Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties

Blizzard gaat het mogelijk maken om accounts van zijn mmo World of Warcraft te beveiligen met een cijfercode. De ontwikkelaar brengt hiervoor de Blizzard Authenticator op de markt die de codes genereert.

CijferslotDe Blizzard Authenticator is een sleutelhanger die een cijfercode van zes cijfers genereert. Wow-abonnees kunnen bij het inloggen aangeven voortaan een cijfercode te willen gebruiken als extra beveiliging naast de gebruikersnaam en het wachtwoord. De gegenereerde code kan slechts eenmaal gebruikt worden en is bovendien slechts korte tijd geldig.

De sleutelhanger kost 6,50 dollar en zal voor het eerst verkocht worden op de Blizzard Entertainment Worldwide Invitational, die op 28 en 29 juni in Parijs plaatsvindt. Ook zal de Authenticator online te bestellen zijn. Dit heeft Blizzard donderdag bekendgemaakt. Europese prijzen zijn nog niet bekend.

De extra beveiliging moet vooral voorkomen dat spelers van World of Warcraft slachtoffer worden van phishing. Er is een levendige handel in virtueel goud en uitrustingsstukken. Slachtoffers van dergelijke online diefstal vinden hun Wow-character ontdaan van waardevolle virtuele bezittingen terug. De Authenticator moet dat voorkomen.

Update, 11:40: de Europese prijs van de Authenticator is inmiddels bekend. De sleutelhanger gaat exclusief verzendkosten zes euro kosten.

Moderatie-faq Wijzig weergave

Reacties (88)

the lightweight and waterproof Blizzard® Authenticator is an electronic device that generates a six-digit security code at the press of a button.
Hoe werkt dat dan, "at the press of a button"? Normale beveiligings-tokens die codes genereren als OTP doen dit gebaseerd op tijd, aangezien het gegenereerde password uiteraard gelijk moet lopen met de server.

En wat als je het ding kwijt bent of stuk gaat of zo? Het lijkt me niet dat je makkelijk je account aan kunt passen dat je geen code meer wilt gebruiken, want dat is nou juist de bedoeling van deze hele extra laag security.

Edit: ok, de FAQ er even op nageslagen: toevoegen van dit token aan je account kan je gewoon online doen, maar 'ontkoppelen' kan niet zonder een telefoontje naar Bliz.

[Reactie gewijzigd door 19339 op 27 juni 2008 09:04]

Als ik zo de FAQ lees over deze authenticator is dit principe al langer bekend bij the MMO Entropia Universe.

Waar ook met een 6-cijferig code systeem werkt.

Dit zijn gewoon codes die in een bepaalde volgorde geactiveerd worden. Wat in kan houden dat je niet voor de lol met je kaartje moet gaan zitten spelen omdat je dan niet meer in sync ben met de servers.
dus aan ieder pasje of wat ze ook leveren zit een vaste code reeks achter. Dit is dan wel een hele lange lijst.
Uit ervaring weet ik dus dat de codes alleen bij het bedrijf bekend zijn die de toepassing gebruikt.

VB:
Een user is ver uit sync.
User vraagt om support.
Support vraagt aan user geef 3 opeenvolgende codes.
User geeft die.
Support zet volgende code klaar en geeft user OK om in te loggen
User weer blij :)
Ja guildwars heeft hier allemaal geen last van omdat die je niet per maand rippen voor geld.


ik bedoel hiermee te zeggen dat je koop guildwars en daar houden de kosten op 1x 40 a 50 euro per game en dan kan je telkens een uitbreiding kopen hun hebben helemaal geen last van account jatten of dat soort dingen

MAAR WOW moet je uren kaarten kopen en blijft maar geld en geld kosten dus dan zijn mensen die verslaaft zijn krijgen hierdoor sneller de neiging om alles te om online te komen in hun game ZELF DUS Accounts jatten

En dus moeten ze dit zo gaan beveiligen als ze het nou als guildwars gaan aanpakken dan hoeft dit allemaal niet wat het een stuk gezelliger spel maakt.
Je stelling hier is omdat het geld kost dus is het verlavend? Beetje vreemd. Daarnaast zeg je doordat je inlogd met een code dat het een spel ongezelliger maakt. Dan zet je het uit, blijft het gezellig.

