Guild Wars 2

Bonsoir tout le monde, ce post est écris un peu a chaud je l’avoue mais néanmoins je tiens a poster une beuglante !

tout le monde sait que lorsqu’on l’on recoit un mail de la part du jeu demandant une connexion d’un patelin x ou y cela veux généralement dire que quelqu’un essaie de nous hacker et quand bien même l’on autorise pas cette connexion il est généralement trop tard pour pouvoir réagir (je prend le cas de ma chef de guilde qui pendant toute une semaine a bien du changer de mot de passe 3 fois et a réussi a se faire choper compte et mail associé) et nous nous sommes retrouvé impuissant a voir le hackeur prendre un malin plaisir a nous dire en guilde ce qu’il fabriquais avec ses perso ayant été déja hack je ne peu que partager la rage de ma chef et dans c’est cas que fait arena ? ho bha on te donne 2-3 babiole et hop, ma chef devrais avoir la chance de retrouver normalement son compte pré hack (tandis que bibi s’est retrouvé avec tout ses slot de matériaux vide a l’époque) mais le simple fait d’être hack ne devrais pas être possible ! bon sang

voila pourquoi je propose que l’on ajoute l’une des sécurité suivante :

- création d’une question secrète (comme celle de vos mdp pc probablement le truc le plus sécurisé tant que c’est une réponse personnelle)
- une question lambda pas toujours la meilleurs chose
- un code (comme Aion)
- double mdp (mais bon si on peu trouver le premier on peu trouver le second)
- interdiction de lancer un compte sur un ordinateur sans validation par mail
- devoir mettre le nom d’un personnage comme sur le premier guild wars

voila j’attend de voir vos avis car j’en ai assez de jouer avec ce sentiment d’insécurité omni présent qui règne depuis trop longtemps a mon goût

“création d’une réponse secrète” => USELESS, un mot de passe est bien plus sécurisé qu’une question-réponse pour la simple et bonne raison que de nos jours, les réponses se trouvent en deux clics via facebook et les autres machins sociaux. Une question a laquelle normalement n’importe qui qui vous connait peut répondre ne sera jamais plus sécurisée qu’un mot de passe.

“Double MDP” => A toi de te faire ton propre cinquantuple mot de passe, tu peux utiliser presque 200 lettres sur tes mots de passes de Guild Wars 2.

“Compte sans validation” => Déjà en place, encore faut il ne pas utiliser le même mot de passe pour le mail et pour le jeu. Si les deux mots de passes sont différents et que vous avez réussis a perdre les deux, il faut sérieusement remettre en question la sécurité de vos systèmes informatiques.

“mettre un nom de personnage comme GW1” => Parce-qu’un nom de personnage visible publiquement dans le jeu est plus compliqué à trouver qu’un mot de passe normalement secret ? Qu’est-ce qui t’empêche d’inclure le nom de ton personnage dans ton mot de passe ?

Niveau sécurité j’ai pas à me plaindre de GW2, les mots de passes ont déjà été réinitialisés plusieurs fois lorsque les développeurs en sentaient le besoin.
Donc non, je ne ressent aucune “insécurité omniprésente”.

Point bonus : Votre chef de guilde n’a jamais été hack mais n’a été que la victime de phishing.
Anet n’est pas responsable de la sécurité de vos mots de passes. (manquerait plus que ça)

@Gutthegut

tout ce que j’ai proposé dans mon post serais un ajout possible pas un remplacement du système actuel

la question secrète peu être tout et n’importe quoi genre de quel couleur est mon slip préféré ca peu être n’importe quoi

double mdp comme je le dit c’est pas ma solution préférée

rajouter un nom de perso les hackeur vont généralement chercher un compte au pif il ne pourchasse pas un joueurs et se dise bha tiens celui la fera l’affaire (a moins que des chinois se soient incrusté sur mer de jade a l’époque de mon hack qui sait…)

le sentiment d’insécurité tu le ressentira le jour ou cela t’arrivera a toi ou a tes amis car ce n’est pas le premier cas a dans mes connaissance

enfin peu être faut il avoir été hack pour comprendre qui sait…

Déjà que notre nom de compte n’apparaisse pas dans le jeu ou forum mais que le pseudo de l’avatar du joueur.

