Nice Hand GG Postad 17 Januari , 2008 Rapport Postad 17 Januari , 2008 Satt och kolla lite i mappen där pokerstars ligger förut idag och kollade in user.ini Och kom över det här: [user] Name=mittnamn PWD=och ett hashat lösen. Även om nu det här lösenordet är hashat vore det inte bara väldigt enkelt för en att bara sno filen. Många som sitter på DC hubbar och liknande än idag brukar välidgt ofta dela ut allt på hårddiskarna, dock kanske inte så vanligt att man sitter på DC nu för tiden men det hör inte hit. Man jag tycker det borde finnas någon sorts lösning, man bör ju framför allt varna om det här men kanske bara jag som missat varningen Citera
Joeduck Postad 17 Januari , 2008 Rapport Postad 17 Januari , 2008 Delar man med sig utav hela sin hårddisk så får man skylla sig själv. Det är som att jämföra att du hade lagt nyckeln till din villa under mattan utanför, varje gång du passerar ytterdörren. Citera
Tottyville Postad 17 Januari , 2008 Rapport Postad 17 Januari , 2008 Bra varning. Inte för att jag någonsin skulle få för mig att spara lösenordet till pokern eller använda DC. Citera
PokerStars_Martin Postad 18 Januari , 2008 Rapport Postad 18 Januari , 2008 Hej, Den svagaste länken när det gäller lösenordssäkerhet är användaren och dennes personliga dator. PokerStars kan inte ta ansvar för om lösenordet kommer på vift på grund av brister på den sidan klienten. Lösenordet som sparas i user.ini-filen är krypterat och det sparas endast där om man använder "Remember password"-funktionen. Denna funktion är ett tve-eggat svärd; Vi rekommenderar inte att man använder den funktionen om man bor i ett hushåll där flera personer har tillgång till ens dator, eller om man bor på studentkorridor eller liknande. Den absolut vanligaste formen av hack som PokerStars-användare råkar ut för är att de har använt "Remember Password"-funktionen och sedan har lämnat sin dator utan uppsikt. Om man å andra sidan skriver sitt lösenord manuellt varje gång man loggar in, så kan man bli exponerad för keylogger-program. Det finns dock särskild mjukvara för lösenordssäkerhet som man kan använda för att kringgå detta problem, men det låter jag de som vet mer om dessa skriva mer om. Skriv gärna mer om ni har frågor eller input. Med vänliga hälsningar, Martin K PokerStars Support Team Citera
Silentfridge Postad 18 Januari , 2008 Rapport Postad 18 Januari , 2008 Visst, den måste ju spara lösenord nånstans men tycker det är dåligt att det ligger helt öppet i en fil sådär. Väldigt enkelt att kopiera till en annan dator. Vet inte exakt hur dendär texten som står efter PWD funkar men antar att den bara är krypterad och att pokerstars mjukvaran dekrypterar den sen. Bättre alternativ vore ju att det ligger inbäddat i nån fil som man inte kan läsa i klartext dessutom att den räknar ut nåt unikt ID utifrån datorn som den använder vid kryptering/dekryptering och på så sätt funkar det inte om man kopierar över filen till en annan dator då den har ett annat ID. Citera
PokerStars_Martin Postad 18 Januari , 2008 Rapport Postad 18 Januari , 2008 Jag är inte själv insatt i de tekniska detaljerna angående hur det funkar utan har vidarebefordrat ärendet till en av våra Game Security Specialists. Jag återkommer när jag har mer information. Tack för ert tålamod. Hälsningar, Martin K PokerStars Support Team Citera
strater Postad 18 Januari , 2008 Rapport Postad 18 Januari , 2008 saken är ju den att det absolut inte borde räcka med en hash av ditt lösenord... det borde "i princip" kunna vara tillgängligt för alla och inte på något sätt kunna göra så att du loggar in (vilket det knappast gör heller). för en hyfsad enkel säkerhet så lär ju party har ditt lösenord hashat och sedan kollas hashen av det du skriver in upp emot det (någorlunda enkelt förklarat). iaf så blir 'en hash av en hash' fel so to speak ^^ Citera
Matfrid Postad 18 Januari , 2008 Rapport Postad 18 Januari , 2008 Satt och kolla lite i mappen där pokerstars ligger förut idag och kollade in user.ini Och kom över det här: [user] Name=mittnamn PWD=och ett hashat lösen. Även om nu det här lösenordet är hashat vore det inte bara väldigt enkelt för en att bara sno filen. Många som sitter på DC hubbar och liknande än idag brukar välidgt ofta dela ut allt på hårddiskarna, dock kanske inte så vanligt att man sitter på DC nu för tiden men det hör inte hit. Man jag tycker det borde finnas någon sorts lösning, man bör ju framför allt varna om det här men kanske bara jag som missat varningen apropå dc så sparar dc++ alla lösenord i klartext i xml-filer Citera