De verslaving is de loot, dit gaat gewoon ook op voor Guild Wars. Guildwars heeft gewoon te weinig spelers om het interessant te maken.
Het heeft niets met geld te maken dat mensen account willen kopen maar gewoon met tijd die ze moeten investeren om een char een beetje aan te kleden.

Daarnaast kan je Guild Wars ook niet echt een MMO noemen, het is niet te vergelijken. Meer een veredelde Diablo 2 maar i.p.v. een text gebaseerde hub en 2d wereld is het een 3d hub en 3d wereld.
Jeej, weer iemand die Guildwars probeert te vergelijken met echte MMORPG's. Mensen, Guildwars is allemaal instanced en is dus niets anders dan een simpele chatlobby (de stad) en daarna kun je samen een game opzetten. Dus gewoon een luxe versie van een oude manier van (niet massive) multiplayer.
Als dit voor EVE-online komt ga ik er gelijk 1 nemen. Hopelijk werkt het wel dat je er maar 1 kan gebruiken voor meerdere accounts.
Hopelijk werkt het gewoon op batterijen en kan je het makkelijk oplossen als het niet meer sync loop de codes.
Staat in de FAQ, je kan 1 sleutelhanger met meerdere accounts linken.

Can I apply my Blizzard Authenticator to more than one account?

Yes! You’re welcome to associate a single Blizzard Authenticator to as many accounts as you like. Please remember that you must have that Authenticator with you to log in to any of these accounts afterwards.

[Reactie gewijzigd door Bizzarro op 27 juni 2008 10:09]

Sorry, maar het gaat toch om phising? Ik dacht dat vooral domme mensen slachtoffer zijn. Je weet wel, het "klik maar raak" volk. Het verbaast me dan ook dat er zoveel tweakers zijn die hier op zitten te wachten.
Somige tweakers gaan wel eens langs bij gameshops om daar samen een potje WoW te spelen kost een paar euro maar scheelt je wel sjouwen met PC/monitor stel je voor dat een kindje leuk denkt te zien en even een key generator heeft geinstalled

Dan word jij niet vrolijk want dan kan hij zo bij je inloggen
Nu kan je dat voorkomen en voor 6 euro is dat het zeker waard als je al 3 jaar speelt
Veel tweakers denken: Better be safe then sorry. ;) Want je hoeft maar perongeluk 1 keer niet goed op te letten en je zou al het slachtoffer van phising kunnen worden.

[Reactie gewijzigd door Joshua op 27 juni 2008 10:26]

Trojans komen vaak met addons en dergerlijke, mijn maat (it-afgestudeerde overigens) had hem door een scanner gehaald en bleek in orde te zijn. Weekje later kreeg hij melding dat er een trojan in zat, gelukkig voor hem had dat geen gevolgen.
Mja, dat dacht ik ook, maar ben 2 maanden geleden toch gehacked. Ik klik nooit op banners of rare links, open geen bestanden uit mijn mail, heb 'n goeie antivirus scanner, etc. Maar ja, plotseling blijkt Flash 'n exploit te hebben waardoor men trojans op je computer kan zetten. Doe je niks aan.

Ik heb uiteindelijk m'n hele pc geformatteerd en opnieuw geinstalleerd, omdat ik na allerlei scans niks kon vinden. Ik ben dus nog steeds niet overtuigd dat 't lek aan mijn kant zat, maar Blizzard blijft beweren dat je alleen gehacked kan worden door gebruikersfouten en niet door fouten aan hun kant.
Het feit dat Flash een exploit bevatte is toch ook geen fout van hun kant? Jij kiest er zelf voor om Flash te installeren en te gebruiken, als dat vervolgens lek blijkt te zijn dan is dat jouw probleem.

Als jij er voor kiest om een brakke virusscanner te gebruiken, dan ligt dat toch ook aan jou en niet aan Blizzard?
Door dokzero5,
Je stelling hier is omdat het geld kost dus is het verlavend? Beetje vreemd. Daarnaast zeg je doordat je inlogd met een code dat het een spel ongezelliger maakt. Dan zet je het uit, blijft het gezellig.

