image

Beveiliging World of WarCraft beter dan veel internetbanken

maandag 30 juni 2008, 11:33 door Redactie, 12 reacties

Spelontwikkelaar Blizzard kondigde vorige week twee-factor authenticatie voor spelers van World of WarCraft aan, een beveiligingslaag waar veel internetbanken nog altijd niet aan kunnen tippen. Met miljoenen spelers en net zulke bedragen die in het spel omgaan, zijn spelers een favoriet doelwit van virusschrijvers. Zo verwijderde Microsoft laatst 2,5 miljoen wachtwoordstelers van Windows machines, een aantal dat de Storm worm op een hobbyvirus doet lijken.

Door het grote aantal gehackte accounts moest Blizzard wel met een oplossing komen. De Blizzard Authenticator genereert een zes-cijferige code die samen met de gebruikersnaam en wachtwoord tijdens het inloggen moet worden ingevuld. Het apparaatje kost spelers zes euro en is volgens beveiligingsexperts een interessante "test case".

"Wachtwoorden zijn overbodig. Ze zijn stuk. Iets wat we allemaal weten, toch kunnen we ze niet opgeven omdat er nog geen eenvoudig alternatief is," zegt Robert Graham van Errata Security. Graham schat dat elk gehackt account en het assisteren van een speler bij het terugkrijgen hiervan, honderd dollar kost. En dan gaat hij ervan uit dat de speler dan nog steeds wil spelen en zijn abonnement van 10 euro per maand niet opheft, wat Blizzard nog meer geld zou kosten.

Wachtwoorden

De meeste malware is vandaag de dag voorzien van keyloggers en andere wachtwoordstelers, maar het stelen van iemand z'n login kan eenvoudiger. Veel mensen kiezen dezelfde gebruikersnaam en wachtwoord combinatie voor meerdere websites. Een aanvaller hoeft alleen maar een site neer te zetten waar gebruikers moeten inloggen. De kans is dan aanwezig dat men dezelfde gegevens invoert als voor het World of WarCraft account.

"Als gebruikers te stom zijn om het juiste wachtwoord te kiezen, is de enige oplossing om de verantwoordelijkheid uit hun handen te nemen. En dat is wat Blizzard heeft gedaan," merkt Graham op. Volgens hem krijgt Blizzard naast de kosten voor het apparaatje ook met andere kosten te maken. Gebruikers zullen hun authenticator bijvoorbeeld verliezen of stuk maken. Het vereist ook een investering aan de kant van de gebruikers, die moeten leren om te gaan met het apparaat, dat het inloggen een stuk lastiger maakt. En dat is een belangrijk punt, omdat World of WarCraft geld genereert als het spelen leuk is, irritaties veroorzaakt door beveiliging neemt dat plezier weg.

"Het experiment van Blizzard is voor ons allen interessant. Banken gebruiken allerlei authenticatie manieren om maar niet op hardware apparaatjes zoals die van Blizzard over te stappen. Als pentesterss kunnen we zeggen dat deze manieren falen. Geen enkel systeem kan veilig zijn als het vertrouwt dat gebruikers verstandig met hun logingegevens omgaan."

Reacties (12)
30-06-2008, 12:38 door Anoniem
Is dit systeem niet gelijk aan dat van de rabobank?
30-06-2008, 12:54 door Walter
Door Anoniem
Is dit systeem niet gelijk aan dat van de rabobank?
Bij de rabobank is het toch alleen maar gebruikersnaam en code van dat
apparaatje?
Dit is gebruikersnaam + wachtwoord + code uit apparaatje.
Dus 1 stap meer.
30-06-2008, 13:28 door spatieman
handig.
Revolutinaire bank beveiliging dank zij een game ontwikkeling..
30-06-2008, 13:31 door SirDice
Rabobank werkt hetzelfde als Fortis. Je hebt zo'n kastje
waar je je PIN pas in steekt. PIN code intypen en de code
van de website, het kastje geeft je dan een ander nummer.
Die gebruik je om in te loggen.
30-06-2008, 14:17 door Anoniem
Door spatieman
handig.
Revolutinaire bank beveiliging dank zij een game ontwikkeling..
Ja, dus...
Dit gebeurt toch ook in de automobiel industrie, hier worden lessen uit de
racerij ook toegepast.
Het gaat erom te leren en dus ook van de fouten (en de goede voorbeelden)
van anderen.
30-06-2008, 14:21 door Anoniem
Zucht.......

