{"id":203,"date":"2008-11-06T18:17:58","date_gmt":"2008-11-06T17:17:58","guid":{"rendered":"http:\/\/www.underealm.com\/gaming\/?p=203"},"modified":"2014-08-09T02:15:48","modified_gmt":"2014-08-09T00:15:48","slug":"blizzard-authenticator-flow-it","status":"publish","type":"post","link":"http:\/\/www.underealm.com\/gaming\/2008\/11\/blizzard-authenticator-flow-it\/","title":{"rendered":"Blizzard Authenticator Flow [ITA]"},"content":{"rendered":"

[LinK]<\/a> WoW-Europe Forums discussion
\n[LinK]<\/a> English Version (Potete commentare qui)<\/code><\/p>\n

Video<\/a>, o non \u00e8 mai successo (cit.)<\/p>\n

Si, sono giunto alla conclusione di non poter pi\u00f9 tenere la mia bocca chiusa. La Blizzard \u00e8 probabilmente ancora impegnata con l’espansione, e scommetto tutto quel che ho che non spenderanno del tempo nel risolvere un problema di sicurezza di cui nessuno \u00e8 a conoscenza. Il che mi lascia due opzioni: lavarmene le mani o informare la gente e dir loro come prevenire una tragedia simile (mi \u00e8 successo, so come ci si sente).<\/p>\n

Prima di tutto, iniziamo con l’e-Mail che ho inviato alla Blizzard:<\/p>\n

Reference: http:\/\/forums.wow-europe.com\/thread.html?topicId=6365388840&sid=1<\/a><\/p>\n

So, basically I don’t know how you could ever mess up a thing like this, but ok, let’s explain.<\/p>\n

Once you fire up the Blizzard Authenticator, you paste it in the login screen and that’s it, the number is saved and it can’t be used anymore. Also, if not used within a certain time will eventually expire. And we all know this. The problem is, how did you implement this?<\/p>\n

Once you use the code, it gets saved to the account. And that’s what screws up the security. As long as you have a single Authenticator for a single account, you’re safe, but when you start to use a single Authenticator (as you all suggested aswell) for multiple accounts, you are screwed. Example:<\/p>\n

Account 1, generated code 123321, I log in and write the code down.
\n10 minutes later, Account 2, another generated code 321123, I log in.
\n20 minutes later, Account 3, 123321 or 321123 doesnt matter, I log in.
\nOr Account 1 with 321123, or Account 2 with 123321 for the matter. It doesn’t matter, they all work.<\/p>\n

This is where your problem relies. You didn’t do the right thing. You didn’t have to save the generated codes by account, but by Key ID instead. If you don’t all the valid keys generated (and logged) for an account, may be used on the other account to. Authenticator beated by a keylogger, that’s the most ironic thing ever.<\/p>\n

Here’s the deal: when a user logs in check the Authenticator ID saved with his account, and then in a new table save the code by AuthID, and not in the account data. This will probably increase collisions, but better having collisions than hacked accounts, don’t you think?<\/p>\n

Looking for an early reply.<\/p>\n

Sincerely yours,
\nSkizo<\/p><\/blockquote>\n

Ora, se avete letto e capito penserete “ok, quindi ti hanno risposto, no?”. Estratto dalla risposta automatica:<\/p>\n

A causa dei grossi volumi di email ricevuti dalla sezione Hacks & Anti-Pirateria non \u00e8 sempre possibile per noi rispondere individualmente a tutte le segnalazioni e questa potrebbe essere l’unica email che ricevete da noi riguardo la faccenda.<\/p><\/blockquote>\n

Come potete capire, la mia unica opzione era di aspettare una e-Mail che potrebbe non arrivare mai nel terrore che per il momento in cui arrivi sia gi\u00e0 troppo tardi, o rilasciare le informazioni. Col sangue da giornalista che mi ritrovo, non potevo fare nulla di meno di ci\u00f2 che sto facendo, ed ho aspettato anche troppo a lungo per farlo.<\/p>\n

Cos\u00ec, in breve, cos’ha tutto questo a che fare con me? Avanti con le spiegazioni.<\/p>\n

Le basi del Blizzard Authenticator<\/h4>\n

Blizzard Authenticator, cos\u00ec come tutti gli altri generatori di chiavi dello stesso tipo, funziona cos\u00ec: generate un codice, usate un codice, diventa impossibile usare lo stesso codice di nuovo. Questo previene gli hacks subiti a causa di keyloggers, perch\u00e9 anche se gli hacker sono in possesso del vostro username e della vostra password, non possono passare l’ultimo test, che \u00e8 una chiave unica generata a singolo uso. Un sistema comune anche a diverse banche che effettuano transazioni online. Il BA fa la stessa cosa. Il problema sta nel come \u00e8 stato realizzato.<\/p>\n

Se avete un singolo account ed un singolo BA, siete al sicuro. Dormite tranquilli. Se invece avete pi\u00f9 di un account come me, non vi \u00e8 concesso dormire. Dov’\u00e8 che si \u00e8 infranta la sicurezza? Se non l’avete capito dall’e-Mail qui sopra, ve lo spiegher\u00f2 in brevi termini:<\/p>\n

