Battle.net piraté, Blizzard appelle à changer de mot de passe

Troll, 1 2 3 partez

Authentificator

Ce mot n'existe pas, authentificateur en anglais ce dit "authenticator"

C'est moche mais c'est comme ça

C'est une non surprise.
Blizzard devait bien passer à la casserole un jour ou l'autre.
Heureusement pour eux et ses clients cela semble moins grave que chez Sony.

Carmine, le 10/08/2012 - 09:34

Troll, 1 2 3 partez

Bliblilol

Nous savons également que les versions brouillées de manière cryptographique (et non les versions réelles) de mots de passe Battle.net de personnes jouant sur des serveurs nord-américains ont été volées. Nous utilisons le protocole SRP pour protéger ces mots de passe, ce qui rend extrêmement difficile l'extraction du mot de passe réel et qui implique que chaque mot de passe doit être décodé individuellement

Cela permet d'éviter qu'on utilise le mot de passe sur un autre site, mais ça n'empêche en rien de se connecter au compte Battle.net, et de changer des données du compte.

Concernant les mots de passe, blizzard limite ceux-ci à 12 caractères. Ce n'est pas si long que ça non plus.

Borny, le 10/08/2012 - 11:02

Concernant les mots de passe, blizzard limite ceux-ci à 12 caractères. Ce n'est pas si long que ça non plus.

En fait, la limite se situe à 16 caractères (chiffre, lettre et ponctuation)

Borny, le 10/08/2012 - 11:02

Concernant les mots de passe, blizzard limite ceux-ci à 12 caractères. Ce n'est pas si long que ça non plus.

Ca suffit largement s'il est bien fait, même si c'est un peu con.

Petit souvenir de stage dans une boite de récupération de données (donc parfois avec pétage de mdp sur des archives) : 6 caractères -> 3 semaines, 7 caractères -> 3 mois. Bon courage pour péter un mdp à 12 caractères sur un truc qui s'authentifie en ligne. Et si leur algo est correct, ça mettrait encore plus de temps à décrypter hors ligne.

J'ai l'impression que c'est à la mode en ce moment de pirater les serveurs de jeux en ligne. Il me semble que la plateforme en ligne de sony pour ses consoles a été piratée il n'y a pas si longtemps que ça et que, pour le coup, c'était un peu plus grave : données bancaires récupérées et tout le toutim...

neeko, le 10/08/2012 - 11:29

Borny, le 10/08/2012 - 11:02

Concernant les mots de passe, blizzard limite ceux-ci à 12 caractères. Ce n'est pas si long que ça non plus.

Ca suffit largement s'il est bien fait, même si c'est un peu con.

Petit souvenir de stage dans une boite de récupération de données (donc parfois avec pétage de mdp sur des archives) : 6 caractères -> 3 semaines, 7 caractères -> 3 mois. Bon courage pour péter un mdp à 12 caractères sur un truc qui s'authentifie en ligne. Et si leur algo est correct, ça mettrait encore plus de temps à décrypter hors ligne.

une question pour ceux qui s'y connaissent dans ce genre de domaine.
Prenons un fichier rar (ou autre, simple exemple) qui comporte 7/8 caractères comme mot de passe.
Y a t il une diminution sensible du temps de récupération du mdp via brutforce grace aux nouveaux pc par rapport au ancien ?

Ils avaient quand même une sécu irréprochable jusque là, je vois pas trop le problème, c'était destiné à arriver pour une société si ancrée dans l'univers multimédia et internet.

Quelle a été la motivation de ceux qui se sont introduits à votre avis...?

Faire payer pour les bouzes qu'ont été, que sont et que seront TLK, Cata et MOP....

Amicalement, le 10/08/2012 - 11:52

Quelle a été la motivation de ceux qui se sont introduits à votre avis...?

Si Black hat , le pognon

Si grey hat , ouvrir les yeux aux joueurs peut etre ?

flob, le 10/08/2012 - 11:39

neeko, le 10/08/2012 - 11:29

Borny, le 10/08/2012 - 11:02

Concernant les mots de passe, blizzard limite ceux-ci à 12 caractères. Ce n'est pas si long que ça non plus.

Ca suffit largement s'il est bien fait, même si c'est un peu con.

