Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties
Submitter: liberque

Gebruikers van de Battle.net-multiplayerdienst van Blizzard kunnen nu via Mobile Alerts hun account beheren. Daarmee kunnen ze veiliger inloggen en updates krijgen over onder meer gewijzigde wachtwoorden en veiligheidsinstellingen.

Blizzard Entertainment logo (über)Blizzard heeft een nieuw systeem uitgebracht waarmee Battle.net-accounts kunnen worden beheerd en extra worden beveiligd. De Mobile Alerts-dienst vormt een toevoeging op het al een tijdje bestaande Authenticator-systeem. Met dit systeem moet bij het inloggen een extra code worden ingevoerd, die wordt verkregen met een apart toestelletje, net als bij internetbankieren.

De Mobile Alerts voegen daar extra informatie en beheertools aan toe. Zo kunnen gebruikers hun wachtwoord resetten of, via hun gsm, een waarschuwing krijgen als hun account als verdacht wordt gemarkeerd. Om de dienst in te schakelen zijn enkel een telefoon en een korte configuratie op de website van Blizzard nodig.

Moderatie-faq Wijzig weergave

Reacties (20)

Volgens Blizzard kan de versleuteling snel worden gebroken als een hacker met een keylogger werkt, zoals al is voorgekomen.
In die tekst staat alleen :

"The virus intercepts the Authenticator code when you log into WoW and sends Blizzard a wrong one (which is why you can’t log in since you will get a “Wrong info” error) and then the people behind the virus have a few minutes to log into your account with the real Authenticator code."

Daarmee is niet de Autheticator gehacked, maar das gewoon een manier om jouw code te ontfutselen inclusief je wachtwoord reageren ze niet binnen een minute dan vervalt de code weer, maar het Algoritme en de challange response key vanaf de server zijn niet gehacked.

Mobile Alerts zijn dus een mooie manier op wijzigingen/recoveries op je account te monitoren maar het leverd niet een extra code op die je moet invoeren.
Inderdaad, ik vond de tekst ook al niet stroken met de tekst achter de link die eronder gegeven wordt.

Zoals jij al schreef: de versleuteling van de authenticator is niet gebroken, maar de 'hackers' loggen gewoon heel snel in met die code die ze via een keylogger hebben verkregen. En jij maar een 'foutieve info' melding krijgen (wat dus geen foute info is)
Even iets dat ik wil toevoegen aan dit artikel:

Het is geen hack of keylogger, het is een man in the middle attack die je Blizzard Auth.code onderschept, naar mijn idee een nogal wezenlijk verschil.

Een keylogger kan tenslotte slechts informatie verzamelen en versturen. In het geval van de huidige authenticator krijg je een key die na twee minuten reset en binnen het time-frame van die twee minuten kun je eenmaal inloggen op je bnet account.

De exploit is dus afhankelijk van een virus op je machine dat netwerk data uitleest en eventueel modificeert, een keylogger voor je wachtwoord en/of authenticator code (alhoewel die laatste waarsch. uit de connectie string wordt gelezen) en een server die fungeert als dummy-bnet-inlogserver, terwijl diezelfde server aan de eigen back-end doorgeeft welke data is verzameld en daarmee autmatisch een client inlogt.

Het betreft dus wel degelijk iets meer dan een "hack" of simpele keylogger en het komt er op neer dat het probleem nog altijd achter het keyboard zit.

[Reactie gewijzigd door Oyxl op 13 april 2012 14:34]

Alleen maar beter, in verschillende guilds waarin ik heb gezeten, waren er mensen die van de een op de andere dag gehackt waren en vervolgens ineens hun character op een andere server, met een andere taal stonden.

Als ik het artikel goed begrijp, moet je (inclusief authenticator) een 3e code invoeren? :P
Daar lijkt het inderdaad op, al lijkt me dat wel vervelend als je vaak van verschillende locaties speelt.
Ja, inderdaad. Al ligt het eraan, aangezien de authenticator tegenwoordig voor 1 pc maar één keer invoeren is. Dit kan dus opgezet worden als hoe de authenticator oorspronkelijk was bedoeld.
Toen de authenticator net geïntroduceerd werd moest je ieder keer dat je inlogde in je game jezelf middels de 6 cijferige code autoriseren. Dit bleek echter maanden later een beveiligingsissue te zijn.