Ne pas lier son adresse mail jeu a une adresse mail d’un forum. J’ai reçu un mail comme quoi il fallait que je change mon mot de passe alors que le mail, je l’ai reçu sur une adresse non lié à GW2.

Conseil du jour : utiliser Google Authenticator.

Si vous n’avez pas un appareil compatible (ou windows 8 ), je vous conseil d’installer :
- VirtualBox
- Androidx86

Ça vous permettra d’avoir une version bureau (“desktop”) du google authenticator.

Gutthegut.2358:

“création d’une réponse secrète” => USELESS, un mot de passe est bien plus sécurisé qu’une question-réponse pour la simple et bonne raison que de nos jours, les réponses se trouvent en deux clics via facebook et les autres machins sociaux. Une question a laquelle normalement n’importe qui qui vous connait peut répondre ne sera jamais plus sécurisée qu’un mot de passe.

“Double MDP” => A toi de te faire ton propre cinquantuple mot de passe, tu peux utiliser presque 200 lettres sur tes mots de passes de Guild Wars 2.

“Compte sans validation” => Déjà en place, encore faut il ne pas utiliser le même mot de passe pour le mail et pour le jeu. Si les deux mots de passes sont différents et que vous avez réussis a perdre les deux, il faut sérieusement remettre en question la sécurité de vos systèmes informatiques.

“mettre un nom de personnage comme GW1” => Parce-qu’un nom de personnage visible publiquement dans le jeu est plus compliqué à trouver qu’un mot de passe normalement secret ? Qu’est-ce qui t’empêche d’inclure le nom de ton personnage dans ton mot de passe ?

Niveau sécurité j’ai pas à me plaindre de GW2, les mots de passes ont déjà été réinitialisés plusieurs fois lorsque les développeurs en sentaient le besoin.
Donc non, je ne ressent aucune “insécurité omniprésente”.

Point bonus : Votre chef de guilde n’a jamais été hack mais n’a été que la victime de phishing.
Anet n’est pas responsable de la sécurité de vos mots de passes. (manquerait plus que ça)

Comme je l’ai souvent dit sur ce forum, ce n’est pas parce qu’une forteresse ne pourra jamais être imprenable que c’est une raison pour ne pas y mettre de murailles.

Ce que je veux dire c’est que plus ce sera compliqué, plus ça va décourager ces gens, et (logiquement) ces cas seront de plus en plus rares. Effectivement cette personne a été victime de pishing et pas d’un hack, c’est donc une erreur d’inattention. Malheureusement énormément de joueurs se font avoir sur Gw2 ce qui indique que les prédateurs sont nombreux et/ou très bien organisés.

Je pense qu’effectivement la solution se trouve du côté de l’authenticator, mais pas celui de google, un que mettrait en place Arena Net pour que chaque joueur puisse y avoir accès facilement.

Bonjour,

Je l’ai mis ailleurs mais je peux bien le remettre ici :

• Utiliser un compte mail “Alias”

Un alias d’adresse e-mail est une adresse secondaire qui pointe vers le compte existant d’un utilisateur. Les messages envoyés à l’adresse principale de l’utilisateur, ainsi qu’aux éventuels alias d’adresse e-mail, apparaissent tous dans la même boîte de réception associée à l’utilisateur.

—

Mamzellekana.6431:

Je pense qu’effectivement la solution se trouve du côté de l’authenticator, mais pas celui de google, un que mettrait en place Arena Net pour que chaque joueur puisse y avoir accès facilement.

Arenanet devrait donc allouer ses programmeurs pour développer une version propriétaire d’une application gratuite (et qui fonctionne très bien) ?

Je pense qu’ils ont des choses plus “urgentes” à faire que de réinventer la roue.

purecontact.1680:

Mamzellekana.6431:

Je pense qu’effectivement la solution se trouve du côté de l’authenticator, mais pas celui de google, un que mettrait en place Arena Net pour que chaque joueur puisse y avoir accès facilement.

Arenanet devrait donc allouer ses programmeurs pour développer une version propriétaire d’une application gratuite (et qui fonctionne très bien) ?

Je pense qu’ils ont des choses plus “urgentes” à faire que de réinventer la roue.

