Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 63, views: 17.140 •

Tijdens de laatste BlizzCon liet Blizzard wat kleine details los over de beveiliging van het nog steeds ongekend populaire World of Warcraft. De korte opmerkingen die de ontwikkelaar erover maakte, riepen echter meer vragen op dan dat ze antwoorden gaven. Tweakers.net wil natuurlijk wel volledig op de hoogte zijn, dus hebben we alsnog een aantal vragen aan de ontwikkelaar voorgelegd. Rob Bridenbecker, als vice president of online technologies belast met de beveiliging van het spel, reageert namens de studio.

Rob BridenbeckerTijdens BlizzCon 2010 vertelde je dat jullie op basis van een analyse van de speelstijl van de account-houder kunnen voorspellen of een account is gehackt. Als iemand anders met de characters van dat account zou spelen, zouden jullie dat merken doordat de hacker een andere stijl van spelen heeft. Kun je vertellen hoe dat werkt? Wat voor informatie verzamelen jullie om diefstal van een account te voorspellen?
We verzamelen niet meer data dan nodig is om ervoor te zorgen dat spelers van onze games kunnen genieten. Daar zit informatie bij die nodig is om de verbinding in stand te houden tussen onze servers en de client. Denk bijvoorbeeld aan de locatie vanwaar je een verbinding maakt en het tijdstip waarop je speelt. Daarnaast verzamelen we nog in-game data. We hebben een algoritme dat we op een deel van die data loslaten en daar rolt een score uit die ons helpt te bepalen of de persoon die speelt ook echt de persoon is die hij of zij beweert te zijn. Als we vermoeden dat het account is gehackt, kunnen we het proactief op slot gooien, al bieden we de rechtmatige accounthouder een eenvoudige manier om de status te resetten. Als we het echter bij het rechte eind hadden, hebben we zo in ieder geval voorkomen dat er schade is toegebracht aan een account. Als we fout zitten, heeft de accounthouder daar nauwelijks hinder van en herinneren we hem of haar bovendien aan het belang van de beveiliging van een account. In dat geval zal ons algoritme van de fout leren, zodat de inschatting in de toekomst alleen maar nauwkeuriger wordt.

Hoeveel informatie hebben jullie van de speler en van de hacker nodig om een vermoeden van account-diefstal te hebben? En hoeveel tijd is daarvoor nodig? Tijd lijkt ons cruciaal hierbij.
Ik kan helaas niet loslaten hoe we het profiel van een speler samenstellen. Tijd en locatie zijn echter enkele elementen die ons helpen te bepalen wat legitieme speelpatronen zijn. Om een voorbeeld te geven: als op een account historisch gezien steeds 's avonds vanuit Nederland is ingelogd en er wordt opeens vanuit een ander land op een andere tijd ingelogd, gaat bij ons een rode vlag omhoog. De data die we gebruiken in dit proces bestaat uit gegevens die ofwel nodig zijn om het spel te spelen, ofwel om de verbinding met de server te behouden.

Hebben jullie het systeem getest? Hoe zeker zijn jullie ervan dat de voorspelling klopt?
We hebben het systeem in eerste instantie in een soort read-only-modus laten draaien, waarbij geen actie werd ondernomen maar enkel scores zijn gegenereerd om de mate van succes te bepalen. Dat leverde uiteindelijk een aanvaardbaar foutpercentage op. Sindsdien houden we naast de data die we uit het systeem halen ook de berichten in de gaten die we van spelers krijgen. Zo kunnen we maximale veiligheid bieden en bezorgen we rechtmatige spelers tegelijkertijd zo min mogelijk overlast.

Tijdens de BlizzCon vertelde je dat jullie een e-mail of wellicht zelfs een sms zouden sturen aan de accounthouder, om te vragen of er iets ongebruikelijks is gebeurd met zijn of haar account. Is zoiets al ingevoerd of is het slechts een voorbeeld van wat er mogelijk is?
Als we accountdiefstal vermoeden, sluiten het account tijdelijk af en sturen we een e-mail naar de eigenaar ervan. Alle volgende inlogpogingen worden geblokkeerd tot de eigenaar de handelingen heeft verricht die in de e-mail uiteen worden gezet. We denken na over aanvullende maatregelen, zoals het versturen van een sms, maar daar maken we nu nog geen gebruik van.
 
Is het systeem verwant aan het Warden-programma dat tegelijk met World of Warcraft wordt geïnstalleerd? Of is het een server-side programma?
Dit systeem draait volledig op onze eigen servers en heeft niets met Warden te maken.
 
