что я думаю по поводу мультоводства.
1. скан паспоротов и др. документов.
достать скан документа проще простого. позаимствовать у друга. или взять что-нить менее защищеное и отфотошопить
2. отпечаток пальца. даже если появится возможность это делать. то отпечаток большого пальца не похож на отпечаток указательного. веди никто не стоит над человеком и не проверяет какой пачец он отсканировал. а сравнивать скан ладони еще дольше.
3. USB-ключь. ничто не препятствует купить 2! да и высылка этого ключа в США будет по стоимости равно самому ключу если не дороже. еще стоимость. ведь за бесплатно никто делать не будет
4. клю-файл. что мешает обзавестись 2-мя?
Думаю, следует разделить задачи и искать отдельное решение для каждой. О ключевой аутентификации какие есть мысли? Усложнит процесс регистрации?
требует вмешательства админов и усложнит жизнь игрокам. не хочется
На самом деле, усложнение небольшое. Нужно только ввести произвольный текст и надежно схранить ключ, а при проверке вести его снова.
Без вмешательства админов можно обойтись, если создание ключей не включать в процесс регистрации программно.
Думаю, следует разделить задачи и искать отдельное решение для каждой. О ключевой аутентификации какие есть мысли? Усложнит процесс регистрации?
требует вмешательства админов и усложнит жизнь игрокам. не хочется
На самом деле, усложнение небольшое. Нужно только ввести произвольный текст и надежно схранить ключ, а при проверке вести его снова.
Без вмешательства админов можно обойтись, если создание ключей не включать в процесс регистрации программно.
Два вопроса.
1. Что будет, если этот ключ забыть/потерять?
2. Чем ключ отличается от ответа на секретный вопрос?
1. Что будет, если этот ключ забыть/потерять?
2. Чем ключ отличается от ответа на секретный вопрос?
1. Придется подтверждать права на чара каким-то другим способом, или ты его потеряешь.
2. Можно доказать, что владеешь ключом, не раскрывая его никому.
1. Что будет, если этот ключ забыть/потерять?
2. Чем ключ отличается от ответа на секретный вопрос?
1. Придется подтверждать права на чара каким-то другим способом, или ты его потеряешь.
2. Можно доказать, что владеешь ключом, не раскрывая его никому.
1. А смысл тогда в таком ключе?
2. Да? А я вродь никому ответ на секретный вопрос не говорю, когда прошу к примеру пароль выслать. Ключ можно узнать также как и ответ на вопрос, азначит знание ключа не будет док-вом того, что перс действительно мой.
если идет передача/продажа чара то 100% передается е-мыло и будет передаваться остальные подтверждающие документы. ведь ничто не стоит оставить покупателю скан пасспорта и замазаной серией и номером. и фотографией.
если идет взлом. то тут уже другое.
1. Придется подтверждать права на чара каким-то другим способом, или ты его потеряешь.
2. Можно доказать, что владеешь ключом, не раскрывая его никому.
1. А смысл тогда в таком ключе?
2. Да? А я вродь никому ответ на секретный вопрос не говорю, когда прошу к примеру пароль выслать. Ключ можно узнать также как и ответ на вопрос, азначит знание ключа не будет док-вом того, что перс действительно мой.
1. Смысл в п.2 и в том, что практически нельзя угадать ответ.
2. Ответ на секретный вопрос ты дважды отправляешь через веб-форму. Первый раз - когда регистрируешься, второй - когда восстанавливаешь пароль. И он хранится на сервере, который тебе неподконтролен и с которого может произойти утечка. Но если нет такой паранойи, то и ответа на секретный вопрос хватало бы. Если б, конечно, его сменить было нельзя, не зная ответа.
одна лишь мысль, что надо отсканить официальный документ, чтобы послать его "на деревню дедушке", другими словами, неизвестно кому, меня коробит, честно говоря.. тоже самое и касаемо предложения Кожемяки насчет отпечатков пальцев..
одна лишь мысль, что надо отсканить официальный документ, чтобы послать его "на деревню дедушке", другими словами, неизвестно кому, меня коробит, честно говоря.. тоже самое и касаемо предложения Кожемяки насчет отпечатков пальцев..
И вообще с любой персональной инфой, это точно. Но все-таки, чем можно пожертвовать ради чара?
к сожалению, я довольно мало что знаю о возможностях кодирования информации и т.д. но есть вопрос: а в каком виде хранится на сервере секретный вопрос и ответ на него?