Combien de gens vont utiliser l’authenticator de Google, combien même savent que ça existe? J’suis pas spécialement calée en programmation, mais ça m’a l’air d’être assez basique à faire. Il en va de la sécurité des comptes de ses utilisateurs, on ne parle pas d’embellir le raccourcis Gw2.exe, là c’est quelque chose de capital qui mérite bien de mobiliser un petit groupe de développeurs pendant quelques jours.

ps : un ami du milieu me confirme effectivement que c’est extrêmement basique à réaliser.

quelques règles à rappeler : une adresse mail nouvelle jamais utilisé et unique pour la création du compte de jeu.
utiliser une adresse mail différente voir aussi unique pour l’assistance.

un mot de passe jamais utilisé avant et unique pour le compte de jeu ,même chose pour les deux adresses mail.

Utiliser des mots de passe de type :saucissepompierconcept

A l’heure actuel les compte hacker sont le plus souvent du au hackage d’abord de la boite mail correspondante au mail du jeu.

Malheureusement il est aussi trés souvent le cas d’une personne proche ou un amis malintentionné.

Si vous utilisé votre adresse mail pour vous inscrire sur toutes sortes de sites,forums,blog etc.. vous multiplier les chances de voir votre adresse mail utilisé de manière abusive.

un authentificator est inutiles si vous utiliser de manière unique des adresse mail pour vos différents jeu,famille,amis,boulot.

PS /évidement ne pas lié vos comptes mail dans une seul boite de réception.

Mamzellekana.6431:

Combien de gens vont utiliser l’authenticator de Google, combien même savent que ça existe? J’suis pas spécialement calée en programmation, mais ça m’a l’air d’être assez basique à faire. Il en va de la sécurité des comptes de ses utilisateurs, on ne parle pas d’embellir le raccourcis Gw2.exe, là c’est quelque chose de capital qui mérite bien de mobiliser un petit groupe de développeurs pendant quelques jours.

ps : un ami du milieu me confirme effectivement que c’est extrêmement basique à réaliser.

J’ai dû mal m’exprimer.

J’ai pas dit que c’était compliqué, j’ai dit que ça allait prendre du temps (et beaucoup de soucis grâce la loi de murphy) si Arenanet changeait le système pour le remplacer par exactement la même chose mais avec écrit “Guild Wars 2” dessus.

Renseignes-toi du coté du Battle.net authenticator pour savoir ce qu’est un Google authenticator à 10€.
Sachant quand même que le battle.net authenticator (physique j’entends : celui qui ressemble à une clé usb) a un algorithme défini et si un jour il est hack sur le serveur, tu as investi 10€ pour rien (alors que je rappel que le Google auth est gratuit et mis à jour régulièrement).

Concernant le manque de connaissances des joueurs concernant la sécurité de leur compte, c’est à eux de se prendre un peu en main : la solution est là et elle est très simple à appliquer (un QR code à flasher -j’admets que c’est légèrement plus compliqué sur le bureau-).

Même en faisant une annonce marketing (comprendre : sur le blog), la majorité des joueurs ne la liront pas et le niveau général d’information concernant ce dispositif n’évoluera pas significativement.

Edit :

Pour avoir l’authenticator google sur votre ordinateur de bureau (ou pc portable) :
Note : Fonctionne sur Windows XP/2003/Vista/2008/7/8 (32 ou 64 bit)

Tutoriel étape par étape :

1- Téléchargez WinAuth

2- Dézippez le dans un endroit accessible (sur le bureau par exemple).

3- Lancez le.

4- Cliquez sur le bouton “Add”.

5- Dans le menu déroulant, sélectionnez “Guild Wars 2”.

6- Rendez vous sur l’onglet sécurité de votre compte Guild Wars 2

7- Cliquez sur “Configurer l’application” (bouton rouge)

8- Cliquez sur “Suivant” (bouton rouge)

9- Copiez le code secret (Ctrl+C)
NB : Ne fermez pas la page !

10- Dans WinAuth, collez le dans la barre juste après “Enter your Secret Code below”

11- Cliquez sur “Verify Authenticator”.

12- Cochez la case “Allow copy”.

13- Copiez le code (6 chiffres)

14- Collez le dans la case prévue sur la page de Guild wars 2 située sous le texte :
“Testez l’association entre le compte et l’authentificateur mobile. Dans le champ ci-dessous, entrez le code actuellement affiché sur l’authentificateur mobile.”

