Bezpečnost vašich údajů a hesel

Informace o vybraných událostech ve hře. Pro kompletní informace o novinkách sledujte web.
Užitečné odkazy: Pravidla, Seznam změn, Tým Ekura
Zamčeno
Uživatelský avatar
Saggitarius
Zakladatel tématu
Game Administrator
Game Administrator
Příspěvky: 1265
Registrován: sob 01. kvě 2010 14:53:16
Poděkoval:
Má poděkování: 2943×

Bezpečnost vašich údajů a hesel

Příspěvek od Saggitarius » pát 11. lis 2011 23:00:06

Občas se objeví téma či tiket, který tvrdí, že nikdy nikomu nedal údaje k přihlášení a stejně byl vykraden. Proto vzniká toto téma, jako taková ukázka jak se lze k heslům dostat.


Jak jsou tedy data a hlavně tedy hesla na sindicate zabezpečena ?

Takže, nejprve je zde hardware ochrana.

Databáze je chráněna firewalem, který zamezí přístupu každému, kdo se nepřipojuje z jednoho ze 3 PC.
1 z nich je web (sindicate), zbylé 2 jsou IP adresy našich PC.
Kdyby se však stala chyba a dokázal by někdo prolomit hardwarový firewall (například jiný web na stejném PC v rámci hostingu), je nutno se prokázat přístupovým heslem. Kdy každý i správný přístup je monitorován. Ještě se doteď ale nestalo, že by přes firewall někdo prošel.
Stejným způsobem je chráněn přístup k serveru jako takovému. A tak se na daný PC nedá přihlásit bez hesla a kontroly IP adresy. Kde by někdo měl přístup k fyzické databázi.

Druhou stránkou je software ochrana.
Hesla v databázi k jednotlivým účtům jsou v databázi zahashována pomocí funkce známé jako HASH.
Viz reference na konci příspěvku.
Z wiki je patrné, že HASH se dá velmi obtížně dekódovat (restaurovat) Lze jej maximálně tak uhádnout.
Firma ORACLE, která vytvořila mimo jiných databázový systém MySQL, si pečlivě výpočet a kódování svých hesel střeží.
Na našem systému je navíc zvýšená ochrana hesel a to přidáním do hesel tzv. SALT viz reference.
Takže i kdyby někdo přešel přes první část tohoto příspěvku až k heslům, čekal by jej vcelku nadlidský úkol. Zde by bylo pro útočníka snazší si upravit svou vlastní postavu/účet než se "babrat" s heslem cizího účtu.

Druhá možnost jak se dostat k surovým datům v databázi je výpis přes tzv SQL Injektáž viz reference.
Zde je však ochrana skripty, které zastaví takovéto pokusy. Ještě vyšší ochrany se dosáhlo zákazem používat speciální znaky ve všech formulářích, které se odkazují do databáze. (Již před tímto krokem však byly chráněny jinými skripty, jen se přešlo na nové účinnější).

Prozatím si nevzpomenu co bych ještě zde dopsal, ale jistě proběhne několik úprav.


A nyní se dostaneme k možnostem z druhé strany jak se dostat k vašim heslům. Druhou stranou je myšlen přístup od Vás.

Nejsnazší je sdílení účtů (dobrovolně dodány údaje). Zde nemá smysl cokoliv dodávat, snad jen to, že by se lidi divili co jsou schopni někteří udělat pro pár nul a jedniček.

Další možností je uhádnutí hesla. Zde se nejčastěji vykukové dostanou k údajů typem pokus omyl. Jistě se najde tento případ mezi vámi : Jméno postavy = jméno účtu = heslo. To jest první věc co vyzkouší útočník. A pokud přes toto projde, pak ano nedali jste nikomu údaje, ale absolutně jste neudělali nic pro jejich ochranu.

