Beveiliging World of WarCraft beter dan veel internetbanken
Spelontwikkelaar Blizzard kondigde vorige week twee-factor authenticatie voor spelers van World of WarCraft aan, een beveiligingslaag waar veel internetbanken nog altijd niet aan kunnen tippen. Met miljoenen spelers en net zulke bedragen die in het spel omgaan, zijn spelers een favoriet doelwit van virusschrijvers. Zo verwijderde Microsoft laatst 2,5 miljoen wachtwoordstelers van Windows machines, een aantal dat de Storm worm op een hobbyvirus doet lijken.
Door het grote aantal gehackte accounts moest Blizzard wel met een oplossing komen. De Blizzard Authenticator genereert een zes-cijferige code die samen met de gebruikersnaam en wachtwoord tijdens het inloggen moet worden ingevuld. Het apparaatje kost spelers zes euro en is volgens beveiligingsexperts een interessante "test case".
"Wachtwoorden zijn overbodig. Ze zijn stuk. Iets wat we allemaal weten, toch kunnen we ze niet opgeven omdat er nog geen eenvoudig alternatief is," zegt Robert Graham van Errata Security. Graham schat dat elk gehackt account en het assisteren van een speler bij het terugkrijgen hiervan, honderd dollar kost. En dan gaat hij ervan uit dat de speler dan nog steeds wil spelen en zijn abonnement van 10 euro per maand niet opheft, wat Blizzard nog meer geld zou kosten.
Wachtwoorden
De meeste malware is vandaag de dag voorzien van keyloggers en andere wachtwoordstelers, maar het stelen van iemand z'n login kan eenvoudiger. Veel mensen kiezen dezelfde gebruikersnaam en wachtwoord combinatie voor meerdere websites. Een aanvaller hoeft alleen maar een site neer te zetten waar gebruikers moeten inloggen. De kans is dan aanwezig dat men dezelfde gegevens invoert als voor het World of WarCraft account.
"Als gebruikers te stom zijn om het juiste wachtwoord te kiezen, is de enige oplossing om de verantwoordelijkheid uit hun handen te nemen. En dat is wat Blizzard heeft gedaan," merkt Graham op. Volgens hem krijgt Blizzard naast de kosten voor het apparaatje ook met andere kosten te maken. Gebruikers zullen hun authenticator bijvoorbeeld verliezen of stuk maken. Het vereist ook een investering aan de kant van de gebruikers, die moeten leren om te gaan met het apparaat, dat het inloggen een stuk lastiger maakt. En dat is een belangrijk punt, omdat World of WarCraft geld genereert als het spelen leuk is, irritaties veroorzaakt door beveiliging neemt dat plezier weg.
"Het experiment van Blizzard is voor ons allen interessant. Banken gebruiken allerlei authenticatie manieren om maar niet op hardware apparaatjes zoals die van Blizzard over te stappen. Als pentesterss kunnen we zeggen dat deze manieren falen. Geen enkel systeem kan veilig zijn als het vertrouwt dat gebruikers verstandig met hun logingegevens omgaan."
Is dit systeem niet gelijk aan dat van de rabobank?
apparaatje?
Dit is gebruikersnaam + wachtwoord + code uit apparaatje.
Dus 1 stap meer.
Revolutinaire bank beveiliging dank zij een game ontwikkeling..
waar je je PIN pas in steekt. PIN code intypen en de code
van de website, het kastje geeft je dan een ander nummer.
Die gebruik je om in te loggen.
handig.
Revolutinaire bank beveiliging dank zij een game ontwikkeling..
Dit gebeurt toch ook in de automobiel industrie, hier worden lessen uit de
racerij ook toegepast.
Het gaat erom te leren en dus ook van de fouten (en de goede voorbeelden)
van anderen.
one factor authentication:
Iets dat de gebruiker weet, bijvoorbeeld zijn wachtwoord/userid
two factor authentication:
Iets dat de gebruiker weet, bijvoorbeeld zijn wachtwoord/userid
en iets dat de gebruiker heeft, dit kan een random generator zijn (OTP), een
pseudo random generator (een rabobank apparaat waar op basis van een
input een "random" output gegenereert wordt), iets biometrisch (vingerafdruk,
iris scan etc), of iets anders bv een certificaat.
Dus ja wat de Rabobankt levert is iets vergelijkbaars. Er wordt alleen een
vergelijk gemaakt met amerikaanse banken, deze hebben lang niet allemaal
een two factor authentication in gebruik. Een gewoon UserId met wachtwoord
voldoet blijkbaar.
eigen bank. en dat voor al heel wat jaartjes...
two factor authentication:
Iets dat de gebruiker weet, bijvoorbeeld zijn wachtwoord/userid en iets dat de gebruiker heeft, dit kan een random generator zijn (OTP), een pseudo random generator (een rabobank apparaat waar op basis van een input een "random" output gegenereert wordt), iets biometrisch (vingerafdruk, iris scan etc), of iets anders bv een certificaat.
Rabobank werkt hetzelfde als Fortis. Je hebt zo\\\'n kastje
waar je je PIN pas in steekt. PIN code intypen en de code
van de website, het kastje geeft je dan een ander nummer.
Die gebruik je om in te loggen.
Dus AbnAmro heeft exact hetzelfde systeem neem ik aan?
Ehmm.. Volgens mij is het je PIN pas die onderdeel is van de
two factor authentication, niet het apparaatje.. Het
apparaatje kun je namelijk even van de buurman lenen indien
nodig.. Met alleen het apparaatje en een pin code kun je ook
niets. Pas + PIN code is de authenticatie. De
challenge/response is om het replayen tegen te gaan.
De rabobank heeft twee varianten, een waar je je pas in moet
steken. En een zonder. Die zonder vraagt om een pin die je
eerst in moet stellen in combinatie met een challenge
response. De codes daarvan zijn ook op tijd gebaseerd. Dit
is wel het oude model. Het nieuwe model maakt gebruik van je
pin pas, eigenlijk van je chipknip ;-)
Het is dus nog steeds iets wat je weet (een factor) en wat
je hebt en je pinpas. (twee factor)
wekt totaal geen irritaties op, werkt snel en veilig.
kan worden met IDeal ook geschikt voor internetbetalingen.
Zo lopen de nederlande baken weer eens voorop in de wereld, maar helaas
kan het hele systeem binnenkrt naar de prullenbak omdat de EU het pin-
systeem niet dominant genoeg vind en het bettaalsysteem wil egaliseren.
Kunnen we allemaal gaan betalen met dure onveilige Amerikaanse
creditcards :-(
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
