Toen de authenticator net geïntroduceerd werd moest je ieder keer dat je inlogde in je game jezelf middels de 6 cijferige code autoriseren. Dit bleek echter maanden later een beveiligingsissue te zijn.
Was de gebruiker geïnfecteerd met een keylogger dan werd immers ook de authenticatorcode onderschept. Juist omdat deze code zo vaak werd gebruikt werd het uiteindelijk middels oa. timestamps mogelijk voor de slimmere personen achter die keyloggers om het algoritme uit te rekenen en op die manier de authenticator te 'kraken'.
Blizzard heeft daar toen een stokje voor gestoken. Zolang je vanaf hetzelfde ip-adres inlogde was het nog maar slechts 1 keer per week nodig jezelf middels de authenticator te autoriseren. Op die manier zouden de keyloggers een stuk minder informatie in handen krijgen en zou het algoritme achter de authenticator een stuk langer veilig blijven. Echter het is nog steeds mogelijk om in je Battle.net account te prefereren dat je bij iedere login je jezelf middels de authenticator autoriseert. Feitelijk betekent dit dat de authenticator een wassen neus is. Immers, het moet je in de eerste plaats juist beschermen tegen keyloggers.
Met het nieuwe systeem wordt geen 3e code gegenereerd. Het enige wat Mobile Alerts doet is zoals de naam al zegt: je informeren als er iets 'vreemds' op je account gebeurt. Stel je account wordt gehacked en men verandert het wachtwoord dan krijg je hiervan een sms. Iemand haalt je authenticator weg of voegt er juist 1 toe: dan krijg je hiervan een sms.
In die sms staat ook een unieke code. Mocht er dus iets veranderd zijn aan je account (wachtwoord en/of authenticator) dan kan je met deze code gewoon inloggen en de boel terug aanpassen. Op deze manier hoef je niet de ellenlange weg meer te bewandelen zoals het bellen van de klantenservice en het doorfaxen van bewijs dat jij bent wie je zegt dat je bent.
@bebu:
http://www.youtube.com/watch?v=vfM3MIASR7A
.. en kijk ff de geschiedenis van die gast na voor het geval je het niet gelooft. Die gast is een beetje een nerd die met beveiligingsteams van MMO's praat, met hackers etc. Dit was het eerste dat ik zo snel kon vinden vanaf mijn gsm... maar i'm sure dat er veel meer documentatie over bestaat.
Wat je zegt over een extra code invoeren klopt overigens ook niet. Je krijgt een code om bij je account te kunnen komen om de boel te herstellen als de boel gehacked is. Niet als bevestiging om verder in te kunnen loggen.
[Reactie gewijzigd door liberque op 31 juli 2024 06:30]