Net als bij Warden zijn er wellicht mensen die het verzamelen van dergelijke data een inbreuk vinden op hun privacy. Overwegen jullie om het systeem een vrijwillig karakter te geven?
Zoals ik al aangaf, verzamelen we alleen data die nodig is om de game speelbaar te houden. We zijn blij dat we een passief systeem hebben dat een extra beveiligingslaag over de authenticator legt. De reacties die we tot nu toe van spelers hebben gekregen zijn buitengewoon positief. Ze zijn vooral blij dat we een actievere rol spelen bij de beveiliging van hun account.


Door Paul Hulsebosch

- Redacteur games

Paul is de oudgediende van de redactie en schrijft al sinds 1996 over games. Eerst voor tijdschriften als PC Zone Benelux, maar door de jaren heen steeds meer voor websites. Na een uitstapje bij een Nederlandse ontwikkelstudio schrijft Paul sinds 2008 voor Tweakers, waar hij zijn voorliefde voor tactische shooters en mmog's helemaal uit kan leven. Al is hij na al die jaren nog nieuwsgierig genoeg om bijna alle nieuwe games uit te willen testen. De nachten zijn nog steeds kort in huize Hulsebosch.

Volg Paul op TwitterVolg Paul op Google+

Gerelateerde content

Alle gerelateerde content (32)

Reacties (63)

Hm, dit is zoals met alle online beveiligingen een race tegen de malafide personen.

Mijn WoW-account is ooit ook gehacked geweest en dit allemaal zonder ooit ergens een wachtwoord achter te laten of in te gaan op gold-sellers.
Mijn wachtwoord was ook sterk genoeg.

Al m'n epic raiding gear was verkocht, gelukkig kwam ik binnen de drie maanden terug online, anders kunnen ze het niet meer terughalen.
Mijn wachtwoord was ook sterk genoeg.
Maar hoe was dat met je e-mail account / wachtwoord / (in het geval van braque aanbieders) recovery vraag? Dat is nl vaak een zwakke schakel.
Maak gelukkig gebruik van een authenticator.
Vriend van me is vorige week nog gehackt terwijl hij z'n account had laten verlopen en hij de authenticator gebruikt.

Ze hebben een referal code geactiveerd om zijn account weer aan te krijgen maar we hebben nog steeds geen idee hoe ze inloggen zonder de authenticator...
En toch zie je nog extreem vaak bij gehackte accounts dat het account al lang leeg geplundert is. Ik heb nog nooit gehoord dat een account op tijd gelocked is om schade te voorkomen. Is het bekend hoe vaak ze hier wel op tijd mee zijn?
Ik heb wel eens een guildie gehad waar ze wel op tijd waren (binnen 2-3 uur ofzo). Die kreeg zijn char terug met ineens max mining en herbalism, en de bags helemaal vol met materials :P
Ik ben mijn account ooit eens kwijt geraakt. Toen ik terug ingelogd was heb ik een GM gecontacteerd en de situatie uitgelegd. 10 sec later waren al mijn spullen in mijn mailbox. Ik was een beetje gold kwijt op het einde van de dag maar dat is echt wel het minste als ze alles hadden leeggeroofd en ze je epic gear waarvoor je zo lang hebt zitten werken hebben gedisenchant. Ik heb wel gelukt gehad dat ze mijn alts niet hadden gebruikt. Ik was toen juist een nieuw character aan het levelen en het grootste deel van mijn waardevolle spullen stonden daarop.

Maar goed. Support bij Blizzard is echt heel goed, er zat 4 uur tussen form op hun site invullen en de mail die ik kreeg dat alles terug in orde was. Daarna ook meteen een Blizzard Authenticator gaan halen ;)
Gisteren nog 3! "spelers" tegen gekomen die een volledige geschiedenins hebben tot level 80 (raids, epics en vele andere achievements) en daarna helemaal niets meer, behalve level 85, en 1 of 2 beroepen op 525 (meestal mining en herblism).
Toch raar dat Blizzard 5 levels lang heeft zitten slapen bij deze 3 (en de 100den anderen die ik eerder / niet heb gespot).

Bovendien heb ik eerlijkgezegd zo mijn twijfels in het systeem. Het zou dan ook bots moeten kunnen detecteren (wegens 'gebrek' aan speelstijl) maar daar doen ze al helemaal niets aan... (november 2009! een bot gespot, loopt nog steeds rond)
Het lijkt mij dat je de berichten waar het account preventief gesloten is je niet zo snel op de verschillende fora leest die. en dus alleen maar "slechte" berichten hoort/leest.
Wel eens gedacht dat die spelers heel WOTLK misschien hebben overgeslagen? Met TBC hun account bevroren en met Cataclysm weer begonnen.