15- Cliquez sur “Suivant” (bouton rouge).

16- Cliquez sur “OK” dans WinAuth.
Un pop up apparait vous demandant si vous souhaitez mettre un mot de passe sur WinAuth, je vous conseil de le faire mais ce n’est pas obligatoire.
Sachez que ce mot de passe vous sera demandé à chaque fois que vous lancerez WinAuth.

17- L’association est terminée.

NB : Il est possible que WinAuth ne vous montre que 6 tirets à la place du code lorsque vous le relancerez, il suffit de cliquer sur le symbole en forme de flèche circulaire pour générer un code.

Normalement, une fois que vous aurez rentré le code généré dans le launcher de guild wars 2, celui-ci ne vous sera plus demandé.

Kishin.3890:

@Gutthegut

rajouter un nom de perso les hackeur vont généralement chercher un compte au pif il ne pourchasse pas un joueurs et se dise bha tiens celui la fera l’affaire (a moins que des chinois se soient incrusté sur mer de jade a l’époque de mon hack qui sait…)

le sentiment d’insécurité tu le ressentira le jour ou cela t’arrivera a toi ou a tes amis car ce n’est pas le premier cas a dans mes connaissance

Encore une fois, les hackeurs ne vont jamais prendre un compte au pif. Je peux même t’expliquer exactement comment ils font dans la majorités des cas.

Des centaines de sites ont des failles de sécurité béantes et il est pas difficile d’en extraire ce que l’on veut des bases de données. Des hackeurs (des vrais ceux la) vont profiter de ces failles pour accéder a un site. (pour l’exemple, appelons le Guild-wars_fansite.test) Ils vont extraire de ces sites, les comptes des utilisateurs inscrits (donc pseudos/adresses mail/mots de passe (Pour peu qu’ils ne soient pas cryptés, comme c’est le cas de beaucoup de sites)) et vont créer des bases de données de “comptes possibles” qu’ils vont revendre.

Le groupe de personne qui achète ces “lots” vont essayer une à une les combinaisons adresses mail/ mots de passes qu’ils ont et sur les milliers quelques uns vont fonctionner parce-que les gens ne font pas attention à ce qu’ils font et s’inscrivent sur de nombreux sites avec des combos pseudo/mail/pass identiques.

Il faut savoir aussi que ces listes ne sont pas triées par centre d’intéret, si vous avez utilisé le même combo mail/pass sur un fansite de naruto et que celui ci se retrouve hacké, vous pouvez être certain qu’un jour ou l’autre vos comptes de jeux (pas que GW) seront visités par des gens malintentionnés.

De même, avec la faille Heartbleed GW2 par exemple qui utilise le HTTPS et qui du coup n’a pas subit la faille n’a rien a craindre. Mais les joueurs qui ont utilisé la même combinaison mail/mot de passe sur un site utilisant le HTTP risquent aussi de voir leur compte compromis.

Or, de simples mesures de prudences permettent d’éviter tout ça alors pourquoi prendre des risques ?

Cela dit, j’admet l’utilité que peut avoir un authentificateur à clé unique (couplé à un mot de passe) en ayant un moi même depuis 5 ou 6 ans pour Final Fantasy XI.

La pluspart du temps quand quelqu’un se fait hack c’est :

- Qu’il est allé sur un site ou a installer un logiciel douteux !
- Qu’il y a trop de similitude entre l’ensemble de ses mdp (compte jeux @ mail) defois c’est carrément les mêmes !
- Qu’il utilise un logiciel de gosse hackable par un gamin de 10 ans genre “hotmail”
- Que son mdp n’excède pas 10 caractère avec que des lettres et chiffres !

Perso je me suis fait hack 2 fois sur GW1 et je m’en suis pris qu’a moi même (pas grand chose de plus à faire !)
Maintenant il y a 23 caractères dans mon mdp lettre; chiffre, symbole !

C’est aussi simple plus aucun pb maintenant au lieux de taper votre date de naissance vous avez qu’a écrire une phrase avec ponctuation !

Car la sécurité c’est bien mais si on vous écoute il faudrait 20 barrières anti hack !
Soit 30 minutes pour pouvoir se connecter !

Alors que un mdp suffit largement si il est compliqué !

… heureusement que tout les mecs hacké viennent pas raconter leur vie sur le forum