- Сообщения
- 8
- Реакции
- 0 (0 | 0)
- Награды
- 3
- Автор темы
- #1
Имя пользователя: oEce
1. Заголовок
- Защита аккаунта.
2. Суть
- Здравствуйте.
Хочу предложить улучшение безопасности аккаунтов.
На данный момент на сервере используется авто-логин по IP-adress, по которой вы можете заходить на аккаунт без ввода пароля, и он больше не запрашивается.
Данная защита небезопасна, так как IP-adress не является каким-либо уникальным, так скажем, кодом игрока, тем самым злоумышленник может подменить IP, просто использовав прокси или VPN с тем же диапазоном адресов.
В этом случае сервер подумает, что зашёл владелец аккаунта, и просто разрешит вход.
Откуда они возьмут IP-Adress?: Есть разные способы узнать IP, самый лёгкий, думаю, понятно — это соц. инженерия и фишинг, ведь можно поделать даже какой-либо скрин под тот же IP logger, который даст ваш IP злоумышленникам.
Что я предлагаю: добавить функцию, как в 2FA (двухфакторная аутентификация), чтобы можно было как включить вход по сессии, так и выключить его.
1. Заголовок
- Защита аккаунта.
2. Суть
- Здравствуйте.
Хочу предложить улучшение безопасности аккаунтов.
На данный момент на сервере используется авто-логин по IP-adress, по которой вы можете заходить на аккаунт без ввода пароля, и он больше не запрашивается.
Данная защита небезопасна, так как IP-adress не является каким-либо уникальным, так скажем, кодом игрока, тем самым злоумышленник может подменить IP, просто использовав прокси или VPN с тем же диапазоном адресов.
В этом случае сервер подумает, что зашёл владелец аккаунта, и просто разрешит вход.
Откуда они возьмут IP-Adress?: Есть разные способы узнать IP, самый лёгкий, думаю, понятно — это соц. инженерия и фишинг, ведь можно поделать даже какой-либо скрин под тот же IP logger, который даст ваш IP злоумышленникам.
Что я предлагаю: добавить функцию, как в 2FA (двухфакторная аутентификация), чтобы можно было как включить вход по сессии, так и выключить его.