stamattina mentre giocavo mi hanno disconnesso dal server...
provo a riloggare e mi da psw errata..
guardo nelle email e vedo che mi hanno cambiato la psw.
al volo recupero l account con l assistenza di battle net... ma in giro di 5 min mi han svuotato soldi e item..

eu.battle.net/support/en/article/battle-net-authenticator-faq

c'è per iphone androdi bberry tuttoggratis
se vivi nel 1940 compri la chiavetta a 6 euri

senno ti sta bene :dumbnod:

beato te.
succedesse a me brucio l'hard disk e riprendo ad avere una vita.

e' successo a nmila persone prova a informarti un po

anche a me son spariti tutti i gold ma quello credo fosse un bug dell'ah

Giocare senza autenticator ormai è un suicidio...

domanda, avevi una pass stupida? :nod:
cioè non ho capito sta roba come fa a succedere

domanda, avevi una pass stupida? :nod:
cioè non ho capito sta roba come fa a succedere

http://images.lonelycomputerguy.com/files/2012/02/lonely-computer-guy-056.jpg

domanda, avevi una pass stupida? :nod:
cioè non ho capito sta roba come fa a succedere

io sono curioso about something.
vorrei capire se la gente scammata utilizza l'account bnet anche per altri giochi blizzard.
e mi riferisco a un gioco in particolare.

Ma l'account te lo fottono perchè alla Blizzard hanno delle falle o semplicemente perchè l'utente è scemo e si fa sgamare la pass ?

Tutti giocate con l'autenticator che ogni volta dovete farvi generare la pass dal telefono ?

io no.

Io da quando mi hanno scammato l'account di wow sì,ho l'app su iphone e sinceramente è un passaggio talmente breve che nemmeno si sente il peso

Da almeno 2 anni ho l'autenticator sempre attivo, così come l'avevo su rift ed ovunque ci fosse.
Trovare una password, specie su pc di utenti giovani/inersperti/utilizzatori di youporn, è assolutamente ridicolo, anche se ne mettessero una complicata ... basta un keylogger qualunque...

edit

il mio e' nuovo per d3

quello di wow e' gia bloccato a vita perche han provato ad hackare pure quello. (perche si sa, la colpa e' sempre del cliente :sneer:)

azzarderei che non son proprio geni della security alla blizzard. E non voglio infierire parlando di passwords case insensitive.

i geni della security non esistono.
esiste chi sa impostare policy di sicurezza e infrastrutture in modo adeguato e chi no. dove per modo adeguato si intende utilizzare quanto meno chiavi di cifratura e non tipo sony con i dati delle cc in chiaro.

cambiato psw e id messo authenticator.. mi han riprestinato il pg.. grazie dell aiuto
e il mio promo acconto su battle.net e onestamente e la prima volta che mi succede..

Ma che dite , e' la Blizzard stessa che svuota gli account in modo da vendere piu' autenticator :rain:

domanda, avevi una pass stupida? :nod:
cioè non ho capito sta roba come fa a succedere

Basta un session ID hijacker (essendo sempre online, diablo ne crea uno appena lo avvii, di identificativo intendo), la pass e l'authenticator contano zero nel caso ne abbiano compilato uno ad hoc sfruttando qualche baco del gioco.
Tutto cio' prendendo per vera l'info che si e' trovato disconnesso dal server a cazzo.

Altrimenti, vedi la gif di Shagaz.

Aky ma avevi pg/equip di rilievo o si son ridotti a svuotare un account "povero/casual" ?

Domanda si hanno problemi se uno poi cambia telefono?
Su SWTOR ad esempio una volta associato il telefono all'account non era più possibile ne rimuovere l'autenticator ne registrare un nuovo telefono in caso di cambio device.

Esperienze in merito?

Domanda si hanno problemi se uno poi cambia telefono?
Su SWTOR ad esempio una volta associato il telefono all'account non era più possibile ne rimuovere l'autenticator ne registrare un nuovo telefono in caso di cambio device.

Esperienze in merito?

cambiato io , nessun problema

ti colleghi all'account bnet, DEassoci l'authenticator, installi l'authenticator sul telelfono nuovo, associ il nuovo autenthicator.

Ma che dite , e' la Blizzard stessa che svuota gli account in modo da vendere piu' autenticator :rain:
Posso immaginare quanto si struscino le mani e godano per i guadagni visto che gli Authenticator per Android o iOS costano zero.

L'Authenticator e' gratis e se non metti l'opzione per chiederlo ogni volta, si limita a chiedertelo a caso quando giochi sul tuo pc oppure te lo chiede ogni volta che logghi da un altro sistema o su bnet. E' un sistema di sicurezza aggiuntivo piu' sicuro di una pass imposibile da ricordare, e se non hai un telefono con android o ios alla peggio te ne compri uno dal sito con 3 lire, 6/7€ quanto costa vale la tranquillita' che porta.

cambiato io , nessun problema

ti colleghi all'account bnet, DEassoci l'authenticator, installi l'authenticator sul telelfono nuovo, associ il nuovo autenthicator.

Quindi volendo posso anche associarlo e poi se mi sbatte troppo levarlo dopo 2 giorni?
Due device diversi su uno stesso account invece immagino non si possa? :D

Domanda si hanno problemi se uno poi cambia telefono?
Su SWTOR ad esempio una volta associato il telefono all'account non era più possibile ne rimuovere l'autenticator ne registrare un nuovo telefono in caso di cambio device.