Nee dat zeg ik niet, ik zeg :
punt 1 de game is verslavend erg zelfs
punt 2 het kost geld om te blijven spelen dus als je geen geld meer hebt kan je niet spelen.
punt 3 Het gevolg van geen geld en wel verslaaf zijn is dat mensen rare dingen gaan doen zoals account hacks !!
punt 4 het moeten instellen van dit soort maatregelen om je account te beveiligen duid op een groep mensen binnen deze game die je in het dagenlijks leven ook niet in je huis wil ( het stelende type)

En ja je hebt een punt dat wow niet te vergelijken is met guildwars ik zeg alleen dat het guildwars betalings systeem Eerlijker is !!!

Daarnaast zijn er Tonnen van Mass multi player games die gratis of eenmalige inschrijf kosten hebben en er nog mooier uit zien ook.

Let wel ik zeg niet dat wow Een slechte game is of er slecht uit ziet het is een fatastische game die er ook goed uit ziet en je dat echte blizzard game gevoel geeft

maar dat miljoenen mensen zo veel geld moeten neer tellen om deze game te spelen vindt ik ronduit aso en dat je dan ook nog bang moet zijn je account te verliezen aan een wow hacker.

Ik heb veel online Mass multi's gespeeld travian, flyff, wow enzo dus ik weet waar ik het overheb dat wow de enige is die dit soort shit heeft.
Puntjes:
1: Heb je gelijk in
2: Een maandblad kost ook geld, een krant kost meer, kabel in nederland kost nog meer
3: Euh? Iemand die geen geld heeft heeft ook geen internet meer lijkt mij ;) Dat je er geen geld meer voor over hebt is een ander verhaal, maar iemand die echt verslaafd is gaat er niet aan onderdoor om die fee te betalen. De gevolgtrekking dat iemand dus maar gaat account hacken lijkt mij heel ver gaan, zeker omdat je er toch zeker van kan zijn dat diegene het account stopzet / stop laat zetten voordat jij fatsoenlijk kan spelen.
4. Het duid erop dat het spel door heel veel mensen gespeeld wordt, en dat er een grote interesse is voor 'wow-gold' waarmee je allerlei dingen kan kopen. Dat wordt vervolgens door haast criminele bende's uitgebuit zodat je goedkoop er aan kan komen.

Guildwars betalingsysteem is mischien wel eerlijker, maar WoW is toch een stuk groter, het wordt dus blijkbaar geslikt dat je 10 euro per maand betaald voor een spel. Verder kun je ontzettend veel MMO spellen hebben die gratis / one time fee zijn, maar als die niet netzoveel succes hebben als WoW dan zijn ze veel sneller gedoemt onder te gaan. Verder mag je met een maandelijkse fee ook meer verwachten qua support / nieuwe features en dat zit iha wel goed bij WoW.

Dat bang zijn is dus puur een nadeel dat voortkomt uit de grote populariteit van het spel, en niet alleen WoW heeft er last van, vrijwel elke grote MMO waar je ingame spullen kan kopen met een currency zonder mogelijkheid die currency met real-life geld te kopen heeft problemen met keyloggers/accounthackers.
Lijkt me boeiend voor de hardcore WOW speler die zen eigendom wil beschermen ... :Y)
Met die codes zet u als het ware uw elektronische handtekening ...
klinkt goed, maar zodra de phishers ook deze sleutelhanger hebben kunnen ze nog steeds exact zoveel als voorheen.
ik neem tenminste aan dat ze niet alle sleutelhangers met een uniek algoritme gaan uitrustten om zo te kunnen zien of iemand inlogt met een sleutelhanger van een ander (of zelfs welke accounts er allemaal betreden worden met behulp van een bepaalde sleutelhanger).
iedere sleutelhanger zal gewoon een random generator en een eigen random key hebben. Die key is alleen bekend bij Blizzard, niet eens bij de gebruiker. Aan de hand van de tijd (UTC waarschijnlijk) wordt dan aan de hand van de random key je code gegenereert. Die code is meestal een minuutje geldig.

In weze werken de random readers van de rabobank en de identifiers van de ABN AMRO hetzelfde. Alleen moet je dan werken met je pas en pincode als extra verificatie / authenticatie.

