то "ваши" коды уйдут далеко-далеко, и сервер их не узнает. В этом случае вы переходите в режим синхронизации и вводите 5-6 кодов подряд, сервер находит нужное место в списке и вы спокойно начинаете работу с этого момента в обычном порядке.
Кстати, есть третий, самый дешевый вариант — это ОТР-карточки, на которых выписаны 50-100 паролей, и соответственно кража только одного из паролей дает лишь 1-2% шанса, что злоумышленник войдет в систему. Пароли, конечно, не совсем одноразовые, иначе придется менять карточку через 50-100 логинов соответственно — а для активной работы с системой (как часто игрок логинится в WoW?) это многовато.

Как и в большинстве случаев, дополнительная безопасность — дополнительные расходы (стоимость брелка, его доставки, замены и т.п.) и дополнительные неудобства (необходимости иметь брелок при себе и передавать при передаче доступа к персонажу, необходимости светить какой-то реальный адрес для доставки брелка и пр.)

Но вообще — шаг разумный и понятный.
Покупаешь данный девайс
заходишь в акк менаджер. авторизуеш брелок по серийнику
запускаешб клиент, вводиш лог/пас
далее если всё ок тыкаешь по кнопке на брелке. генерица код на основе серийника
А откуда вы взяли что брелок вообще дату знает? Там же одна кнопка на передней панели, и врядли другие есть - как же дату/время установить?
Sign up to leave a comment.

Articles