Esperienze in merito?
Io avevo l'Auth Blizzard e son passato a quello Android, ho dovuto chiamare il loro call center per rimuovere il vecchio Auth perche' non avevo l'opzione sul sito, ma roba che in 10 minuti ho fatto tutto.


EDIT:
Mosa, con l'Authenticator puoi o chiedere che ti faccia il prompt ogni volta che logghi, oppure puoi mettere delle impostazioni ridotte e te lo chiede SEMPRE quando vai sul sito, mentre in gioco te lo chiede solo quando riconosce un sistema diverso. A me per giocare lo chiedera' una volta alla settimana.

domanda, avevi una pass stupida? :nod:
cioè non ho capito sta roba come fa a succedere

Ste cose succedono xchè la gente clikka senza connizione di causa.
Anche in questo forum è stato consigliato di andare su sito X che ti forniva la possibilità INSTALLANDO UN AGENT di verificare se il tuo pc poteva girare D3 o altri giochi...altro che autenticator, se la gente clicca all'impazzata accettando tutto fa la fine di mia sorella che ogni 15 giorni devo passare da casa sua a ripulirgli il pc della merda che ha installato durante la navigazione.

altro modo con cui ne stanno scammando un tot:

no ma cliccateci senza vedere dove porta il LINK , a me ne arriva una ogni 2 gg.

9335

Il case sensitive è una cosa ridicola.
Basterebbe mettere password come scritto altrove qua appropriate e via (questo in assenza di virus/trojan/keylogger ovviamente).

altro modo con cui ne stanno scammando un tot:

no ma cliccateci senza vedere dove porta il LINK , a me ne arriva una ogni 2 gg.
Oh, il phishing c'e' da sempre... se la gente e' ritardata e ci cade sono anche cazzi loro.

E' quello che mi chiedo, sto Auth serve perchè indipendentemente dalle mie azioni possono fottermi l'account o semplicemente per avere un ulteriore livello di sicurezza ?

No perchè se sono coglione io è un conto e allora ben vengano i sistemi di sicurezza in più, ma se non me la vado a cercare posso stare tranquillo anche senza auth, no ?

Boh io per non saper nè leggere nè scrivere da qualche giorno l'ho installato sullo smartphone e gg, me lo faccio pure chiedere ogni volta che loggo tanto è roba di 10 secondi.

L'unica menata è quando ci sono i fucking error 37 / 74 / diohane di mezzo e ogni volta tocca reinserirlo, vabbè meglio così che ritrovarsi in mutande da un giorno all'altro.

la mia era una domanda retorica. Il meccanismo delle password è un meccanismo concettualmente sicuro, a meno che non ci siano falle enormi nei protocolli di sicurezza (roba tipo il WEP o il salvare la roba in chiaro sui DB) con un paio di accorgimenti demenziali (bloccare l'account dopo n tentativi sbagliati o forzare il cambio pass ogni tot) il meccanismo è a prova di bomba. Una password anche solo di 4 caratteri con 3 tentativi alla volta non la beccherai mai, è per questo che a me gli authenticator paiono un ufficio complicazione affari semplici. Anche se un impiegato blizzard si facesse un dump del db con le password se sono criptate non ci fa un cazzo (le password vengono criptate con funzioni unidirezionali, non puoi risalire all'originale se hai la versione criptata, il matching viene fatto ogni volta criptando la chiave immessa e confrontandola col db, non decriptando quella salvata).

Certo, se poi uno usa la stessa password per mail, banca, bnet e youporn e la inserisce in siti a caso non c'è niente da fare... li l'authenticator ti serve per tamponare l'idiozia della persona. Stesso discorso vale nel caso in cui uno salvi le CC in chiaro o con algoritmi bucati da 20 anni.

l'authenticator non è altro che uno dei tanti token per strong authentication.
non puoi pensare di bloccare l'account dopo 3 tentativi con 10 milioni di utenti, hador. sii realistico.
altrimenti dovrebbero dotarsi di un call center di 1000 cinesi adibiti solo allo sblocco account.

l'authenticator non è altro che uno dei tanti token per strong authentication.
non puoi pensare di bloccare l'account dopo 3 tentativi con 10 milioni di utenti, hador. sii realistico.
altrimenti dovrebbero dotarsi di un call center di 1000 cinesi adibiti solo allo sblocco account.

Basta mettere lo sblocco automatico dopo 5 minuti... ed eviti il call center.

la mia era una domanda retorica. Il meccanismo delle password è un meccanismo concettualmente sicuro, a meno che non ci siano falle enormi nei protocolli di sicurezza (roba tipo il WEP o il salvare la roba in chiaro sui DB) con un paio di accorgimenti demenziali (bloccare l'account dopo n tentativi sbagliati o forzare il cambio pass ogni tot) il meccanismo è a prova di bomba. Una password anche solo di 4 caratteri con 3 tentativi alla volta non la beccherai mai, è per questo che a me gli authenticator paiono un ufficio complicazione affari semplici. Anche se un impiegato blizzard si facesse un dump del db con le password se sono criptate non ci fa un cazzo (le password vengono criptate con funzioni unidirezionali, non puoi risalire all'originale se hai la versione criptata, il matching viene fatto ogni volta criptando la chiave immessa e confrontandola col db, non decriptando quella salvata).

Certo, se poi uno usa la stessa password per mail, banca, bnet e youporn e la inserisce in siti a caso non c'è niente da fare... li l'authenticator ti serve per tamponare l'idiozia della persona. Stesso discorso vale nel caso in cui uno salvi le CC in chiaro o con algoritmi bucati da 20 anni.
Concordo, sono idee completamente demenziali.

