-
Mitspieler gesucht? Du willst dich locker mit der Community austauschen? Schau gerne auf unserem ComputerBase Discord vorbei!
News Echtgeld-Auktionshaus in Diablo 3 nur mit Authenticator
- Ersteller Jirko
- Erstellt am
- Zur News: Echtgeld-Auktionshaus in Diablo 3 nur mit Authenticator
Magellan
Fleet Admiral
- Registriert
- Apr. 2006
- Beiträge
- 22.473
wenn der Hash aus Username + Passwort gebildet wird erscheint es auch logisch dass er nicht case sensitiv ist da man ja normal nicht möchte dass der Username nur in der korrekten Groß/kleinschreibung funktioniert.
Klar gibt es dennoch die Möglichkeit dass nur der Username vereinheitlicht wird und erst danach das Pass angehängt wird aber das ist überflüssig darüber zu diskutieren ohne den Mechanismus im Detail zu kennen.
Davon abgesehen wurde mit sicherheit noch kein Account gehackt weil zu wenig Permutationen möglich wären. Case sensitivity schützt weder vor zu schwachen Passwörtern noch vor Phishing, Trojanern oder dem Verwenden des selben Passworts für mehrere Dienste.
Genau hier schützt aber der Authenticator.
Klar gibt es dennoch die Möglichkeit dass nur der Username vereinheitlicht wird und erst danach das Pass angehängt wird aber das ist überflüssig darüber zu diskutieren ohne den Mechanismus im Detail zu kennen.
Davon abgesehen wurde mit sicherheit noch kein Account gehackt weil zu wenig Permutationen möglich wären. Case sensitivity schützt weder vor zu schwachen Passwörtern noch vor Phishing, Trojanern oder dem Verwenden des selben Passworts für mehrere Dienste.
Genau hier schützt aber der Authenticator.
ZeropG
Lieutenant
- Registriert
- Dez. 2009
- Beiträge
- 946
Wer hätte das gedacht heute ist der 13.6.12 und es ist immernoch nicht verfügbar 
. Sowie auch der Patch 1.03 der entlich ein bisschen licht ins dunkle bringen sollte statt dessen wird ein neuer patch drauf gespielt der das verknüpfen von items verhindern soll....1.02c, aber die Drops von patch 1.03 haben sie schon fleißig wieder runtergeschraubt und die qouten noch nicht hoch für inferno... !
Nun warten wir bis zum 15.06.12 auf das echtgeld auktionshaus , mal in ernst wär hätte das gedacht Oo ...
ach ja und damit wir alle wieder lachen können ein Zitat von Blizzard selber :
"Im Falle einer Überlastung des Authentifizierungsdienstes wird die Login-Checkbox nun bei "Überprüfe Login-Daten" warten, bis der Login-Versuch des Spielers bearbeitet werden kann. Dadurch sollten Spieler beim Einloggen keinen Fehler 37 mehr erhalten."
Wer das glaubt das der Fehler 37 nicht mehr kommt....der klaut kleinen kindern auch den lolly Oo
. Sowie auch der Patch 1.03 der entlich ein bisschen licht ins dunkle bringen sollte statt dessen wird ein neuer patch drauf gespielt der das verknüpfen von items verhindern soll....1.02c, aber die Drops von patch 1.03 haben sie schon fleißig wieder runtergeschraubt und die qouten noch nicht hoch für inferno... ! Nun warten wir bis zum 15.06.12 auf das echtgeld auktionshaus , mal in ernst wär hätte das gedacht Oo ...
ach ja und damit wir alle wieder lachen können ein Zitat von Blizzard selber :
"Im Falle einer Überlastung des Authentifizierungsdienstes wird die Login-Checkbox nun bei "Überprüfe Login-Daten" warten, bis der Login-Versuch des Spielers bearbeitet werden kann. Dadurch sollten Spieler beim Einloggen keinen Fehler 37 mehr erhalten."
Wer das glaubt das der Fehler 37 nicht mehr kommt....der klaut kleinen kindern auch den lolly Oo
Zuletzt bearbeitet:
Jesterfox
Legende
- Registriert
- März 2009
- Beiträge
- 44.484
Ach, da lob ich mir das System von SE... kryptischer Autogenerierter Accountname + Passwort für POL, außerdem noch der SE-Account mit Accountname (ungleich E-Mail) + Passwort + Authenticator. Und wenn man letzteres nicht hat (ist kein Zwang, war aber bei der CE von FFXIV mit in der Packung) wird bei Zugriff von fremden IPs erst mal gesperrt und eine freischaltung per E-Mail gefordert.