Komt gewoon neer op vrij standaard 'token-based' authenticatie, en dat is doorgaans ruim voldoende om indringers tegen te houden. (maar dan moet je nog steeds de rest van je security in de gaten houden).

Het enige probleem voorzie ik als een 'hacker' via een trojan aan de token kan komen, en dat kan reverse engineeren naar de oorspronkelijke unique key. Daarnaast zal op een bepaald moment het apperaatje dusdanig uit sync lopen dat je niet meer kan authenticeren ermee. (heb ik al een keer gehad met m'n raboreader, inruilen is dan altijd de boodschap).
De getallen die zo'n token genereert, zijn doorgaans afkomstig van een functie gebaseerd op de vorige getallen die gegenereerd zijn, tot aan de allereerste toe die is gebaseerd op een seed.

De formule die gebruikt wordt, is doorgaans non-reversible, dus een hacker zou dit niet moeten kunnen reverse-engineeren.

Als hij uit de pas gaat lopen met de server, dan is er een te goedkoop klokje gebruikt in de token... ;)
Die Rabo/ABN readers hebben geen eigen key want ik kan met elke reader gewoon inloggen zolang ik mijn eigen pinpas er maar instop. De uitvoercode hangt ook alleen af van de erin gestopte pinpas, niet van de reader of het tijdstip.
Voor inloggen op de RANDOM READER geld het volgende:
Er zit een code op je pas, en en dezelfde algoritme in iedere reader.
De reader geeft uiteraard een code als uitvoer, en de rabobank controleert deze als je inlogt met hun server, of de code van je pas en de 'verwerkte code door de random reader' kloppen met waarschijnlijk je rekening nummer o.i.d.

Dit is allemaal ook nog op tijd gebaseerd en pincode, ik meende dat de codes ongeveer één minuut meegaan, voordat ze ongeldig worden.

Voor het overmaken geld een ander principe:
Bij het overmaken zit de algoritme óp je bankpas.
Iedere invoer die jij geeft op de reader, gaat door de algoritme, en de reader geeft een uitvoer. Dit heeft geen tijdsbasis of wat dan ook.

Je kunt dit controleren door zelf een code in te voeren in de random reader. Iedere keer dat jij die code invoert, dan zal dezelfde code als uitvoer komen. Zo kun je in principe de algoritme op je bankpas achterhalen, het is héél véél werkt, maar toch.
Overigens heb je daar niet zoveel aan, want inloggen dat zul je dan niet kunnen...

[Reactie gewijzigd door pruimenpit op 27 juni 2008 10:39]

@johanw910

Het tijdstip is wel belangrijk bij de randomreader. elke minuut wijzigt de waarde van de key.

de basis randomkey zit in de combinatie pas+pincode (wij hebben 2 passen met eigen pincode voor 1 en dezelfde rekening. deze krijgen beide constant een ander nummer van de randomreader). de reader zelf trekt hier alleen een berekening overheen. mogelijk dat hier zelfs je rekeningnummer in verwerkt zit aangezien die al voldoet aan de 11 proef.
Daarbij zit de eigen random key dus in je pas, in plaats van in de reader zelf. Aangezien je bij je Wow account geen pas hebt, is dat daar geen oplossing. Daar zit de code dus in je reader. Overigens zit ook bij de ING de code in de reader, en niet in de pas. De reader heeft dan ook geen pasje nodig (alleen een pin code).
Er is ook nog een oudere versie waabij je niet jepas nodig hebt, hier zit de random key wel in het apparaat, gelinkted aan je rekeningnummer
ABM Amro werkt met 'n challenge-response systeem. Website geeft een code aan, die voer je in op het token, vervolgens berekent het token een nieuwe code die je op de website inklopt (en die nieuwe code is ongetwijfeld samengesteld uit de challenge code + wat info op je pasje)
Eh, niet echt nee.

Die sleutelhangers worden, net zoals RSA keys, Gelinked aan je account. Jouw code zal dus (als het goed is) iedere 10 seconden een andere code genereren dan die van bijv een vriend of collega.