Dále zde máme možnost okoukání hesla : přihlašujete se na veřejném místě (knihovna, u kamaráda či u vás doma a kamarád stojí za zády). Čím častěji se přihlašujete, tím více má šancí heslo okoukat. Zde bohužel je problém s přehlašováním na jiné CH, kdy je nutno v launcheru znovu zadat údaje a tím dát novou možnost okoukání. Za toto se omlouváme, ale je to "nutnost ochrany".

Zábavnou částí jak přijít o účet jsou případy nazývané jako podvodné weby, slibující odměny na Váš účet. Ať už lépe či hůře tvořené s naší či bez naší grafiky. Pokud by od nás měla vzniknout taková to akce, tak bude vždy jen na našich stránkách. Nevím proč by jsme ji dávali na stránky poskytující "škaredé" domény třetího řádu.

Velmi podobnou kategorií jsou tzv. yang hacky, drop hacky, +9 hacky, trade hacky ap., které po Vás opět chtějí zadat Vaše jméno a heslo, které má zabezpečit funkčnost podvodu, ale místo toho jsou tyto údaje odeslány buď do hry, nebo na email, skype, icq .... atd.

Podobně na tom jsou tzv. keylogery. Tyto programy odchytávají to co píšete na klávesnici a jsou pak údaje odesílány útočníkovi. Tyto programy mohou být nabaleny na předchozí kategorii (takto si zabezpečí útočník přístup i k dalších účtům, na které se přihlásíte) či již na samotnou instalaci hry (proto vždy doporučujeme používat jen a pouze instalace uvedené na našem webu, které jsou "čisté". Co k nim přibalí jiní (ne vždy to tak musí být, ale neručíme za ně) to již nelze prověřovat.

A přicházíme k další variantě. Tou jsou programy pro správu na dálku. Kdy poskytnete možnost ovládat Váš počítač na dálku. Tuto schopnost má mnoho programů a mimo jiné také Skype (hojně využívaný). Kdy stačí, že máte tuto funkci povolenu (či vyžádánu) a útočník pak změní údaje přímo na vašem PC.

Další možností jak být okraden je, že budete hrát či přistupovat ke svému účtu na počítači, který je již některým výše uvedeným příkladem napaden. Čistotu počítače si například ve škole či knihovně nemáte kolikrát ani jak ověřit.

Stejné problémy se dají sepsat na téma bezpečnosti vašich emailu. Kde platí to samé a je to často opomíjeno. Například kombinace kdy je heslo shodné jak pro email tak pro účet.



Takže je třeba si dávat pozor kde, na čem či před kým se přihlašujete. Jak máte ochráněn počítač či přístupové údaje. A kdo všechno má k danému počítači přístup.

Nástrah na běžného hráče čeká mnoho, ale není v našich silách se o vaše PC postarat. My chráníme data jak je to jen z naší pozice možné. Zbytek záleží na Vás.

Další náměty klidně v diskuzi.

Edit 23:15 :
Ještě jedna připomínka, která se týká daného problému. Pokud někdo napíše tiket, ve kterém žádá údaje ke svému účtu, tak bohužel většinou narazí. V rámci ochrany osobních údajů, ke kterým jsme se ze zákona zavázali, nemůžeme poskytovat údaje třetím osobám. Franta Čahoun z Horní Dolní nemůže dostat informaci, na kterém účtu má postavu FrantaCahoun i kdyby byla jeho, když nenapíše na tiket z emailu, který patří k danému účtu atd.

_________________________________________________________
Reference:
HASH http://cs.wikipedia.org/wiki/Ha%C5%A1ovac%C3%AD_funkce
Typy hesel a SALT http://interval.cz/clanky/salted-hash-d ... zpecnosti/
SQL Injection http://cs.wikipedia.org/wiki/SQL_injection
[GA]Saggi
Ekura tým

Pokud máte nějaký problém, kontaktujte nás na http://www.ekura.cz/herni_ucet/support