Petit souvenir de stage dans une boite de récupération de données (donc parfois avec pétage de mdp sur des archives) : 6 caractères -> 3 semaines, 7 caractères -> 3 mois. Bon courage pour péter un mdp à 12 caractères sur un truc qui s'authentifie en ligne. Et si leur algo est correct, ça mettrait encore plus de temps à décrypter hors ligne.

une question pour ceux qui s'y connaissent dans ce genre de domaine.
Prenons un fichier rar (ou autre, simple exemple) qui comporte 7/8 caractères comme mot de passe.
Y a t il une diminution sensible du temps de récupération du mdp via brutforce grace aux nouveaux pc par rapport au ancien ?

http://www.mandylion...nts/BFTCalc.xls
Ceci est un document excel provenant du site http://www.mandylion...teForceCalc.htm . Je te certifie qu´il est clean. Les caracteres Russe sont maintenant integrés dans les dictionnaies de recherche et donnent quelques jours de plus.
La puissance d´un ordinateur est le principal atout dans le temps d execution.

En gros un mot de passe de 7 caracteres met 6heures a etre trouvé (avec une majuscules et aucun nombres / metacharacter)
7 caracteres, une majuscule et 1 chiffre = 60 heures
7 caracteres, une majuscules, un chiffre et un metacharacter = 20 000 heures

(et le temps diminue suivant le nombre de machines utilisé pour le faire, gardez a l esprit que le monde actuel est tourner vers les machines virtuels et les parc botnet)

kholl, le 10/08/2012 - 11:56

Faire payer pour les bouzes qu'ont été, que sont et que seront TLK, Cata et MOP....

...

Concernant les mots de passe, blizzard limite ceux-ci à 12 caractères. Ce n'est pas si long que ça non plus.

Erreur, la limite est à 16 caractères (mon mot de passe les atteint).

neeko, le 10/08/2012 - 11:29

Borny, le 10/08/2012 - 11:02

Concernant les mots de passe, blizzard limite ceux-ci à 12 caractères. Ce n'est pas si long que ça non plus.

Ca suffit largement s'il est bien fait, même si c'est un peu con.

Petit souvenir de stage dans une boite de récupération de données (donc parfois avec pétage de mdp sur des archives) : 6 caractères -> 3 semaines, 7 caractères -> 3 mois. Bon courage pour péter un mdp à 12 caractères sur un truc qui s'authentifie en ligne. Et si leur algo est correct, ça mettrait encore plus de temps à décrypter hors ligne.

Sûr que si c'est du bruteforce par le login en ligne, ça ne marchera jamais surtout que Blizzard bloquera sûrement le compte au bout de quelques tentatives de login échouées.

Mais admettons qu'il n'y a pas le côté "en ligne" alors avec un CPU récent à six coeurs, 7 caractères c'est 1 heure et quelques de recherche et s'il y a une carte vidéo moderne, ça prendra moins de 5 minutes. Si on est bien équipé, on peut aussi passer par des rainbow tables et là même un mot de passe de 14 caractères ne tiendra que quelques minutes.

plop42, le 10/08/2012 - 09:51

C'est une non surprise.
Blizzard devait bien passer à la casserole un jour ou l'autre.
Heureusement pour eux et ses clients cela semble moins grave que chez Sony.

Il me semble que ce n'est pas la première fois que Blizzard est victime de piratage. J'avais prévenu une fois un ami qui avait un compte battle.net qu'il fallait qu'il change de mot de passe suite à une affaire similaire.
Dans ce cas précis il me semble que les pirates ont eu accès aux mots de passe, mais que Blizzard avait rassuré ses utilisateurs en leur expliquant que ces derniers étaient protégés par hachage et salage bien qu'il était préférable de quand même les changer par mesure de précaution.

Si ma mémoire est bonne, il s'agit ici de la troisième attaque médiatisée qu'à subit l'entreprise ( malheureusement la plus aboutie ) depuis que celle ci a sorti son MMO.
Malgré cela, on peut remarquer qu'elle s'en tire bien mieux que les autres contrairement à l'exemple flagrant de Sony.

Centaurien, le 10/08/2012 - 10:51

Nous savons également que les versions brouillées de manière cryptographique (et non les versions réelles) de mots de passe Battle.net de personnes jouant sur des serveurs nord-américains ont été volées. Nous utilisons le protocole SRP pour protéger ces mots de passe, ce qui rend extrêmement difficile l'extraction du mot de passe réel et qui implique que chaque mot de passe doit être décodé individuellement

Cela permet d'éviter qu'on utilise le mot de passe sur un autre site, mais ça n'empêche en rien de se connecter au compte Battle.net, et de changer des données du compte.

Et comment faire alors pour se connecter à Battle.net avec les mots de passes cryptés ?
J'imagine que le serveur Battle.net prend en entrée un mot de passe, le crypte en interne, puis le compare avec celui stocké en base de données. Il faudrait déjà que les hackers arrivent à shunter l'étape interne de cryptage pour pouvoir communiquer directement un mot de passe crypté au serveur, sinon le mot de passe crypté sera re-crypté et n'aura plus aucune signification.