Il n’y a sans doute rien de pire pour un joueur de World of Warcraft que de se faire hacker son compte et retrouver son avatar aussi nu qu’un noob. Aussi, c’est en même temps que l’annonce de Diablo 3 que Blizzard en a profité pour annoncer son Blizzard Authenticator, une clé qui va générer aléatoirement pour chaque connexion un mot de passe de 6 caractères que vous allez devoir saisir en plus de votre mot de passe habituel. Comptez 6,50$ ICI.
via gearfuse
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Juste une petite question de newbie… ^_^ Comment ça marche ces systèmes d’authentificateur ?
Est ce que la clé fournie dépend de l’heure (en gros, toutes les 30 secondes, nouveau code qui doit correspondre à celui présent dans une BDD, dans ce cas il suffit de pirater la base pour craquer le code… ça ne doit pas être ça !) ? Merci de me faire profiter de vos lumières ! 😀
Je pense que cet authentificateur est relié à des serveurs blizzard. Chaque fois que tu "demandes un code", celui-ci est envoyé sur les serveurs de blizz, et est actif le temps de ton login. Sur un logout, j’imagine qu’il envoie un autre mot de passe, de manière à sécuriser plus ou moins le compte.
Je pense que c’est une protection fiable, même si les mdp générés sont interceptés à la volée.
Merci pour la réponse… même si je ne comprends toujours pas vraiment… :-p
Si le code est envoyé sur les serveurs de blizzard, cela signifie que l’authentificateur a une forme de connexion avec les serveurs ??? Il y a donc nécessité d’une connexion wifi ou bluetooth ??? Ca me paraît b(l)izzare donc je pense que je n’ai pas compris ce que tu as voulu dire !
C’est de l’authentification forte.
il n’y a aucune synchro entre la clé et le serveur.
Le serveur connait la clé du générateur et quand il reçoit un code, il vérifie juste si ça correspond au bon user et à la bonne clé.
Une fois fait, il popule une bdd en indiquant que le code XXXXX est utilisé, donc pour éviter que qqn utiliser deux fois le même code généré.
De plus, la clé que détient l’utilisateur ne doit jamais généré deux fois le même code
A++
Ca fait longtemps que j’ai pas potassé mes cours de sécurité mais je dirais que :
1/ c’est pas relié a des serveur (ça ressemble trop a un porte-clé)
2/ Le code est généré à partir d’un token associé au générateur, c’est a partir de ce token et d’un algorithme que vous allez générez le code. Et ce token doit être associé a votre compte : "Once you have purchased the Blizzard Authenticator you can login to World of Warcraft Account Management to associate the token to your account." Le token est propre a l’appareil donc pas de risque de piratage aprioris.
Corrigez moi si je me trompe
Voilà tout comme pfel il a dit 😀
Ok ! Merci pour les infos ! J’ai presque tout compris ! Mais ça signifie donc qu’on pourrait théoriquement faire la même chose avec une feuille de papier sur laquelle serait écrit des codes propres à l’utilisateur (comme cela existe déjà pour se connecter à certains comptes bancaires) ? Ce serait juste moins geek et moins pratique !
Edit: …seraient écrits… :-/
Attention, je pense que le fonctionnement n’est pas tout à fait celui que vous pensez.
Il y a bien synchro entre le serveur et la clef : le code de la clef change d’ailleurs automatiquement en permanence, il n’est valable qu’une petite minute. Si vous saisissez le code quelques secondes après qu’il ait changé sur la clef, ca ne passe plus. Il y a une tolérance de quelques secondes au plus. La clef dispose d’une horloge calée sur celle du serveur d’authentification. Elle est bien sur reliée au code ID de l’utilisateur.
Ce système d’authentification est utilisée par des banques comme l’UBS et je peux vous garantir qu’il est quasi-inviolable 🙂
PS : j’ai supposé qu’on était bien sur de la techno RSA SecurID – bien entendu, si on a une clef qui génère un code "à la demande" (genre en appuyant sur le gros bouton rond), mon message ne tient pas.
Bon j’inonde,
renseignement pris il s’agit bien d’une clef RSA SecurID mais il faut appuyer sur le bouon pour avoir le code. Il se peut donc, en effet, que le fait d’entrer l’identification et le code RSA déclenche le compte à rebours dans le serveur Blizzard. C’est un niveau de sécurité nettement inférieur au RSA SecurID bancaire (qui attend chaque code à un instant T !).