Basta mettere lo sblocco automatico dopo 5 minuti... ed eviti il call center.

certo, perchè se uno ha l'account bloccato anche solo 5 minuti non chiama il call center.
ma poi non c'è granchè da discutere eh. la politica di strong auth è enormemente e largamente diffusa.
oppure tutti gli istituti di credito che hanno dotato i loro clienti di una RSA card sono una manica di coglioni?

Lo sblocco automatico ogni 5 minuti,ma prestami il gomito va :rotfl: :rotfl:

la mia era una domanda retorica. Il meccanismo delle password è un meccanismo concettualmente sicuro, a meno che non ci siano falle enormi nei protocolli di sicurezza (roba tipo il WEP o il salvare la roba in chiaro sui DB) con un paio di accorgimenti demenziali (bloccare l'account dopo n tentativi sbagliati o forzare il cambio pass ogni tot) il meccanismo è a prova di bomba. Una password anche solo di 4 caratteri con 3 tentativi alla volta non la beccherai mai, è per questo che a me gli authenticator paiono un ufficio complicazione affari semplici. Anche se un impiegato blizzard si facesse un dump del db con le password se sono criptate non ci fa un cazzo (le password vengono criptate con funzioni unidirezionali, non puoi risalire all'originale se hai la versione criptata, il matching viene fatto ogni volta criptando la chiave immessa e confrontandola col db, non decriptando quella salvata).

Certo, se poi uno usa la stessa password per mail, banca, bnet e youporn e la inserisce in siti a caso non c'è niente da fare... li l'authenticator ti serve per tamponare l'idiozia della persona. Stesso discorso vale nel caso in cui uno salvi le CC in chiaro o con algoritmi bucati da 20 anni.

Parlavo di un'altra roba, che la pass manco la vede/gli interessa.
Nvm. :)

certo, perchè se uno ha l'account bloccato anche solo 5 minuti non chiama il call center.
ma poi non c'è granchè da discutere eh. la politica di strong auth è enormemente e largamente diffusa.
oppure tutti gli istituti di credito che hanno dotato i loro clienti di una RSA card sono una manica di coglioni?

Non ho detto che è sbagliato l'OTP dico che puoi evitare di sbloccare a mano gli account...

Non ho detto che è sbagliato l'OTP dico che puoi evitare di sbloccare a mano gli account...

è una cagata.
fotonica.

è una cagata.
fotonica.

ROFL effettivamente di queste problematiche non ci capisco un cazzo...

Ma secondo me il punto è un'altro, questi la pass nn la sbagliano, mettono user e pass giusta al primo accesso.
Mi spiace proprio ma a chi capitano queste cose ha fatto (lui o chi x lui) qualche cagata sul suo client.

è una cagata.
fotonica.

Cioè quindi secondo te nn posso configurare una policy che mi scatena una acl all'interno di un sistema???

Su dai....Rand!!!

Cioè quindi secondo te nn posso configurare una policy che mi scatena una acl all'interno di un sistema???

Su dai....Rand!!!

ma di che cazzo stai parlando :gha:
ste uscite da guru onetime random mi ammazzano :rotfl:
btw non è il thread giusto per parlarne

ma di che cazzo stai parlando :gha:


Appunto io lo so di che cosa sto parlando ma tu???

Non è questione di esser guru ma qui nn sapete chi vi risponde cosa fa effettivamente nella vita, oltre a giocare a D3 :D :D
Quindi dire che è una cosa è una cagata fotonica, ossia sparare una sentenza, quando nn si ha nozione di cosa si sta parlando mi manda sempre fuori di testa:D.

Tutto qui senza flame esenza incazzature :)

raga diablo vi e ci sta facendo veramente male a tutti.

Appunto io lo so di che cosa sto parlando ma tu???

Non è questione di esser guru ma qui nn sapete chi vi risponde cosa fa effettivamente nella vita, oltre a giocare a D3 :D :D
Quindi dire che è una cosa è una cagata fotonica, ossia sparare una sentenza, quando nn si ha nozione di cosa si sta parlando mi manda sempre fuori di testa:D.

Tutto qui senza flame esenza incazzature :)

:rotfl::rotfl::rotfl::rotfl::rotfl::rotfl:

tu lo sai cosa faccio io nella vita, ad esempio? :sneer:
non è questione di sparare "sentenze". è che tu hai scritto una cosa buttata lì senza senso, senza capo e senza coda, tipo supercazzola antani per due.
e a parte questo, quella roba lì del timer sul blocco account è una minchiata di proporzioni giurassiche per un milione di motivi, soprattutto in un contesto di milioni di utenti. vuoi un esempio di facile comprensione?
faccio uno script che fa 3 accessi col tuo account e pw random ogni 5 minuti. tu non giochi mai più.
di questo si stava parlando.
non delle policy che scatenano le acl all'interno di un sistema :gha:

Vah beh Rand ovvio neanche io so cosa fai tu , x quanto ne so io potresti essere il massimo esperto di sicurezza informatica italiano, e allora visto che ne sai a pacchi spiegami cosa cambia se su un sistema di autenticazione hai 1000 utenti o 1000000000.

Invece di dire che è una cagata x un milione di motivi, ti chiedo di dirmene 1 e mi accontento.

In merito al discorso io la mia l'ho detta, qui nn c'è gente che fa n tentativi x cercare di "indovinare" la password, l'autenticazione avviene tra il match di una USER e una PASS se nn hai ne user e ne pass, bucare l'account è un delirio tanto grosso che nn vale la pena metter su sto ambaradam x rubare 2 item e qualche xxxgold di D3!!!