Кожемяка... оставьте Вашу паранойю. и с Вами мы все в чате выяснили в беседе, Вы признали, что у Вас нет идей - сорри, но попрошу не флудить
Прошу прощения, если где нафлудил сверх меры. На счет идей прошу понять меня правильно, их есть у меня, но ни одна из них не может удовлетворять всем вашим противоречивым критериям. И, уверяю, здоровая паранойя в вопросах защиты информаии еще никому не навредила.
Что там с процедурой регистрации, ее вообще можно хоть как-то изменить?
1. Регистрация. Пользователь придумывает свой пароль + ему автоматом выдают пароль (секретный), сгенерированный наподобие второго пароля с горой предупреждений, дабы запомнил как второй пароль - наизусть и во сне - но вспомнил. (чисто теоритически, за искл. "критических моментов" - все будет точно также как и сейчас)
2. Этот пароль НИГДЕ и никогда не вводится, НИГДЕ и НИКОМУ не показывается, НИКОГДА и НИКУДА не высылается.
Вход в игру - такой же как сейчас: придуманный игроком пароль + если есть второй.
3. По какой либо причине возникает подозрение на взлом. В ЛД перса пишется фраза "подозрение на взлом" (не обязательно причиной хаоса/блока - просто фраза). Персу приходит системка о том, что ему необходимо зайти в Клуб с помощью секретного пароля. Приходит каждые полчаса в течение суток с следующего после добавления записи захода.
Системка а-ля "Возможно ваш персонаж взломан. Если вы являетесь владельцем персонажа и он находится под вашим контролем, пожалуйста, зайдите в Клуб с помощью секретного пароля."
Если этого не произойдет в течении суток персонаж будет автоматически отправлен в хаос с причиной "подозрение на взлом". В течении всех суток персонажау будут запрещены передачи как если бы он попросил выслать пароль на почту. При чем, запрет автоматически снимается при заходе по секретному паролю.
Соответственно взломщик не может знать секретный пароль - его настолько редко надо будет вводить (а кому то и не надо вовсе), что узнать его будет просто нереально с помощью взлома - только если "умный" игрок скажет его сам. А значит, пока не будет подтверждения, что заходит владелец чара - любые другие док-ва можно не смотреть - пароль человек знать обязан.
4. Память у нас дырявая, забываем даж как нас самих зовут, если постараться... имхо, "восстановление секретного пароля" должно быть таким же как и у второго пароля - только НОВЫЙ и только через ком.отдел.
====
Мдя... ерунда получилась и не по теме :(
Сорри за флуд. :(
Соответственно взломщик не может знать секретный пароль - его настолько редко надо будет вводить (а кому то и не надо вовсе), что узнать его будет просто нереально с помощью взлома - только если "умный" игрок скажет его сам. А значит, пока не будет подтверждения, что заходит владелец чара - любые другие док-ва можно не смотреть - пароль человек знать обязан.
это полная аналогия секретному ответу, если не ошибаюсь.. а в этом случае вопрос только один: в каком виде хранится эта информация на сервере? т.е. каждый ли, кто имеет доступ (может слить/взломать) к БД, может эту информацию получить?
Соответственно взломщик не может знать секретный пароль - его настолько редко надо будет вводить (а кому то и не надо вовсе), что узнать его будет просто нереально с помощью взлома - только если "умный" игрок скажет его сам. А значит, пока не будет подтверждения, что заходит владелец чара - любые другие док-ва можно не смотреть - пароль человек знать обязан.
это полная аналогия секретному ответу, если не ошибаюсь.. а в этом случае вопрос только один: в каком виде хранится эта информация на сервере? т.е. каждый ли, кто имеет доступ (может слить/взломать) к БД, может эту информацию получить?
Не совсем. Ответ на вопрос:
1. придумывает сам игрок, а значит в 99% случаях он либо очень легко угадывается/подбирается, либо просто очень простой.
2. ответ в 99,9999% случаев смысловой и ОЧЕНЬ редки исключения.
3. ответ на вопрос вводить надо чаще, чем секретный пароль. пароль нужен только при подозрении о взломе. У тебя часто у перса подозрение на взлом?
На счет того, как хранить.
В идеале - по принципу паролей в юниксе.
Т.е. храниться исключительно в зашифрованно виде. При вводе пароля из базы ничего НЕ расшифровывют: наоборот, шифруют то, что ввел человек и проверяют совпадает или нет. Т.е. сам пароль не фигуриерует при этом.
Форум:
Прайм | Минор
