Naviguer dans les forums
Trackers Ankama
L'ANKAMA AUTHENTICATOR NE PROTEGE PAS (proposition de réforme)
Par jojo292222#9519 02 Décembre 2022 - 11:15:40Bonjour à tous,
Je viens d'apprendre récemment le hack de notre très cher youtuber Dofus Touch Life, alors qu'il utilisait l'authenticator de chez Ankama ! Normalement c'est impossible, selon le staff, de se faire hacker avec ce système.
Je vais vous apprendre qu'en fait, si. Si vos identifiants tombent (par X raisons, ce n'est pas la question ici) entre les mains d'une personne mal intentionnée, elle peut configurer un appareil qui va spammer vos logs jusqu'à que vous activiez votre ankama authenticator, lui donnant par conséquent accès à ton compte avec l'option "enregistrer mes identifiants".
Je propose une réforme de l'application ANKAMA AUTHENTICATOR: remplacer le système actuel de "push & log" par un système plus sécurisé qu'est le "soft key", un soft key est une suite de chiffre générée aléatoirement toute les 30 seconde et que vous devez saisir avec les log de votre compte pour vous connecter. Le soft Code est très répandu dans l'univers de la sécurité des logs. Je vous ai fais un petit montage pour imager:
Edit: Avec le Soft code, si un appareil spam vos logs, ils ne pourra pas accéder à votre compte car il n'aura pas le code temporaire.
Mme Mr de chez Ankama, si vous souhaitez le meilleur pour votre communauté, vous vous devez de protéger leurs comptes de manière efficace.
Merci
Je viens d'apprendre récemment le hack de notre très cher youtuber Dofus Touch Life, alors qu'il utilisait l'authenticator de chez Ankama ! Normalement c'est impossible, selon le staff, de se faire hacker avec ce système.
Je vais vous apprendre qu'en fait, si. Si vos identifiants tombent (par X raisons, ce n'est pas la question ici) entre les mains d'une personne mal intentionnée, elle peut configurer un appareil qui va spammer vos logs jusqu'à que vous activiez votre ankama authenticator, lui donnant par conséquent accès à ton compte avec l'option "enregistrer mes identifiants".
Je propose une réforme de l'application ANKAMA AUTHENTICATOR: remplacer le système actuel de "push & log" par un système plus sécurisé qu'est le "soft key", un soft key est une suite de chiffre générée aléatoirement toute les 30 seconde et que vous devez saisir avec les log de votre compte pour vous connecter. Le soft Code est très répandu dans l'univers de la sécurité des logs. Je vous ai fais un petit montage pour imager:
Edit: Avec le Soft code, si un appareil spam vos logs, ils ne pourra pas accéder à votre compte car il n'aura pas le code temporaire.
Mme Mr de chez Ankama, si vous souhaitez le meilleur pour votre communauté, vous vous devez de protéger leurs comptes de manière efficace.
Merci
Réagir à ce sujet
Problème réglé.
Merci de clôturer le topic
L'attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s'agit de tester, une à une, toutes les combinaisons possibles. Cette méthode est en général considérée comme la plus simple concevable.
Alors, oui c'est un technique pour trouver le mot de passe d'un usager. Mais a priori, à cette étape l'authenticator fait son job, car a chaque éssai de code un message d'erreur apparaitra systématiquement, demandant d'activer l'authenticator. Donc c'est pas très viable comme technique.
Mr Baninji#2509, si tu ne t'arrêtais pas qu'au titre du topic (que je t'invite à lire ou relire), je décris dans mon poste que je pars du principe où la personne mal intentionnée possède déjà les logs (qu'elle a obtenue par X moyen, on ne parle pas de la manière de les obtenir ce n'est pas le sujet). Un soft key, empêcherai complètement la personne d'utiliser les logs car elle ne possède pas le code pour pouvoir enregistrer le compte sur son appareil.