one factor authentication:
Iets dat de gebruiker weet, bijvoorbeeld zijn wachtwoord/userid

two factor authentication:
Iets dat de gebruiker weet, bijvoorbeeld zijn wachtwoord/userid
en iets dat de gebruiker heeft, dit kan een random generator zijn (OTP), een
pseudo random generator (een rabobank apparaat waar op basis van een
input een "random" output gegenereert wordt), iets biometrisch (vingerafdruk,
iris scan etc), of iets anders bv een certificaat.

Dus ja wat de Rabobankt levert is iets vergelijkbaars. Er wordt alleen een
vergelijk gemaakt met amerikaanse banken, deze hebben lang niet allemaal
een two factor authentication in gebruik. Een gewoon UserId met wachtwoord
voldoet blijkbaar.
30-06-2008, 17:02 door Anoniem
dezelfde Blizzerd Authenticator heb ik ook voor mijn
eigen bank. en dat voor al heel wat jaartjes...
30-06-2008, 18:04 door SirDice
Door Anoniem
two factor authentication:
Iets dat de gebruiker weet, bijvoorbeeld zijn wachtwoord/userid en iets dat de gebruiker heeft, dit kan een random generator zijn (OTP), een pseudo random generator (een rabobank apparaat waar op basis van een input een "random" output gegenereert wordt), iets biometrisch (vingerafdruk, iris scan etc), of iets anders bv een certificaat.
Ehmm.. Volgens mij is het je PIN pas die onderdeel is van de two factor authentication, niet het apparaatje.. Het apparaatje kun je namelijk even van de buurman lenen indien nodig.. Met alleen het apparaatje en een pin code kun je ook niets. Pas + PIN code is de authenticatie. De challenge/response is om het replayen tegen te gaan.
30-06-2008, 19:22 door Anoniem
Door SirDice
Rabobank werkt hetzelfde als Fortis. Je hebt zo\\\'n kastje
waar je je PIN pas in steekt. PIN code intypen en de code
van de website, het kastje geeft je dan een ander nummer.
Die gebruik je om in te loggen.

Dus AbnAmro heeft exact hetzelfde systeem neem ik aan?
30-06-2008, 22:37 door Anoniem
Door SirDice
Ehmm.. Volgens mij is het je PIN pas die onderdeel is van de
two factor authentication, niet het apparaatje.. Het
apparaatje kun je namelijk even van de buurman lenen indien
nodig.. Met alleen het apparaatje en een pin code kun je ook
niets. Pas + PIN code is de authenticatie. De
challenge/response is om het replayen tegen te gaan.

De rabobank heeft twee varianten, een waar je je pas in moet
steken. En een zonder. Die zonder vraagt om een pin die je
eerst in moet stellen in combinatie met een challenge
response. De codes daarvan zijn ook op tijd gebaseerd. Dit
is wel het oude model. Het nieuwe model maakt gebruik van je
pin pas, eigenlijk van je chipknip ;-)

Het is dus nog steeds iets wat je weet (een factor) en wat
je hebt en je pinpas. (twee factor)
02-07-2008, 12:22 door Anoniem
abn amro heeft dit al tijden, niks nieuws dus. En dat ding
wekt totaal geen irritaties op, werkt snel en veilig.
08-07-2008, 14:07 door mbb
Inderdaad gelijk aan het Nederlandse systeem, en omdat het gecombineerd
kan worden met IDeal ook geschikt voor internetbetalingen.
Zo lopen de nederlande baken weer eens voorop in de wereld, maar helaas
kan het hele systeem binnenkrt naar de prullenbak omdat de EU het pin-
systeem niet dominant genoeg vind en het bettaalsysteem wil egaliseren.

Kunnen we allemaal gaan betalen met dure onveilige Amerikaanse
creditcards :-(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.