Bonjour!
J’ai installé deux boitiers de ce type pour une société et je peux vous dire avec certitude que ce type de système vient de la société RSA SecureID et qu’ensuite il n’y a absolument AUCUNE synchronisation entre le serveur et le TOKEN (le truc comme une clé USB où sont affichés les codes), AUCUN message n’est envoyé par le token au serveur (sinon ce serait trop facile de l’intercepter).
Le serveur connait l’algorithme utilisé par le token ainsi que d’autres informations nécessaires pour générer le code. Le serveur sait donc exactement quel code est généré à une heure précise. Lorsque vous vous connectez avec une des clés (Générée toutes les 60 secondes) le serveur vérifie qu’il a généré la même et ensuite vous êtes connectés, c’est aussi simple que ça.
Le même code ne peux pas être généré deux fois comme ça a été dit précédemment.
(Voir ça : http://www.rsa.com/node.aspx?id=... (Un exemple de serveur : http://www.rsa.com/node.aspx?id=...
EDIT: Je sais pas pourquoi les deux liens renvoient uniquement vers le site RSA, enfin, les infos sont là quoi 🙂
Merci pour toutes ces infos ! Cette fois j’ai vraiment compris ! 😀
Je vois pas comment ils peuvent être syncronisé vu qu’il n’y a aucun contact entre les deux.
De plus, tu peux activer l’appareil dans le système avant d’enlever la protection de la pile de la clé. Donc le serveur ne sait pas quel code est affiché au moment ‘t’
++
Tiens ça me rappel les clef sfr et Orange qu’on a chez phone house pour activer les lignes.
Surement le même fonctionnement!
Heu vous êtes bien malin, mais si les clés peuvent pas générer deux fois les même clés, il n’y a que 999 999 connexions possible ?
Avec plus de 8 millions de joueurs … ça va être dur ^^
si tu a bien ecouté ( lu ) et que moi j’ai bien compris cela represente
999 999 connexions, mais c’est par user donc au max ca fait 8 millions de user ayant droit au maximum a 999 999 connexion chacun c est deja pas mal meme pour des no life
@ yéyé non chez TPH on a les meme que celles utilisé par les banque car chaque code ne dure qu’une minute et doit etre donné a un instant T (post 11)
Le code généré est actif tant que le token reste allumé… mnt à savoir après combien de temps le token s’étaint. Pis pour le rallumé faut appuyer sur le bouton (le bouton tout ron et chanterai des chansons ^^) donc il va regénérer.
Et si je me souviens bien des mes cours de math, ça fait 6^10 soit 1mio de code différents par token, et même si deux users ont par puuuurrrrrreeeee chance les deux le même code à l’instant ‘t’ ils ont différencié par leur userid
++
En gros c’est pour faire payer $6.50 à tous les joueur de wow ?
@21 : Non, seulement aux joueurs parano et qui tiennent beaucoup à leur compte (comme moi :D)
Et $6.50 c’est pas si énorme que ca au final.
Le problème, c’est que ce petit engin est déjà en rupture de stock aux US, que blizzard a annoncé que le réapprovisionnement va prendre plusieurs semaines étant donné la complexité de l’objet, et que ce n’est toujours pas annoncé pour l’Europe :'(
Le token EST bien une clé RSA qui fonctionne sur le model des clés des banques comme l’UBS, le “bouton rond ne sert que a allumer le token (economie de pile) mais le code que va générer le token est indépendant du moment ou vous appuyez sur le token.
autrement dit vous avez: un algorithme present sur le serveur et dans le token, lors de l’introduction de votre token sur votre compte, vous devez rentré un code généré par la clé, afin que le token et le serveur synchronise. aprés le code est généré par les deux partie continuelement.
une derniere chose contrairement a ce qui est dit plus haut, une ouverture quelle quelle soit de la clé entrainera une destruction pure et simple du token.
la clé (l’algorithme) se détruit a l’air embient.
Juste pour info… 6 puissance 10, ca fait un peu plus de 60 millions de code par user 🙂 et non pas un million 😛