Poi se vogliamo parlare di sicurezza informatica apriamo giustamente un altro 3d:D

raga diablo vi e ci sta facendo veramente male a tutti.
disse quello che sbaglia a scrivere e sembra che si faccia masturbare dal nipote ;)



Probabilmente per come e' vestito sburo pure mio nipote di 2 anni mentre mi masturbava per la prima volta killava il macellaio in 3 secondi...

:rotfl:
:love:

uno banalissimo te l'ho scritto, magari non hai fatto in tempo a leggere l'edit.
a seconda della numerosità degli utenti e del sistema a cui accedono devi dotarti non solo di un'infrastruttura adeguata per proteggerlo, ma devi anche fare in modo di non "soffocare" nelle policy di sicurezza o farci soffocare l'infrastruttura stessa. I servizi di OTP sono largamente diffusi ed utilizzati proprio perchè pur garantendo un certo livello di sicurezza, hanno bisogno di una manutenzione minima ed offrono gestione centralizzata.
se hai milioni di utenti ti strutturi non solo per offrire protezione, ma anche e soprattutto per non affogare nel supporto.
tipo ricevere 5673489568347568934789578934 richieste di supporto perchè un coglione con uno script sta facendo bruteforce spamming.

comunque non vi va bene mai un cazzo di nulla

Fottono account... swhouse di merda
Mettono l'authenticator pure gratis per gli smart... auth inutile
Piove... Rob Pardo ladro! (ed infatti si conta 120 monete da un euro ogni giorno che ha ruBBBato)

Diohane!

disse quello che sbaglia a scrivere e sembra che si faccia masturbare dal nipote ;)
:rotfl:
:love:
Succede, e' che scrivo troppo veloce !!! :shocked:

comunque non vi va bene mai un cazzo

fottono account... swhouse di merda
mettono l'authenticator... auth inutile
piove... Rob Pardo ladro!
(ed infatti si conta 120 monete da un euro ogni giorno che ha ruBBBato)

ma soprattutto

troppo facile...blizzard merda
troppo difficile...blizzard merdissima

A si nn avevo letto l'edit, ma vedi, nel tuo esempio vieni a quello che ti dico io, chi sta tentando di bucarti/bloccarti l'account qualcosa di te la sa (la user).

Cmq dai appena trovo un attimo ti mando un pm e continuiamo che qui stiam andando troppo OT :D

Dimenticavo....Blizzard merda diohane!!!!!!

ma soprattutto

troppo facile...blizzard merda
troppo difficile...blizzard merdissima
a volte mi chiedo se fosse stato medio come sarebbe stato...

a volte mi chiedo se fosse stato medio come sarebbe stato...

blizzard piscio!

blizzard piscio!
Diohane buhaiolo!!

A si nn avevo letto l'edit, ma vedi, nel tuo esempio vieni a quello che ti dico io, chi sta tentando di bucarti/bloccarti l'account qualcosa di te la sa (la user).
Cmq dai appena trovo un attimo ti mando un pm e continuiamo che qui stiam andando troppo OT :D
Dimenticavo....Blizzard merda diohane!!!!!!

Va beh ma la user è la normalissima email che si da in giro a mezzomondo, addiruttura il gioco ti permette di aggiungere amici inserendo la loro mail invece della battle tag.

Basta un session ID hijacker (essendo sempre online, diablo ne crea uno appena lo avvii, di identificativo intendo), la pass e l'authenticator contano zero nel caso ne abbiano compilato uno ad hoc sfruttando qualche baco del gioco.
Tutto cio' prendendo per vera l'info che si e' trovato disconnesso dal server a cazzo.

Altrimenti, vedi la gif di Shagaz.


Non penso la cosa sia stata cosi complessa. Quello che dici tu è ordini di grandezza piu lungo/difficile.
E' stato disconnesso probabilmente perchè qualcun altro ha cambiato al pass e poi ha loggato nell'account. In questo caso la policy è di sconnettere chi c'è collegato e far collegare il nuovo utente, era cosi anche su wow.

Non penso la cosa sia stata cosi complessa. Quello che dici tu è ordini di grandezza piu lungo/difficile.
E' stato disconnesso probabilmente perchè qualcun altro ha cambiato al pass e poi ha loggato nell'account. In questo caso la policy è di sconnettere chi c'è collegato e far collegare il nuovo utente, era cosi anche su wow.
Ma mica solo WoW... e' largamente usato come sistema piuttosto che dirti che sei gia' loggato e farti sokare, perche' spesso quando succede che logghi e sei gia' loggato in realta' sei te che stai riloggando dopo una discossione ed ancora non sei andato in server timeout, ergo vogliono evitarti di rimbalzare al login fino a che il server non si accorge che sei caduto.

Ma mica solo WoW... e' largamente usato come sistema piuttosto che dirti che sei gia' loggato e farti sokare, perche' spesso quando succede che logghi e sei gia' loggato in realta' sei te che stai riloggando dopo una discossione ed ancora non sei andato in server timeout, ergo vogliono evitarti di rimbalzare al login fino a che il server non si accorge che sei caduto.

Si si certo è diffusissimo. Mi ricordo in IRC invece che era il contrario, finchè il server non si accorgeva che eri caduto non rientravi con lo stesso utente. Potevano volerci pure 5 minuti.

