ゲームへのログインに関して

[Poice]

あの
この上記全ての対策よりも
今現在スクエニが導入しているトークン１つのほうがセキュリティとしては硬いんですけど

すいません大前提が抜けていましたね

０．全員トークン使用を義務付ける

あとゲームするＰＣ固定ってMACアドレス判別の事ですか？
あれザルですよ

そりゃ「ＭＡＣアドレスで見てますよ」ってばれたらだめでしょうｗ
他にもＯＳ、マザボ、ＨＤＤ，ＣＰＵのスペック＆シリアルとかメモリの容量・・・等々　＋　現在時刻をあれこれ加工してハッシュ的なＯＴＰを作成して送信する。送信するパケットを見るだけではなにを参照しているのかわからない＆トークン同様有効期限つきにする。日によって参照する項目を変えるとか。
って感じでどうでしょう？
逆アセンブルして完全に解析されたらだめでしょうけど

[Minna]

すいません大前提が抜けていましたね

０．全員トークン使用を義務付ける

そりゃ「ＭＡＣアドレスで見てますよ」ってばれたらだめでしょうｗ
他にもＯＳ、マザボ、ＨＤＤ，ＣＰＵのスペック＆シリアルとかメモリの容量・・・等々　＋　現在時刻をあれこれ加工してハッシュ的なＯＴＰを作成して送信する。送信するパケットを見るだけではなにを参照しているのかわからない＆トークン同様有効期限つきにする。日によって参照する項目を変えるとか。
って感じでどうでしょう？
逆アセンブルして完全に解析されたらだめでしょうけど

HWのキーを加工してでも投げるのは良いのですが、ここにも過去にあった問題があり、今やタブーとされています。
PenIIIのキー送信に始まり、今やまたIMEIまで繰り返される問題として。
そしてそのような情報を送受信するプログラムコストよりも、今のトークンの方が安上がりなんですよね。実際の所。

それよりも、トークンを使用し且つまだ高みのセキュリティをというのならば、端末へのウィスルスキャンソフト導入が一番です。
特にhostsファイルを監視してくれるモノ。（してないスキャンソフトって逆にあるのかどうか・・・）

なぜhostsかというのは、一つ前に書いた私のURLから情報を漁っていけば大体わかるかと思いますが。

[Poice]

いやあの・・・

何度も言いますが「トークンを使った認証システムを破れる」とは言っていません。これ破られたらそりゃ世界中で問題になるんでしょ？
この認証システムがいくら強力だと力説されてもそこを論点にしたつもりはないのですが（破るのは不可能だと超同意しておいてもいいですよ）

でもそんな高度な事しなくても、フィッシングサイト作ってＩＤ、パス、トークンのＯＴＰを被害者に入力させそのＯＴＰが有効な時間内に業者が業者のＰＣでゲームにログインすることは可能ですよね？ってことなんですが。その場合暗号強度とかhostとかパケット解析、ウイルスとか関係ありますか？

[Matthaus]

何度も言いますが「トークンを使った認証システムを破れる」とは言っていません。これ破られたらそりゃ世界中で問題になるんでしょ？
この認証システムがいくら強力だと力説されてもそこを論点にしたつもりはないのですが（破るのは不可能だと超同意しておいてもいいですよ）

おや？何度も、素人考えのこの手順を行えば簡単に破れる、
とおっしゃっていた貴方から不可能だという言葉が出てくるとは、
手のひら返しですか？
考えを改めたのなら、素直にそう書けば良いだけだと思います。

でもそんな高度な事しなくても、フィッシングサイト作ってＩＤ、パス、トークンのＯＴＰを被害者に入力させそのＯＴＰが有効な時間内に業者が業者のＰＣでゲームにログインすることは可能ですよね？

理屈だけなら一応可能、但し実際にはほぼ実行不可能というのが、私を含めた他の方の見解ですね。
そこの所を何度も説明されているのに、一向に聞き入れないのはそちらだと思いますが？

トークンに代わる具体的な対策を伺って出てきたのも素人考え程度で、
それよりもプロが設計されたトークンの方が、優れているのも当たり前のことでしょう。

都合の悪いところだけ省いてレスするのは、なんででしょうね？

[Poice]

おや？何度も、素人考えのこの手順を行えば簡単に破れる、
とおっしゃっていた貴方から不可能だという言葉が出てくるとは、
手のひら返しですか？
考えを改めたのなら、素直にそう書けば良いだけだと思います。

「破る」の意味に認識の違いがあったのでしょうか？
トークンとその認証システム（１４に関してはVASCO社製みたいですね）の暗号強度とか乱数発生どうのこうのというのを「破れる」とは言ってはいないつもりですが・・・