Zamčeno

  • Nemáte právo psát zprávy v chatu.
@ TomasFoxx « sob 12:53 am »
@qSTRoNgMANp :  víš že si tam můžeš odstranit ty dvojtečky a bude to pak víc seksi
@ LycousOriginal « sob 12:31 am »
Jak je weisi ? 😀
@ Lacius « sob 12:28 am »
@qSTRoNgMANp :  :whistle: :whistle:
@ qSTRoNgMANp « sob 12:28 am »
@Lacius :  :arrow: :inlove: @Kaenos  
@ Lacius « sob 12:25 am »
@Kaenos :  :hello:
@ Kaenos « sob 12:17 am »
Team Insult se uděluje zejména za porušení tohoto pravidla: Ve hře, na fóru, supportu, stejně tak jako na všech webových stránkách je přímo zakázáno a tvrdě trestáno napodobování členů týmu, rozhlašování ať již pravdivých či falešných identit a informací o členech týmu.
@ Hakan « sob 12:15 am »
Pravda, ať si svůj ban řeší sám, my do toho nemáme co kecat.
@ schvarz « sob 12:14 am »
Hele já si nemyslím, že má smysl tohle nějak dál asi řešit. Jediný, co z toho bude, budou leda tak warny a možná i další tbčka, pokud se to tu rozproudí :D
@ Aylia « sob 12:13 am »
@Shamir :  vždyť ty tb dostal až po tom, co skončila cechovní war, tohle psal v té první
@ Hakan « sob 12:11 am »
to ho neopravňuje to potom opravdu dělat
@ Hakan « sob 12:11 am »
Ikdyž to bylo po tom co TB dostal
@ Hakan « sob 12:11 am »
též věřím že GM určitě neurážel po tom co jsem viděl 2 zprávy o pravém opaku
@ Shamir « sob 12:10 am »
@Aylia :  To bylo až potom, co dostal těch 15 TB.
@ Shamir « sob 12:09 am »
@pikasek :  Podle něj GM nijak neurážel.
@ Aylia « sob 12:05 am »
Nevím no, napsat že "nahlásí gm team za zneužití pravomocí" :think:
@ pikasek « sob 12:01 am »
@Shamir :  Tak očividně ti poslal ten ticket, když to zvládneš posoudit, tak nám ho tady dejte všem ne :think:
@ Shamir « pát 11:57 pm »
Nechápu, z čeho má TB za team insulting, když žádné GM neurážel
@ MoravskyPepin « pát 11:48 pm »
@TomasFoxx :  Ne pls
@ TomasFoxx « pát 11:40 pm »
@MoravskyPepin :  ja bych zrusil tebe
@ MoravskyPepin « pát 11:14 pm »
Já bych vám ty PvPčka zrušil, pak se to tady jenom hádá
@ disaster1591 « pát 11:12 pm »
ja potrebujem vediet kazducky detail :sheriff: to ze dostal top healer na servery 15tb je predsa vec velka
@ TomasFoxx « pát 11:06 pm »
@disaster1591 :  krudan 15tb, vic vedet nepotrebujes😂😂
@ disaster1591 « pát 11:04 pm »
Co sa to tu riesi zachytil som len slova Krudan a FireFly :lol:
@ Huricano « pát 10:58 pm »
Krudane, kde ty takové info bereš kamarade? :D https://i.imgur.com/pZ16fFo.jpg
@ Lacius « pát 10:49 pm »
@Hakan :  :up:
@ Ivetka « pát 10:49 pm »
wtf
@ SamJsiLama « pát 10:48 pm »
To se spíš měl zabalit celej do pytle
@ Hakan « pát 10:48 pm »
Tak doufám, že si aspoň vzal roušky když už šel ven. Nemusí být na to dění v realném světě ready
@ Atanvarno « pát 10:47 pm »
:DDDDDD
@ Ariyon « pát 10:47 pm »
🤣🤣
@ SamJsiLama « pát 10:47 pm »
Třeba ho teď hasiči sundávají ze střechy 🤔