Concordo, sono idee completamente demenziali.
è matematica, ma che te lo dico a fare :sneer:
certo, perchè se uno ha l'account bloccato anche solo 5 minuti non chiama il call center.
ma poi non c'è granchè da discutere eh. la politica di strong auth è enormemente e largamente diffusa.
oppure tutti gli istituti di credito che hanno dotato i loro clienti di una RSA card sono una manica di coglioni?
sono una manica di coglioni e lo fanno principalmente per due motivi, il primo è che anche gli utenti sono una manica di coglioni, il secondo è che la gente non si fida dell'online e avere un cazzillo in mano che gli genera numeri gli da più sicurezza.
Non è più strong quello di avere la password e basta o due password, soprattutto se introduci dei meccanismi contro attacchi programmati (i tentativi possono anche essere 20 eh, ho detto 3 perchè 3 è quello delle banche. Se volete vi spiego anche il perchè comunque - tra l'altro battlenet HA questo tipo di protezione).

Rispetto al phishing invece non c'è niente da fare, siete cojoni/sfigati :nod:

Si ma è diffusissimo nn x nn far sbattere l'utente ma x fare in modo che sul sistema ci sia sempre e solo una coppia di credenziali user e pass!!!!

E una questione di scelte, o si mette un timeout di inattività o si mette un controllo sulla sessione che all'arrivo di un utente che risulta già collegato cassa il primo e da accesso al secondo.

è matematica, ma che te lo dico a fare :sneer:
sono una manica di coglioni e lo fanno principalmente per due motivi, il primo è che anche gli utenti sono una manica di coglioni, il secondo è che la gente non si fida dell'online e avere un cazzillo in mano che gli genera numeri gli da più sicurezza.

hador stai impilando cagate nonetheless.
lo sai che il garante OBBLIGA le aziende che abbiano a che fare con dati sensibili a dotarsi di sistemi di strong-auth per l'accesso dei sistemisti (quindi chi ci lavora) oltre che porre la server farm in una secure zone? Con tanto di audit periodici e a sorpresa da parte dell'authority e succosissime multe se non rientri nei parametri dell'audit?
Cioè, se seguissi i tuoi consigli io al primo audit sto in mezzo ad una strada.
Ma immagino che siano una manica di coglioni anche loro. Tutti tranne te insomma.

edit: mi correggo. non sistemi di strong-auth semplici con OTP, ma con lettori *biometrici*.

Cioè, se seguissi i tuoi consigli io al primo audit sto in mezzo ad una strada.
.

basta che ti appoggi vicino ad un wifispot e stai servito , che problema c'e' , piu' tempo per giocare

Puoi nerdare 24su24.

rando io ti faccio una valutazione tecnica e tu mi rispondi citando le norme del garante italiano? A me che cazzo me ne frega del garante italiano, abbi pazienza.
Fineco ha autenticazione con password a doppio livello dove la seconda ha il blocco sui tentativi, altre banche hanno strong auth (non ti dico UBS che cazzo devo fare per entrare nel conto), ci sono dati che dimostrano che la prima è meno sicura che le altre?

I sistemi che richiedono una chiave fisica sono "più sicuri" perchè c'è una chiave fisica che necessita di venir rubata fisicamente, non per altro. Questo non rende il sistema di autenticazione con la password debole verso "attacchi informatici", lo rende più debole verso l'idiozia degli utenti, dato che è più probabile che tu metta la tua password di bnet nel form per vincere il pupazzo gnappo su wow piuttosto che tu presta il tuo autenticator a uno che non conosci.

è matematica, ma che te lo dico a fare :sneer:
sono una manica di coglioni e lo fanno principalmente per due motivi, il primo è che anche gli utenti sono una manica di coglioni, il secondo è che la gente non si fida dell'online e avere un cazzillo in mano che gli genera numeri gli da più sicurezza.
Non è più strong quello di avere la password e basta o due password, soprattutto se introduci dei meccanismi contro attacchi programmati (i tentativi possono anche essere 20 eh, ho detto 3 perchè 3 è quello delle banche. Se volete vi spiego anche il perchè comunque - tra l'altro battlenet HA questo tipo di protezione).

Rispetto al phishing invece non c'è niente da fare, siete cojoni/sfigati :nod:
Guarda che la matematica si deve scontrare col mondo reale, ed e' li che ti cade, laddove voi (self)glorificati matematici parlate di sistemi ma in maniera completamente demenziale vi scordate che si devono applicare laddove l'utente medio ha problemi ad accendere il suo pc.

Come e' stato gia' fatto notare, diverse misure di sicurezza aggiuntive come imporre l'uso di una maiuscola, due numeri, un punto e virgola ed il sacrificio di un criceto spesso portano solo alla creazione di password impossibili da ricordare, perche' se per te e' normale ricordarsi per ogni sito e gioco una password tipo Tu4madr3!;du3cric3ti;b0lliti, sappi che te sei l'eccezione, i comuni mortali con un sistema che ti blocca l'account dopo 3 tentativi sarebbero tutti a bloccarsi da soli l'account e chiamare il call center perche' non si ricorderebbero mai quali cazzo sono i numeri o dove han messo la maiuscola; oltretutto col risultato che per ricordarsi una bestialita' del genere finisce che si scrive giu' tutte le pass, magari tutti in un foglio di testo chiamato password. Hai quindi obbligato un cristo ad inventarsi una pass impossibile da ricordare e sei sempre vulnerabili ai piu' stupidi attacchi quali phishing o trojan.