Pas besoin d'être aussi expeditif, ce topic ne vise qu'à améliorer la sécurité du jeu.
Cette proposition de solution pour authentificator est une très bonne proposition car elle a au moins le mérite de vraiment protéger un minimum contrairement à la version actuelle.
Plus on avance dans le temps plus j'ai l'impression que la presence des bots arrange ankama car il paye un abonnement.
Si c'est le cas c'est quand même un sacré aveux de faiblesse technique et financier.
En bref le problème est surtout que si votre mots de passe fuite d'une façon ou d'une autres...
Physhing,Keylogger,... le mec qui à l'intention de vider votre compte à simplement à...
1:attendre votre connection en vous ajoutants ami
préparer la fenetre de log-in... attendre votre apparition en jeu...
2:Faire une connection avec "Sauvegarder le compte" cela vous deconnectera avec un simple avertissement connection perdue?!
3:Attendre gentillement que vous alliez faire dodo ou vous balancez un DDOS pour vous empecher l'accès au site/jeu...
La solution d'un code a usage unique --> supprimerai ce problème...
Mais bon faut pas trop en demander...
et pour le VDD il n'y a pas de problème de "Brute force" car il possède déjà le mots de passe... ni de spam car il à une fenetre de 0 a 30 seconde en fonction de la rapidité à la quels le propriétaire du compte à connecté son perso...
On est un paquet à être 200 et garder nos stuff les mieux fm pour ma part j’ai des items que je vendrais jamais je veux juste les garder car il sont pour mon optimisation j’aimerais les sécuriser si jamais je me fait hack in jours personne pourra les échanger ni les détruire.
Il se trouve justement que j'avais proposé une (Bonne ?) idée à ankama à ce sujet ici. Tu verra que leur réponse est ahurissante et que la protection envers les hack n'est pas dans leur intérêt.
Je t'invite à up le sujet si l'idée te plait.
A+
bonjour/bonsoir tout le monde
j'ai deja commenter ton sujet qui concerne la securité des stuff et j'ai egalement "liké" celui ci le jour meme de sa publication.
je trouve que les deux idées sont bonne , mais rien a faire , faut attendre qu'ils aient envie de faire qlq choses d'autre que de copier coller les skins offi pour remplir la boutique , l'argent passe avant tout dans une entreprise , et c'est bien ca le bute , on est tous d'accord , mais pas avant la stabilité des serveurs/le confort du jeu/et la securité des données personnels et des invistissement en $ et en temps des joueurs.
je commente aujourd'hui pour remonter ce sujet , mais pas seulement , je commente aussi pour suggérrer d'augmenter le nombre de compte qu'on peut securiser via authenticator .
je trouve que ne pas pouvoir mettre plus de 8 compte pour un joueur qui joue sur offi/retro/touch et qui ne veut pas jouer sur les meme compte , pour ne pas se faire hack/voler le tt a la fois juste si jamais il fait un fait une betise , et parcequ'il sait que la secu n'est pas au top est trop peu (je parle du nombre de comptes secrurisés qui est trop peu).....faudrai rajouter plus de place pour les comptes , tout comme on peut/pouvais avoir plus de compte avec le meme num/mails (ou de faire 8 compte pour chaque jeu . 8 pour offi/o autres pour DT .....)
cette securité (authenticator) est limite moyennement efficace sur offi ,mais assez fragile sur touch (qui comme t'as dis , il suffit juste d'enregistrer les donner et de spam "connection" , jusqu'a ce que tu as la "mal"chance que l'appli DT te redemande de te reconnecter (et c'est souvent le cas pour moi , je doit rentrer mes identifiants une fois tout les 10 jours)
j'espere qu'ils liront ton sujet , et qu'on aura une reponse , parce que comme ca , avec tout nos sujet ouvert desérté sans reponse , on a juste l'impression qu'on depense du temps a ecrire sans etre lu , que le forum n'est la que pour faire joli .