理屈だけなら一応可能、但し実際にはほぼ実行不可能というのが、私を含めた他の方の見解ですね。
そこの所を何度も説明されているのに、一向に聞き入れないのはそちらだと思いますが？

ちゃんとした理由をもって「無理」と断言されているのはどなたの何番の書き込みでしょうか？
２４時間待機してるの？とかさばききれるの？、他にもっと美味しいところをハックした方がいいんじゃないの？という費用対効果での反論はいまのところどれも「無理」には当たらないと思いますが
（３０秒でギルの移動済ませる必要があるなんて勘違いは無しですよｗ）

トークンに代わる具体的な対策を伺って出てきたのも素人考え程度で、
それよりもプロが設計されたトークンの方が、優れているのも当たり前のことでしょう。

だからトークンのシステム自体を破るのではなくユーザーをだます方法（よくあるフィッシング詐欺の手口の初歩の初歩に一手間加えただけ）に対する決定打がウィルス対策ソフトだけなのでしょうか？
プロが設計したトークンは完璧でもそれを使う素人が間違った使いかた（偽サイトにＩＤとパスとＯＴＰを入力しちゃう）してしまう危険性について話しているのです

都合の悪いところだけ省いてレスするのは、なんででしょうね？

なるべくわかりやすいように要点だけ抜き出してるつもりなのですが・・・


しかしイベント装備で誰の発言かわかりづらくなるのやめて欲しいなぁ

[Minna]

ちゃんとした理由をもって「無理」と断言されているのはどなたの何番の書き込みでしょうか？
２４時間待機してるの？とかさばききれるの？、他にもっと美味しいところをハックした方がいいんじゃないの？という費用対効果での反論はいまのところどれも「無理」には当たらないと思いますが
（３０秒でギルの移動済ませる必要があるなんて勘違いは無しですよｗ）

では問おう。
あなたは、２４時間３６５日、PCの前で待機できるのですね？一睡もせずに。
それはスバラシイ。システム管理者になりサーバーのモニターを行う職に就くべきです。

だからトークンのシステム自体を破るのではなくユーザーをだます方法（よくあるフィッシング詐欺の手口の初歩の初歩に一手間加えただけ）に対する決定打がウィルス対策ソフトだけなのでしょうか？
プロが設計したトークンは完璧でもそれを使う素人が間違った使いかた（偽サイトにＩＤとパスとＯＴＰを入力しちゃう）してしまう危険性について話しているのです

入力する危険はありますが、何度も行ってるように約30秒（正確にはもっと少ない秒数）で通知確認＞ログインまで可能ですか？

[Poice]

では問おう。
あなたは、２４時間３６５日、PCの前で待機できるのですね？一睡もせずに。
それはスバラシイ。システム管理者になりサーバーのモニターを行う職に就くべきです。

そうですねぇ、寝てる間は本物のスクエニページに飛ばしておくことにしましょう
事業がうまくいって規模を拡大できるようになったら中国人やとって三勤交代かな

入力する危険はありますが、何度も行ってるように約30秒（正確にはもっと少ない秒数）で通知確認＞ログインまで可能ですか？

今問題になっている他サービスでのＩＤパスワードによるハッキングをハッカーが必死に手打ちでトライしてると思いますか？
それくらいのスクリプトはすぐくめませんかね？（私には無理ですよｗ　入力する部分だけならできると思いますが）
偽サイトから送られてくるＩＤ、パス、ＯＴＰの３つを受け取ったら起動してある１４のクライアントに入力してログインボタンを押せばいいだけです。どんだけラグあっても５秒とかからないと思いますが専門家の意見はどうでしょう？

[Minna]

いやあの・・・

何度も言いますが「トークンを使った認証システムを破れる」とは言っていません。これ破られたらそりゃ世界中で問題になるんでしょ？
この認証システムがいくら強力だと力説されてもそこを論点にしたつもりはないのですが（破るのは不可能だと超同意しておいてもいいですよ）

でもそんな高度な事しなくても、フィッシングサイト作ってＩＤ、パス、トークンのＯＴＰを被害者に入力させそのＯＴＰが有効な時間内に業者が業者のＰＣでゲームにログインすることは可能ですよね？ってことなんですが。その場合暗号強度とかhostとかパケット解析、ウイルスとか関係ありますか？

何度言えばわかるの？
限りなく不可能に近い。そりゃもう0.00000…と続くくらいに。
人間がやればデスケド。これを人間にさせず、コンピュータにやらせる場合は先に書いたとおりSocketプログラムやらいろいろ書く必要があるし、
第一コストに見合わない。（私ならば書こうとも思わない）
さらに先ほど書いたhostsファイルは、中間者攻撃を行おうとする際の第一の変更箇所だからだ。
#DNS書き換えは更に大事なのでこの場合除外とする・・・。

約30秒間で人に何が出来る？常識的に考えてみてください。