Esiste poi un sistema molto piu' semplice, che mi evita di dovervi ricordare obbrobri tipo Tu4madr3!;du3cric3ti;b0lliti ed oltretutto perdona pure il coglione che come pass usa gatto o 123stella, e rende quest pass imbecilli impossibile da violare con attacchi base per il semplice motivo che anche se trovi la pass poi devi immettere dei valori a caso che ti da un qualcosa di esterno, e quello non lo puoi violare se non mi rubi fisicamente il telefono o ti fai una passeggiata dentro il Blizzard HQ e ti porti via la chiave.

Ma no, siccome a te non sta a genio ecco che porco il tuo dio mi vorresti far ricordare roba assurda come Tu4madr3!;du3cric3ti;b0lliti.

ma nessuno mette in dubbio che per l'utonto un autenticatore sia la cosa migliore, quello che sto dicendo è che le password da sole sono sufficientemente sicure e se uno si fida di se stesso e dei suoi device - cioè se uno non si ritiene soggetto a malware strani/phishing/social engineering. Non c'è bisogno di un authenticator perchè altrimenti gli h4ck3r ti bucanoh la pass, al più ce ne è bisogno se apri le mail random con internet explorer 6 e ci scrivi dentro le tue credenziali.
Btw tutti i sistemi decenti hanno un controllo sul numero di autenticazioni, ripeto, anche la blizzard lo ha e ti manda anche gli sms, i 3 tentativi possono essere 10, 20 o 1000 poco cambia (3 è il pin della banca e del bancomat, 100 o 1000 sarà battlenet, ma sono abbastanza per impedire attacchi brute force).
E di lettere speciali ne basta una, o un numero, quanto basta per evitare (giusto in caso), che la parola faccia parte di un dizionario. Una pass come Powerdegree1!, per esempio, andrebbe benissimo.

hador stai impilando cagate nonetheless.
lo sai che il garante OBBLIGA le aziende che abbiano a che fare con dati sensibili a dotarsi di sistemi di strong-auth per l'accesso dei sistemisti (quindi chi ci lavora) oltre che porre la server farm in una secure zone? Con tanto di audit periodici e a sorpresa da parte dell'authority e succosissime multe se non rientri nei parametri dell'audit?
Cioè, se seguissi i tuoi consigli io al primo audit sto in mezzo ad una strada.
Ma immagino che siano una manica di coglioni anche loro. Tutti tranne te insomma.

edit: mi correggo. non sistemi di strong-auth semplici con OTP, ma con lettori *biometrici*.

Guarda qui lavoriamo in qualità, forniamo servizi di PKI, e collezioniamo i dati sensibili dei clienti sui nostri DB, l'unica cosa a cui ci obbliga la legislazione è l'accesso alla farm in 2 persone con badge e pin, una firma l'anno di carico responsabilità di dati sensibili e niente +, di lettori biometrici neanche l'ombra...ma farebbe molto figo :D :D

ed e' per questo che e' la mia password.

hador non puoi considerare l'idiozia degli utenti un parametro velleitario quando hai a che fare con milioni di utenti, lo capisci?
come ho scritto prima a faz, non è solo un problema di solidità del sistema di sicurezza, è anche una questione di gestione della piattaforma ed è anche una questione di tutela per chi esercisce la piattaforma, del tipo io ti ho dato i mezzi (gratis) per renderti l'account più sicuro, gg a te se non li hai sfruttati. nessuno ti verrà mai a dire il tuo sistema di sicurezza è una merda in questo caso, proprio perchè hai offerto autenticazione combinata su più livelli.

Rand.... passami la battuta :D, x me fai il PM, e quindi di tecnico come da assunto nn ne capisci gran che (ricordati che è una battuta diffusissima nel campo è), xchè se hai 10 utenti o 1000 o 10milioni, la gestione della piattaforma non cambia di una virgola.

hador non puoi considerare l'idiozia degli utenti un parametro velleitario quando hai a che fare con milioni di utenti, lo capisci?
come ho scritto prima a faz, non è solo un problema di solidità del sistema di sicurezza, è anche una questione di gestione della piattaforma ed è anche una questione di tutela per chi esercisce la piattaforma, del tipo io ti ho dato i mezzi (gratis) per renderti l'account più sicuro, gg a te se non li hai sfruttati. nessuno ti verrà mai a dire il tuo sistema di sicurezza è una merda in questo caso, proprio perchè hai offerto autenticazione combinata su più livelli.e 3, sono d'accordissimo. Quello che sto dicendo è che nel caso specifico se uno non usa l'authenticator ma non si reputa soggetto a problemi di phishing e amenità varie NON è più in pericolo rispetto a chi lo usa. Sia per bnet, sia per la banca. Personalmente ho due conti e non reputo quello con authenticator più sicuro.

Se passate all'authenticator giusto per tagliare la testa al toro ma siete comunque utenti non dell'ultim'ora state solo dando soldi alla blizzard. Che vabbè, meglio darglieli così piuttosto che comprando il pet a forma di pokemon su wow.

Guarda qui lavoriamo in qualità, forniamo servizi di PKI, e collezioniamo i dati sensibili dei clienti sui nostri DB, l'unica cosa a cui ci obbliga la legislazione è l'accesso alla farm in 2 persone con badge e pin, una firma l'anno di carico responsabilità di dati sensibili e niente +, di lettori biometrici neanche l'ombra...ma farebbe molto figo :D :D

http://www.garanteprivacy.it/garante/doc.jsp?ID=1610018

edit: hador, l'authenticator è gratis (e 3).

ha un costo in dignita'.

http://www.garanteprivacy.it/garante/doc.jsp?ID=1610018

edit: hador, l'authenticator è gratis (e 3).per voi, io ho tipo il 3330 :sneer:

per voi, io ho tipo il 3330 :sneer:

pezzente.

http://www.garanteprivacy.it/garante/doc.jsp?ID=1610018

edit: hador, l'authenticator è gratis (e 3).