    \n
  • Avete due account<\/li>\n
  • Generate il codice 123456 per loggarvi con l’Account1<\/li>\n
  • Il codice 123456 viene salvato per l’Account1<\/li>\n
  • Dato che l’Account1 e l’Account2 condividono lo stesso BA ma il codice 123456 non \u00e8 stato salvato per l’Account2, allora potrete usare il codice 123456 per il vostro altro account, infrangendo cos\u00ec la sicurezza di una chiave a singolo utilizzo.<\/li>\n<\/ul>\n

    Questo significa che se gli hackers diventano abbastanza veloci, mentre loggate col vostro account principale, potrebbero mandarsi il codice che avete usato e nel frattempo loggare con l’altro vostro account. Certo, richiede del tempismo e buone capacit\u00e0, ma non credo che sia una ragione per rilassarsi.<\/p>\n

    Ci sono diverse soluzioni per questo comunque. La prima sarebbe far fare alla Blizzard un fix nelle loro tabelle. Dovrebbe funzionare cos\u00ec:<\/p>\n

      \n
    • Avete due account<\/li>\n
    • Generate il codice 123456 per loggarvi con l’Account1<\/li>\n
    • L’Account1 usa il BA1<\/li>\n
    • Il codice 123456 viene salvato per il BA1<\/li>\n
    • L’Account2 usa anch’esso il BA1, per questo il codice 123456 non pu\u00f2 essere utilizzato di nuovo per loggarsi con un altro account, cos\u00ec come il codice 654321 generato per loggarsi con l’Account2 non pu\u00f2 essere utilizzato per loggarsi con l’Account1.<\/li>\n
    • Faccia sorridente qui \ud83d\ude42<\/li>\n<\/ul>\n

      Dato che \u00e8 alquanto improbabile che succede in un prossimo futuro (sapete, corporazioni multinazionali…) sono arrivato a trovare un paio di suggerimenti che potreste usare per risolvere il problema la maggior parte delle volte (ci sono alcune eccezioni di cui io stesso sono a conoscenza, so che sono soltanto delle soluzioni temporanee).<\/p>\n

        \n
      • Se avete molteplici account e molteplici Authenticators (proprio come me), vi suggerisco di unbindare (rimuovere il collegamento) tra il vostro BA e tutti gli account che possedete tranne uno, e di usare gli altri authenticators per ogni account. Un BA per un account, torna ad essere 100% sicuro.<\/li>\n
      • Se invece non siete propensi a farlo (proprio come me) potete usare un piccolo giro durante il login. Diciamo che volete loggare col vostro Account1. Generate il codice, loggate con l’Account2, sloggate, riloggate con l’Account1 e lo stesso codice. Siete al sicuro.<\/li>\n
      • Scocciate la Blizzard finch\u00e9 non risolvono il problema (ehi, scherzo). (No, forse no).<\/li>\n
      • Pregate Dio se ci credete.<\/li>\n<\/ul>\n

        Non c’\u00e8 molto altro da fare. Personalmente io uso il secondo metodo nella lista.<\/p>\n

        L’unica cosa che vi chiedo a questo punto \u00e8 di passar parola. L’unico modo per essere sicuri a questo mondo \u00e8 sapere cosa ci circonda. Se sapete dove il problema risiede allora sapete come risolverlo. Allo stesso tempo se la gente sa dove risiede la vulnerabilit\u00e0, allora sanno come proteggere se stessi.<\/p>\n

        Nella speranza che non sia gi\u00e0 troppo tardi.<\/p>\n","protected":false},"excerpt":{"rendered":"

        [LinK] WoW-Europe Forums discussion [LinK] English Version (Potete commentare qui) Video, o non \u00e8 mai successo (cit.) Si, sono giunto alla conclusione di non poter pi\u00f9 tenere la mia bocca chiusa. La Blizzard \u00e8 probabilmente ancora impegnata con l’espansione, e scommetto tutto quel che ho che non spenderanno del tempo nel risolvere un problema di […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false},"version":2}},"categories":[38],"tags":[58,59,61],"class_list":["post-203","post","type-post","status-publish","format-standard","hentry","category-information","tag-blizzard-authenticator","tag-exploit","tag-fixes"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/pacfOw-3h","_links":{"self":[{"href":"http:\/\/www.underealm.com\/gaming\/wp-json\/wp\/v2\/posts\/203"}],"collection":[{"href":"http:\/\/www.underealm.com\/gaming\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.underealm.com\/gaming\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.underealm.com\/gaming\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.underealm.com\/gaming\/wp-json\/wp\/v2\/comments?post=203"}],"version-history":[{"count":0,"href":"http:\/\/www.underealm.com\/gaming\/wp-json\/wp\/v2\/posts\/203\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.underealm.com\/gaming\/wp-json\/wp\/v2\/media?parent=203"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.underealm.com\/gaming\/wp-json\/wp\/v2\/categories?post=203"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.underealm.com\/gaming\/wp-json\/wp\/v2\/tags?post=203"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}