Was de gebruiker geïnfecteerd met een keylogger dan werd immers ook de authenticatorcode onderschept. Juist omdat deze code zo vaak werd gebruikt werd het uiteindelijk middels oa. timestamps mogelijk voor de slimmere personen achter die keyloggers om het algoritme uit te rekenen en op die manier de authenticator te 'kraken'.

Blizzard heeft daar toen een stokje voor gestoken. Zolang je vanaf hetzelfde ip-adres inlogde was het nog maar slechts 1 keer per week nodig jezelf middels de authenticator te autoriseren. Op die manier zouden de keyloggers een stuk minder informatie in handen krijgen en zou het algoritme achter de authenticator een stuk langer veilig blijven. Echter het is nog steeds mogelijk om in je Battle.net account te prefereren dat je bij iedere login je jezelf middels de authenticator autoriseert. Feitelijk betekent dit dat de authenticator een wassen neus is. Immers, het moet je in de eerste plaats juist beschermen tegen keyloggers.

Met het nieuwe systeem wordt geen 3e code gegenereerd. Het enige wat Mobile Alerts doet is zoals de naam al zegt: je informeren als er iets 'vreemds' op je account gebeurt. Stel je account wordt gehacked en men verandert het wachtwoord dan krijg je hiervan een sms. Iemand haalt je authenticator weg of voegt er juist 1 toe: dan krijg je hiervan een sms.

In die sms staat ook een unieke code. Mocht er dus iets veranderd zijn aan je account (wachtwoord en/of authenticator) dan kan je met deze code gewoon inloggen en de boel terug aanpassen. Op deze manier hoef je niet de ellenlange weg meer te bewandelen zoals het bellen van de klantenservice en het doorfaxen van bewijs dat jij bent wie je zegt dat je bent.

@bebu: http://www.youtube.com/watch?v=vfM3MIASR7A
.. en kijk ff de geschiedenis van die gast na voor het geval je het niet gelooft. Die gast is een beetje een nerd die met beveiligingsteams van MMO's praat, met hackers etc. Dit was het eerste dat ik zo snel kon vinden vanaf mijn gsm... maar i'm sure dat er veel meer documentatie over bestaat.

Wat je zegt over een extra code invoeren klopt overigens ook niet. Je krijgt een code om bij je account te kunnen komen om de boel te herstellen als de boel gehacked is. Niet als bevestiging om verder in te kunnen loggen.

[Reactie gewijzigd door liberque op 13 april 2012 15:16]

Niet helemaal juist.

Het algoritme is nooit gekraakt geweest, anders graag een bron hiervoor.

Het probleem was eerder phishing of een man-in-the-middle attack, waarbij niet oplettende gebruikers hun 6 cijferige code op een pagina ingaven die niet van Blizzard was. In real-time (want de code is beperkt geldig in tijd) kan de hacker de code dan gebruiken om in te loggen op de account.

Door toevoeging van het mobiele aspect, creëren ze een out-of-band authenticatie. Indien Blizzard zou merken dat er iets dubieus gebeurt met de 6 cijferige code (bvb. inloggen vanuit een ander land), kunnen ze bvb. een SMS sturen en vragen om ook deze code in te voeren. De kans is namelijk heel klein dat wanneer een hacker in real-time de code kan onderscheppen, hij ook toegang heeft tot de GSM/SMS van de gedupeerde.
Het klopt niet dat je maar één keer hoeft in te voeren voor één PC.
Ook bij het gebruik op slechts één PC moet je nog steeds afentoe de authenticator code invoeren.
Vandaag de dag zit er intelligentie achter die speelgedrag en locatie in de gaten houdt waardoor je meestal de authenticator niet hoeft te gebruiken als je op slechts één locatie speelt.
Overigens is er een security optie die aangezet kan worden waarna je de authenticator weer iedere keer moet gebruiken.
Authenticator kan je instellen dat die maar eens per week een code vraagt bij inloggen in de games. Battlenet site moet je altijd de authenticatie code ingeven.

Ik heb me zelf er voor opgegeven. Het was bij mij een beetje bugged, Ik kreeg na aanvraag intotaal 18smsjes inplaats van 1 met de code en 1 met bevestiging dat de code gepakt is. Ik heb intotaal 9 keer de zelfde code en zelfde bevestiging gekregen...