Aangezien de code een vast algorithme volgt, maar wel een vast gezette Identifier bevat zal de blizzard server kunnen zien op welk tijdstip je met welke code in moet loggen.
Bijv : (Tijd + Jaar + Account ID + Sleutel ID) : Gooi daar een algoritme over heen, en klaar. Unieke code specifiek voor jouw account.

[Reactie gewijzigd door bbr op 27 juni 2008 09:06]

klinkt goed, maar zodra de phishers ook deze sleutelhanger hebben kunnen ze nog steeds exact zoveel als voorheen.
ik neem tenminste aan dat ze niet alle sleutelhangers met een uniek algoritme gaan uitrustten om zo te kunnen zien of iemand inlogt met een sleutelhanger van een ander (of zelfs welke accounts er allemaal betreden worden met behulp van een bepaalde sleutelhanger).
Lijkt me niet.
Ik ga er vanuit dat deze sleutelhangers werken zoals de Safeword Tokens voor Citrix doen. Een serienummer die gekoppeld word aan je account.
En de sleutelhanger die een tokencode genereerd, zo moet je het zien... Daar is niets op te misbruiken, of je moet het serienummer van de sleutelhangers kopiëren... ;) En dan moet je het algoritme achter de tokencodes nog achterhalen... ;)
Konden ze niet beter deze link plaatsen? http://eu.blizzard.com/support/article.xml?articleId=28152
En voor de Blizzard Store http://eu.blizzard.com/store/

[Reactie gewijzigd door kstang80 op 27 juni 2008 08:47]

Enige wat ik nog jammer vindt is dat je de 2de code ook handmatig moet invoeren. Had liever gezien dat het werd doorgestuurd naar wow door op de knop op het apparaat te drukken.(met USB of zo)


Verder wel goed initiatief naar mijn idee.
Op zich is dat natuurlijk een leuk idee. Aan de andere kant is deze functionaliteit al lang en breed beschikbaar en de door jou genoemde USB key's zijn nog veel minder ver ontwikkeld.

Een tweede punt is dat USB wel heel handig lijkt, maar op praktische bezwaren (kan) stuiten. Met name op publieke plaatsen gebeurt het nog regelmatig dat USB poorten zijn uitgeschakeld, of alleen bruikbaar zijn voor opslag media. Een USB stick die zich voordoet als een echte diskdrive wordt dan al vaak niet geaccepteerd.

Met dat in het achterhoofd, is een code die zichtbaar is op je key dan wel een stuk makkelijker en het ding is ook veel minder makkelijk aan te vallen door virussen o.i.d. als een stick geval dat je in de computer steekt.

Moet je je voorstellen dat ze met zo een USB stick met knop komen en dat die wordt geinfecteerd door een trojan of een virus. Dan zijn de rapen denk ik aardig gaar....
Staat niet echt duidelijk hoe het nou werkt. Is het een key die je tijdelijk aan iemand kan geven zodat ze 1x met je char kunnen inloggen? 6 Euro is niet veel, maar kan je niet gewoon zelf een random getal kiezen?
Je mag je account met niemand sharen, alleen een onderjarig kind als jij de verantwoordelijke ouder bent, dus nee :)

Dit is een apparaat dat je in account management aan je account kan linken. Vanaf dat moment als je inlogt moet je ook een nummer dat dit apparaat genereert als je erop klikt invullen om in je account in te kunnen loggen. En dat nummer als je geklikt heb kan maar 1 keer gebruikt worden.

Dus het is extra beveiliging voor inloggen en dus tegen keyloggers/hackers
Neen want eens ze dat gettal hebben kunnen ze terug inloggen dan niet als dat altijd veranderd...
Waarschijnlijk krijg je iedere keer als je inlogt een willekeurige cijfercode te zien, die je moet intoetsen op het apparaatje. Daar krijg je vervolgens een nummer van terug en die toets je weer in tijdens het inloggen.

Zo doet de SNS Bank dat iig met Internet Bankieren..
Voor mijn werk heb ik ook zo'n RSA key generator, deze genereert elke minuut een nieuwe code, deze kan je dan invullen samen met een persoonlijke code en je gebruikersnaam. Ik verwacht dat dit hetzelfde gaat werken ("iets dat je weet gecombineerd met iets dat je hebt").

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True