Hat noch den Vorteil das es Kiddies die damit überfordert sind abhält das Spiel zu spielen ;-)
@NoD.sunrise: Den Usernamen als Salt fürs hashing zu verwenden ist ar nicht mal so verkehrt, aber natürlich kann man nur den Usernamen auf Uppercase wandeln, das kann also nicht der ominöse Grund sein, den DonConto meint...
Hat noch den Vorteil das es Kiddies die damit überfordert sind abhält das Spiel zu spielen ;-)
@NoD.sunrise: Den Usernamen als Salt fürs hashing zu verwenden ist ar nicht mal so verkehrt, aber natürlich kann man nur den Usernamen auf Uppercase wandeln, das kann also nicht der ominöse Grund sein, den DonConto meint...
qhil
Captain
- Registriert
- Apr. 2011
- Beiträge
- 3.119
Richtig! Eine case-sensitive Passwort ist natürlich unsinnig, wenn der Sting im Anschluss in Uppercase gewandelt wird, aber das liegt das sicher nicht daran, dass ein solches Passwort grundsätzlich unnötig ist. Die Umwandlung des String hebelt das ganze einfach nur aus und das ist schwachsinnig.Jesterfox schrieb:
Wie Jester schon sagt: Username = Uppercase und eben erst dann den String zusammensetzen.
Naja, was soll's. Man kann es eh nicht ändern.
Zuletzt bearbeitet:
DonConto
Commander
- Registriert
- Juli 2004
- Beiträge
- 2.246
qHiL schrieb:
Wenn der Verlust an Sicherheit gegen Null geht, ist es irrelevant ob du das jetzt machst oder nicht. Die Sicherheit bei der eingesetzten Authentifizierungsmethode steigt nicht durch Case-Sensitive Passwörter. Punkt.
qHiL schrieb:
Nein. Wenn du dich für eine standardisierte Methode entscheidest, musst du dich auch an den Standard halten. Es macht keinen Sinn den Standard über den Haufen zu werfen. 1. Weil es die Sicherheit nicht erhöht und 2. Weil man sich an Standards zu halten hat.
Die Forderung nach case-sensitiven Passwörten bleibt (in diesem Fall) unsinnig. Blizzard hier Unvermögen vorzuwerfen ist schon mehr als dreist. Das setzt erst einmal voraus, daß man selbst mehr Plan hat - nach Lesen dieses Threads ist mir niemand aufgefallen, der das von sich behaupten könnte (nein, ich sicher auch nicht). Alleine diese Tatsache verbietet schon jede weitere Diskussion zu dem Thema. Ich rede ja auch nicht mit wenn sich Physiker über irgendwelche String Theorien unterhalten und behaupte die haben keine Ahnung.
Jesterfox
Legende
- Registriert
- März 2009
- Beiträge
- 44.484
Ok, das System klingt schon recht interessant und bietet einiges an Schutz.
Nur ganz ehrlich? Ich versteh nicht wo dieser Schutz herkommen sollte... was hindert es einen aktiven Angreifer einfach anstelle von Passwörtern Sessionkeys per Bruteforce auszuprobieren? Das es etwas Aufwand bedeutet erst aus Username + Passwort + extra Daten (die ja in jeder WoW Installation vorhanden sein müssen, also auslesbar sind) den Sessionkey zu bilden? Bei heutiger Hardware wohl kein Problem...
(Quelle)
Nur ganz ehrlich? Ich versteh nicht wo dieser Schutz herkommen sollte... was hindert es einen aktiven Angreifer einfach anstelle von Passwörtern Sessionkeys per Bruteforce auszuprobieren? Das es etwas Aufwand bedeutet erst aus Username + Passwort + extra Daten (die ja in jeder WoW Installation vorhanden sein müssen, also auslesbar sind) den Sessionkey zu bilden? Bei heutiger Hardware wohl kein Problem...
Magellan
Fleet Admiral
- Registriert
- Apr. 2006
- Beiträge
- 22.473
Jesterfox schrieb:
Ohne die geringste Ahnung von SRP zu haben wäre die einfachste erklärung dass schlicht die Methode durch die der Key gebildet wird nicht bekannt ist. D3 liegt ja nicht als open source vor. Aber ich denke in der Praxis ist es dann doch etwas komplexer.