Na de spam berichten van blizzard op me telefoon, heb ik geen enkele sms meer gekregen naar inloggen op battlenet of wow,sc2. Kreeg wel een sms toen ik me password veranderde.

Kreeg ook een smsje toen ik via een remote session op me PC thuis probeerde in teloggen aangezien ik nu niet in nederland zit, kon ik het makkelijk testen.
Er is geen optie om de authenticator zo in te stellen dat er maar eens per week om een code gevraagd wordt.
Er is een optie dat je iedere keer gevraagd wordt om een code en een optie dat je niet iedere keer gevraagd wordt om een code.
Bij de tweede optie wordt geen termijn genoemd, er wordt gepraat over een intelligent tracking systeem en dat je mogelijk niet gevraagd wordt om een code.
En dat is ook precies wat ik merk bij het gebruik van de authenticator, het wel of niet vragen om een code is totaal random en kent geen vaste termijn.
Een en ander staat ook letterlijk in de faq
If you use an authenticator – and we hope you do – you may soon notice that an authenticator prompt may not appear with every login. We've recently updated our authentication system to intelligently track your login locations, and if you're logging in consistently from the same place, you may not be asked for an authenticator code.
volgens de blizzard FAQ:
When you make certain security settings changes on your account, an additional step will ask for your Mobile Alerts security code. Enter the code when prompted in order to proceed with the change as normal.
source

Het is dus niet nodig om bij het inloggen elke keer opnieuw een extra code in te voeren, 'met dit systeem' in het artikel verwijst naar de Authenticator :)
wel spijtig dat je elke keer moet inloggen met de code, enkel ingrijpende wijzigingen toelaten met de code,

normaal spelen zonder code, maar van server veranderen en/of pw veranderen heb je de autenticater nodig..
Bij de authenticator hoef je dat ook niet iedere keer te doen.. Deze onthoud de locatie waar je inlogt met verschillende dingen... dat zal hier niet anders zijn :)
overigens kan je wel aanvinken dat je een code moet gebruiken elke keer dat je inlogd. voor de mensen die het wel noodzakelijk vinden
Inderdaad. De locatie wordt onthouden voor een aantal keer dat je inlogt. Om de zoveel keer of wanneer je van locatie veranderd zal het inlogproces je om een authentication code vragen die je kunt aflezen van je Blizzard Authenticator.

Meer info hier: http://eu.battle.net/supp.../battle-net-authenticator
Voor zover ik weet, zijn de default instellingen m.b.t. de Auhtenticator:
- Bij inloggen in het spel vraagt hij eenmaal een Auth. code, en dan onthoud hij je locatie
- Bij inloggen op de website vraagt hij altijd om een Auth. code.

Met dit nieuwe Mobile Alerts systeem krijg je per textbericht meldingen als je account is getagged als zijnde verdacht, als je wachtwoord is veranderd en als er veiligheidsinstellingen zijn veranderd/toegevoegd/verwijderd.

Daarnaast moet je, zodra je Mobile Alerts hebt gekoppeld aan je account, voor elke wijziging aan beveiligingsinstellingen, een unieke code invullen, die je dus via Mobile Alerts op het gekoppelde telefoonnummer binnenkrijgt.

[ bron ]
zover ik het begrijp is deze extra code niet nodig om te spelen, wel om aanpassingen te doen in je account zoals wachtwoord en email.
Ze zullen het er druk mee hebben. Mijn account is maandag voor de eerste keer in 7 jaar gecompromised. In de tijd heb ik 1 keer mijn password gewijzigd. Nooit mijn account gedeeld of mijn password weggegeven aan iemand. Nooit gekocht van derden en nooit op phishing emails gereageerd welke ik bijna elke dag krijg. Ook nooit op vage onbetrouwbare websites gezeten. Het enige afwijkende dat ik afgelopen weekend heb gedaan is een aantal nieuwe addons gedownload via Curse. Maar ze zeggen dat die addons nooit exe bestanden bevatten. Gelukkig hebben de indringers niet eens de moeite genomen mijn password te wijzigen, maar hebben ze mijn main char naar een andere realm gestuurd en 50k gold overgeheveld. Mijn karakter had ik gelukkig binnen 2 uur compleet terug. Inmiddels wel de mobiele authenticator geinstalleerd.

Ik heb overigens geen schadelijke software kunnen vinden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True