Verder zie ik nergens terug komen dat er naar dit soort raid/ archievement activiteiten wordt gekeken.

Ook worden accounts niet gehacked om op verder te spelen, maar worden leeg geplunderd qua gold en dan krijg je het account weer terug.
Je kunt WOTLK niet overslaan als je lvl 80 wilt bereiken, tenzij je actief raiden bedoeld.

Tevens klopt het niet dat men accounts alleen maar leeg haalt: ze levellen characters om de nieuwe 85 gebieden in te kunnen (lvl 82 meestal) en gebruiken daarna exploits om buiten de wereld te komen. Daarna kun je vrijuit mijnen en bloemetjes plukken zonder ooit gezien of aangevallen te worden.
ik heb regelmatig bots gereport bij de ingame Help functie, binnen een uur kreeg ik dan bericht dat er naar gekeken zou worden om vervolgens de bot na een half uurtje ineens offline te zien gaan om niet meer online te komen. (ja, ik hang zo lang in 1 area rond)

toeval? of doen ze er echt wel wat aan als je het report?
Nog een idee voor blizzard: maak password case-sensitive (nee dat zijn ze na 6 jaar nog niet).
Verdorie... Mijn neefje speelt met wasd en ik met esdf... Dat wordt een makkie voor het programma.
Valt wel mee denk ik want het wordt natuurlijk per account bepaald :)
Aan Istrillyin's reactie te zien delen ze een account ;)
Die goldsellers verdienen ondertussen zoveel dat ze wellicht te pakken zijn voor belastingontduiking.
Het eigenlijke probleem blijven de kopers of liever gezegd de helers van gestolen spul. Zij geven de verkoper genoeg redenen om door te blijven gaan en ondertussen is het al een hele industrie geworden die zich grotendeels in het criminele mileu heeft genesteld.
Interessant. Facebook heeft al een tijd een soort gelijke beveiliging. Zodra je inlogt vanuit een ander land worden een aantal veiligheidsvragen gesteld. Mocht je vaak in verschillende landen komen, dan heeft Facebook door dat dit kennelijk normaal gedrag is voor de betreffende persoon en houdt op met het stellen van vragen bij een veranderde locatie. Dit is vast niet de ultieme oplossing, maar het zorgt effectief voor een extra security laag.
Interessant. Ik switch regelmatig van land maar heb deze extra vragen nooit gehad.
Nou wees blij. Ik heb ze wel gehad en het zijn niet de makkelijkste vragen. Krijg je foto's te zien van iemand en dan vragen als: hoe oud is deze persoon, waar werkt deze peraoon, ect. Moet je er 4 van de 5 goed hebben. Alsof ik van al mijn vrienden exact weet wat ze doen, mensen die ik 5 jaar geleden op vakantie heb ontmoet staan er ook nog tussen.

Dan vind ik een simpele code wel makkelijker.
Ik kreeg wel een vraag van Blizzard, al toen op een andere locatie binnen Nederland speelde... Rift werkt trouwens met een vergelijkbare beveiliging (die nog vaker aanslaat).

[Reactie gewijzigd door Paul Hulsebosch op 28 maart 2011 11:15]

Steam heeft sinds begin deze maand ook een extra beveiliging die checked van waaruit je verbinding maakt met je steam account,ik zat voor werk in belgie met mijn laptop + steam
toen ik bij thuiskomst op mijn pc wou inloggen moest ik een extra beveiligingscode invoeren die onderweg was naar mijn email adres die bij steam bekent stond
deze beveiliging werkt alleen als je jou email al (geverifieerd hebt)

http://tweakers.net/nieuw...beveiliging-accounts.html
Dat had ik wel, toen ik vanuit Finland inlogde. Echter alleen via de PC in het hotel daar, via mijn ipod weer niet. De ipod was blijkbaar dan een bekend systeem, of ze konden de vriendelijke 'lock' vragen niet via de ipod applicatie aanbieden.
De beveiliging van Blizzard games is met gebruik van de authenticator al beter dan de gemiddelde game.

Zelf denk ik dat Blizzard meer bezig is om account sharing tegen te gaan om zo nog meer inkomsten te werven.
Na een of twee keer accountsharing en unlocken zal de software doorhebben dat dat 'normaal' speelgedrag is en verder niet zeuren. Wel is de effectieve beveiliging door het systeem dan voor accountsharers minder.
Accountsharing is illegaal volgens de EULA. Dus dan word je daarop gepakt.

Ik moet zeggen dat al die extra beveiliging nooit kwaad kan. Goed werk dus.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Websites en communities Smartphones Beheer en beveiliging Laptops Google Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013