DonConto
Commander
- Registriert
- Juli 2004
- Beiträge
- 2.246
Jesterfox schrieb:
Vermutung:
Da du den Hash ja nicht kennst und mit nichts vergleichen kannst, musst du jeden Hash live und in Farbe ausprobieren. Vorausgesetzt man ist überhaupt in der Lage (theoretisch) gültige Hashes zu erzeugen, wieviele Versuche willst du denn pro Sekunde durchs Web auf die Blizzard Server schicken? Glaub mir, das werden die schon merken. Deine GPU Power nutzt dir an dieser Stelle nix. Die hilft dir nur, wenn du die korrekten Hashes hast.
Zuletzt bearbeitet:
Jesterfox
Legende
- Registriert
- März 2009
- Beiträge
- 44.484
SRP vertraut ja eigentlich darauf das es sicher ist obwohl der Algorithmus bekannt ist (so hab ichs zumindest rausgelesen und das ist eigentlich auch bei allen guten Verfahren so)
Das unbekannte sind die festen Zahlen die vom Client und Server für die Berechnung verwendet werden, aber die sollten im Client per Reverse-Engineering ermittelbar sein. Denn der braucht sie ja auch um den Session-Key zu bilden.
Wobei das System natürlich in Verbindung mit einer Einschränkung der Loginversuche sicher ist, das muss ich zugeben. In der Verbindung ist selbst bei einem schwachen Passwort die Chance extrem gering dass der Zugriff klappt bevor einem der Server den Account sperrt. (Sperrt Blizzard eigentlich bei zu vielen Fehlversuchen?)
@DonConto: jepp das ist natürlich der Fall, aber eigentlich kein Sicherheitsfeature von SRP an sich, deswegen wundert mich die Aussage auf deren Webseite eben... muss mal schauen ob ich rausfind auf welcher Grundlage das basiert.
Andererseits ists dann schon fast egal was man als Passwort nimmt solange es nicht derart offensichtlich wie z.B. der Benutzername ist... (oder "Swordfish";-)
Das unbekannte sind die festen Zahlen die vom Client und Server für die Berechnung verwendet werden, aber die sollten im Client per Reverse-Engineering ermittelbar sein. Denn der braucht sie ja auch um den Session-Key zu bilden.
Wobei das System natürlich in Verbindung mit einer Einschränkung der Loginversuche sicher ist, das muss ich zugeben. In der Verbindung ist selbst bei einem schwachen Passwort die Chance extrem gering dass der Zugriff klappt bevor einem der Server den Account sperrt. (Sperrt Blizzard eigentlich bei zu vielen Fehlversuchen?)
@DonConto: jepp das ist natürlich der Fall, aber eigentlich kein Sicherheitsfeature von SRP an sich, deswegen wundert mich die Aussage auf deren Webseite eben... muss mal schauen ob ich rausfind auf welcher Grundlage das basiert.
Andererseits ists dann schon fast egal was man als Passwort nimmt solange es nicht derart offensichtlich wie z.B. der Benutzername ist... (oder "Swordfish";-)
Zuletzt bearbeitet:
fritte76
Vice Admiral
- Registriert
- Juni 2007
- Beiträge
- 6.763
1a Beschreibung !
Ich habe es selbst eigentlich bis Akt 2 Hölle gespielt dann ging ich regelmäßig down und dachte mir guckste mal ins AH. Danach war Hölle dann total einfach.
Nun in Inferno kann man vielleicht noch mit sterben Akt1 spielen aber eigentlich auch nicht
wirklich mit Selffound Sachen (als Singleplayer).
Selber irgendwelche Sachen finden die mich nun besser machen ist unmöglich und ich habe schon sicher 100+ Stunden gespielt die meiste Zeit SP bleibt nur das AH was aber auch wieder Schwieriger wird weil die Besten Sachen einfach total überteuert sind oder
gar nicht zu kaufen sind im AH.
Nun hänge ich in Akt 3 in den Bastionstiefen und komme nicht mehr weiter weil mich die Soul Reaper immer killen und weglaufen wie ein DH kann ich da auch nicht.
Also muss ich nun AH farming machen statt das Spiel zu spielen.
Magellan
Fleet Admiral
- Registriert
- Apr. 2006
- Beiträge
- 22.473
Jesterfox schrieb:
Ich meinte natürlich dass verwendete Zeichenketten unbekannt sind und nicht der Algorithmus selbst. Und ob man an ein solches Detail per reverse engineering ran kommt? Kenn ich mich schon wieder zu wenig aus um das zu beurteilen.
Ähnliche Themen