E cosa c'entra la modalità di trattamento dei dati biometrici con quello che stiamo dicendo noi Rand??? nn hai le idee molto chiare.
Quella che mi linki è la legislatura di come trattare i dati biometrici se scegli quella modalità di protezione dei tuoi dati sensibili, e non che se hai dati sensibili in azienda devi proteggerli attraverso accessi biometrici.

Io la penso come Hador se nn sei un pollouser l'autenticator nn ti serve, poi ben venga una maggior livello di protezione, ma nn è indispensabile.

ha un costo in dignita'.

Blizzard merda che viola la carta dei diritti fondamentali dell uomo ad avere la pass 12345

"solo un cretino terrebbe 1-2-3-4-5 come combinazione". - "Hey! È la combinazione della mia valigetta!"


http://www.youtube.com/watch?v=kxYAzNMZ2CU

E cosa c'entra la modalità di trattamento dei dati biometrici con quello che stiamo dicendo noi Rand??? nn hai le idee molto chiare.
Quella che mi linki è la legislatura di come trattare i dati biometrici se scegli quella modalità di protezione dei tuoi dati sensibili, e non che se hai dati sensibili in azienda devi proteggerli attraverso accessi biometrici.

si fa lunga e siamo OT, altra sede.

Blizzard merda che viola la carta dei diritti fondamentali dell uomo ad avere la pass 12345

"solo un cretino terrebbe 1-2-3-4-5 come combinazione". - "Hey! È la combinazione della mia valigetta!"


http://www.youtube.com/watch?v=kxYAzNMZ2CU


era ironico ç_ç

era ironico ç_ç

anche io e cmq non riferito a te ma ad i vari diaQQo che ci sono

mmmm ma se per esempio io avessi installato sto coso sul iphone ma il codice che mi genera non fosse valido cosa dovrei fare???

spengo il rooter 15 min?

mmmm ma se per esempio io avessi installato sto coso sul iphone ma il codice che mi genera non fosse valido cosa dovrei fare???

spengo il rooter 15 min?

diego la procedura e':
installi l'app nel telefono, vai sul profilo bnet e metti l'aut.
a quel punto ti chiede due codici per registrare al tuo account i codici generati dal tuo cellulare
nota bene su "continua£ nell' app del cellulare ci sta un altro codice che ti dice di segnare in un foglio di carta che penso sia per rimuovere l'authenticator (perdi il cell , si rompe, cambi cellulare)

a quel punto i codici generati dal tuo cell devono per forza essere validi se l'hai registrato all account bnet.
l'authenticator funziona una meraviglia e il gioco che faila :P

e 3, sono d'accordissimo. Quello che sto dicendo è che nel caso specifico se uno non usa l'authenticator ma non si reputa soggetto a problemi di phishing e amenità varie NON è più in pericolo rispetto a chi lo usa. Sia per bnet, sia per la banca. Personalmente ho due conti e non reputo quello con authenticator più sicuro.

Se passate all'authenticator giusto per tagliare la testa al toro ma siete comunque utenti non dell'ultim'ora state solo dando soldi alla blizzard. Che vabbè, meglio darglieli così piuttosto che comprando il pet a forma di pokemon su wow.

Ma... è matematicamente dimostrato nel campo security che l'autitenticazione multipla indipendente è più sicura di una singola.
Ed è ragionevole dire che anche se non fosse indipendente e l'authenticator stesse sul PC ci sarebbe cmq un marginale aumento della sicurezza.

Ok non reputarsi soggetti a phishing eccetera, ma per esserlo bisogna usare password forti, non usarle MAI in due login diverse, etc. Inoltre può andare di sfiga e in un momento di stanchezza/ubriachezza/nervoso/qualsiasi altra cosa e anche un esperto può possibilmente finire a dare via la propria password.

Come sempre la sicurezza è un tradeoff, più spendi più sei sicuro. In questo caso la scelta sta all'utente finale, può decidere o meno se l'authenticator dall'esorbitante costo di 0 euro (o 6 euro al max, una volta sola) vale o meno l'incremento di sicurezza, qualunque esso sia (dato per scontato che non sia nullo, e secondo me uno che afferma questo di sicurezza non ha capito niente)


PS: Cmq lol a chi parla di attacchi a dizionario e chiavi di cifratura, non so se lo sapete ma online si possono trovare dizionari hashati con i principali algoritmi, gia pronte per l'uso. Altro che decifratura. Si l'hash non è invertibile... finchè qualcuno non costruisce una rainbow table

Al massimo è dimostrato sperimentalmente, matematicamente la vedo dura. Matematicamente chiederdi di usare 3 livelli di sicurezza, una password lunga 15 caratteri o una lunga 5 e cambiarla ogni 3 ore è uguale :D

E poi tutte ste pippe mentali sui brute force, gli h4ck3r e i dizionari (che ho provato tra l'altro, ci becchi le pass stupide), quando il principale tramite di tutti i servizi online che utilizzate, la mail, l'auth mica lo ha e se vi entrano li addio :D

Una cosa sull'authenticator:

se io lo uso da qui e mio fratello lo installa sull'ipod touch, possiamo loggare tutti e 2? O il tutto si binda a un solo authenticator?

un account un authenticator.