freso Postad 18 Januari , 2008 Rapport Postad 18 Januari , 2008 saken är ju den att det absolut inte borde räcka med en hash av ditt lösenord... det borde "i princip" kunna vara tillgängligt för alla och inte på något sätt kunna göra så att du loggar in (vilket det knappast gör heller). för en hyfsad enkel säkerhet så lär ju party har ditt lösenord hashat och sedan kollas hashen av det du skriver in upp emot det (någorlunda enkelt förklarat). iaf så blir 'en hash av en hash' fel so to speak ^^ Och använder man "remember password" måste ändå hashen av hashen sparas nånstans, så jag vet inte vad du får ut av det... Efter en snabbkoll på filen så ser det inte ut som en hash... ajaj. Ser ut som nån dum kryptering som går att knäcka. Får man föreslå till Pokerstars att kanske byta till en SHA256-hash istället? Citera
PokerStars_Martin Postad 19 Januari , 2008 Rapport Postad 19 Januari , 2008 Hej, Nu har jag fått besked från vår säkerhetsansvarige. Av säkerhetsskäl så kan jag inte gå in på detaljer angående hur krypteringen fungerar, men jag kan säga följande: 1) Om man inte använder "Remember Password"-funktionen så sparas ingen lösenordsinformation i user.ini-filen; Per definition säkert. 2) Om man har bockat i "Remember Password"-rutan så är den krypterade lösenordsinformationen *endast* giltig för den datorn. Detta blir därmed också säkert: a) Om en hacker har tillgång till filen, så har de också tillgång till datorn. Med andra ord så kan de då logga in direkt i klienten och det finns ingen poäng med att dekryptera lösenordet. b) Att flytta user.ini-filen till en annan dator fungerar inte, då datan är begränsad till att bara kunna dekrypteras från den ursprungliga datorn. c) Krypteringsalgoritmen är inte känd, och skulle inte vara lätt att knäcka även om den vore det. Så även om man hade tillgång till user.ini-filen så är det extremt osannolikt att krypteringen skulle kunna knäckas (så vitt vi vet har detta aldrig hänt). Jag hoppas att detta är ett tillfredsställande svar. Har ni fler frågor så svarar vi gärna på dem. Hälsningar, Martin K PokerStars Support Team Citera
jason Postad 19 Januari , 2008 Rapport Postad 19 Januari , 2008 pokerstars_martin: Vad är det som gör att ni och dom flesta andra pokersajterna inte väljer att införa ett "securID" system ("bankdosa") självklart förstår jag att det är en kostnad, men jag tycker det borde finnas som alterantiv där användare som vill ha extra säkerhet bekostar en sådan dosa (redbet tar 15€ tex). Jag vet att det inte är 100% säkert men jag är tämligen säker på att det skulle ge ett ganska mycket bättre skydd än vad som är möjligt idag. Det här är ju inget problem som kommer att avta utan troligen bara öka än mer i framtiden och jag förmodar att det kostar både tid & pengar för er att hantera dessa frågor. Citera
PokerStars_Martin Postad 19 Januari , 2008 Rapport Postad 19 Januari , 2008 pokerstars_martin: Vad är det som gör att ni och dom flesta andra pokersajterna inte väljer att införa ett "securID" system ("bankdosa") självklart förstår jag att det är en kostnad, men jag tycker det borde finnas som alterantiv där användare som vill ha extra säkerhet bekostar en sådan dosa (redbet tar 15€ tex). Jag vet att det inte är 100% säkert men jag är tämligen säker på att det skulle ge ett ganska mycket bättre skydd än vad som är möjligt idag. Det här är ju inget problem som kommer att avta utan troligen bara öka än mer i framtiden och jag förmodar att det kostar både tid & pengar för er att hantera dessa frågor. Hej jason, Tyvärr har jag inga nyheter att rapporta om detta sedan det togs upp förra gången; Bankdosa är ett alternativ som vi överväger för ökad säkerhet för våra kunder, men i nuläget kan jag inte säga när/om detta dyker upp. Hälsningar, Martin K PokerStars Support Team Citera
freso Postad 19 Januari , 2008 Rapport Postad 19 Januari , 2008 b) Att flytta user.ini-filen till en annan dator fungerar inte, då datan är begränsad till att bara kunna dekrypteras från den ursprungliga datorn. c) Krypteringsalgoritmen är inte känd, och skulle inte vara lätt att knäcka även om den vore det. Så även om man hade tillgång till user.ini-filen så är det extremt osannolikt att krypteringen skulle kunna knäckas (så vitt vi vet har detta aldrig hänt). Misstänkte nästan det. Det låter väldigt bra. Då är det ju faktiskt precis som det ska vara. Jag är tillfredsställd med det. Citera
strater Postad 19 Januari , 2008 Rapport Postad 19 Januari , 2008 "Skulle inte vara lätt att knäcka" är ju en spännande formulering Citera
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.