@ Atanvarno « pát 10:46 pm »
Už ho nechte, asi vzteky přehryzal všecky káble, že tu néni
@ Borda91 « pát 10:46 pm »
@Hakan :  to uz driv bude ten update nez krudan uzna chybu :lol:
@ SamJsiLama « pát 10:46 pm »
Sakra, kdo bude v modré král teď když jsme přišli o krudana..
@ Hakan « pát 10:44 pm »
Krudane ty asi nikdy nepřiznáš že jsi někdy něco přepísknul že? Vždy máš pravdu a kopeš jen kolem sebe. Tahle tvoje zpráva může být klidně považována za další team insult :)
@ Borda91 « pát 10:44 pm »
@TomasFoxx :  budou jak supporti v lolku a ne utocna zbran :think:
@ TomasFoxx « pát 10:43 pm »
@Borda91 :  akielovi se nevyrovna ani 20 healeru co by chodilo healovat, proste je to prohrany
@ Borda91 « pát 10:41 pm »
@TomasFoxx :  budes muset chodit lecit minuty ty
@ TomasFoxx « pát 10:39 pm »
achjo, ted modra 15 dni nevyhraje zadnou valku, prisli jsme o naseho tahace
@ Atanvarno « pát 10:30 pm »
Myslím si, že GA, ani GP to řešit nebude, tohle je kauza přímo pro Andreje Babiše.
@ INParadise « pát 10:30 pm »
@Krudan :  A TATÍNEK VÁM VYHLÁSÍ VÁLKU
@ schvarz « pát 10:28 pm »
Teda ale dostat jednu L+ vitalitu za ošatku 25 vajec, kterou sbírám půl hodiny, to je teda na ránu :D
@ Borda91 « pát 10:20 pm »
@Pajik :  Tak ono jeho jsem dal jen jako priklad, tech cechu co nepujdou je vice,ale hlavne ze se bude brecet ze se PvP vyuzije 3x tydne
@ Pajik « pát 10:19 pm »
@Borda91 :  Protože kdyby šel proti jakémukoli z těch 2 cechů, tak by byl rád za pár bodíků
@ pikasek « pát 10:18 pm »
Chudák to nevydychal
@ Borda91 « pát 10:18 pm »
@Krudan :  Narozdil od tebe,alespon jsme neco podnikli,misto brekotu na to ze PvP ma vyuziti jen 3x tydne ve valce risi. Jine cechy nepujdou,viz napriklad ty.
@ pikasek « pát 10:16 pm »
🤣🤣🤣🤣
@ INParadise « pát 10:15 pm »
@ INParadise « pát 10:15 pm »
@ SamJsiLama « pát 10:15 pm »
decka bez sebaucty
@ INParadise « pát 10:13 pm »
:D
@ Atanvarno « pát 10:12 pm »
:D :D :D
@ Aylia « pát 10:12 pm »
:lol: :lol: :lol:
@ LordGabriel « pát 10:10 pm »
:DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
@ Ariyon « pát 10:09 pm »
🤭🤔🤔
@ pikasek « pát 10:03 pm »
@Krudan :  myslíš to 3v1 kde jeden nebojoval jen stal na koni ? :think:
@ Krudan « pát 9:55 pm »
@INParadise :  Vcera som nakopal vasich clenov 3v1.. mas pravdu.. pocet je jedine co mate... zato sebaucta a cestnost vam chyba kde sa len da....
@ INParadise « pát 9:44 pm »
@Krudan :  Jedinej problém, ty jsi lopata co by nesložila ani polovinu našeho jednoho cechu :D Máme oproti tobě přes 20 PvP lidí a ještě ktomu máme s oběma cechama pozemek :D
@ Alkoholik « pát 9:41 pm »
Je pravda, ze zo 150 slabota.. ja som si zakladal dropa kvoli tomu.. zo 100ky mi to padalo na lvli 110 lepsie ako zo 150
@ Hakan « pát 9:34 pm »
NeverFun -> Begin the way on the TOP

Kdo chatuje

offline Kaenos 
offline Nicolaus