Al massimo è dimostrato sperimentalmente, matematicamente la vedo dura. Matematicamente chiederdi di usare 3 livelli di sicurezza, una password lunga 15 caratteri o una lunga 5 e cambiarla ogni 3 ore è uguale :D

E poi tutte ste pippe mentali sui brute force, gli h4ck3r e i dizionari (che ho provato tra l'altro, ci becchi le pass stupide), quando il principale tramite di tutti i servizi online che utilizzate, la mail, l'auth mica lo ha e se vi entrano li addio :D

chi ti dice che la mia mail non ha l'auth? :D

...

Si la procedura l'ho rispettata, ma nulla, dal momento in cui l'ho installato nn sono mai riuscito a loggare. Ho dovuto richiedere ieri sera la disinstallazione dell'authenticator inviandogli una copia di un documento.

Stamattina mi è arrivata la mail col link per cambiare la pass, mezzora fa la cambio loggo e sorpresa: ho 0 gold!!

lol

tutt'appost :sneer:

ma come cazzo fate a farvi fottere le pass dio bono, a me è succeso UNA volta in tutta la mia vita su WoW, tempo 10 minuti mi hanno ripristinato il pg, cambiato psw, mai successo di nuovo da quella volta

"come cazzo fate a farvi fottere le password"

"a me è successo"

:sneer:

cmq io resto dell'idea che ci sia qualche problema o col gioco o con battle net, perche sta mole di gente hackata non è semplicemente realistica

cmq io resto dell'idea che ci sia qualche problema o col gioco o con battle net, perche sta mole di gente hackata non è semplicemente realisticahahhaha

saranno 6 anni che ho smesso di usare un antivirus e non ho mai avuto un problema, eppure i virus e malware ad ascoltar "la gente" pare siano il male incurabile di windows :D

hahhaha

saranno 6 anni che ho smesso di usare un antivirus e non ho mai avuto un problema, eppure i virus e malware ad ascoltar "la gente" pare siano il male incurabile di windows :D

idem... e dire che lavoro per una azienda di sicurezza informatica lol :D

mi hanno hackato l'account di wow 1 volta solo perchè l'ho dato a mio fratello e se l'è fatto fregare :D ma dell'account fregava niente dato che era un secondario :D

hahhaha
saranno 6 anni che ho smesso di usare un antivirus e non ho mai avuto un problema, eppure i virus e malware ad ascoltar "la gente" pare siano il male incurabile di windows :D
cioè che significherebbe che è tutta un invenzione ?

so tutti bravi a fa gli splendidi finche non tocca a te :sneer:

Qualcun altro loggando oggi si è trovato l'account con zero soldi?
Un bug?O bestemmio?

direi la seconda :D

LoL avranno chiesto consulenza alla sony sulla sicurezza

mettete il cazzo di authenticator.
ma subito tipo.

Messo, vabè che era solo 1 milioncino, quindi il danno è limitato anche perchè non avevo un cazzo di oggetto serio, però rosichi
Ho visto che so andati a prendersi anche un libro per fabbro per mojo arancioni, quindi smucinano anche il baule

lho messo pure io il cazzo di authenticator

solo che mo sto sbracato in poltrona dopo cena, vorrei giocare ma mi pesa il culo di andare a prendere il cel

che palle

magari lo indovino

Cmq penso che se scrivi al supporto tecnico dovrebbero ridarti tutto indietro, anche perchè ormai ste cose sono quotidiane, bho!

e chi ha un cell di merda che non pole usare l'autenticator???

Cmq penso che se scrivi al supporto tecnico dovrebbero ridarti tutto indietro, anche perchè ormai ste cose sono quotidiane, bho!
ah si dimenticavo potete chiedere un rollback di 24 ore la prima volta lo fanno a tutti senza domande

ma se hai perso solo un milione di gold nn credo manco valga la pena

cmq pure l'istallazione ci vuole una vita....sto gioco è puro fail....

FLAIM :sneer:

se hai un vecchio telefono puoi comprarti l'authenticator a 12 euro circa.

dice che non ho i requisiti minimi di sistema....dopo che lo ho istallato ma per ora gira...vediamo

shub hai un cellulare del 67 e un pc del 45, vai a giocare in bocciofila e non scassare la minchia.

Ho un sony vaio di 2 anni fa che non avrei mai comprato se non mi sfrangiava la scoppola la moglie ma cmq...D3 gira per ora.
Come cell un samsung omnia di 4 anni fa che tra l'altro sta morendo...ma non mi va di spendere 400e per un cell...

Devo dire che la grafica è proprio sublime anche a dettagli di merda...ho giocato 10min dopo 1ora di istallazione ahahahah

basta un ipod touch o uno smartphone tipo galaxy next da 100€ eh :D Col secondo e un abbonamento internet da 4-5 euri al mese puoi sempre controllare internet... da ex scettico devo dire che e' un passo avanti a livello di comodita pari quasi a passare dal telefono fisso al cellulare. Fine ot :D

quando sei in giro smartphone > all

quando la cura è peggio della malattia.
Ieri mando una mail così per avvisare al servizio clienti, e loro senza dire nulla mi ripristinano il pg
Guadagnato : 700 k gold
Perso : 3 livelli , un intero atto ad abisso(il terzo) e metà del secondo, un fottutissimo elmo con castone comprato per soli 500k

Era meglio se nn li informavo di nulla

minchia uababbi sei proprio fortunello ahahahah

Che poi l'avevo preso anche con parecchia filosofia il furto
Il ripristino invece mi ha distrutto