ヽ(・ω・)ノ

2016年9月19日

久しぶりにROに関することらしい。
以前からこのblogでも警告していましたが、
スパイウェアorウィルスによる、ラグナロクでの
アカウントハックの被害が広がっています。
で、ガンホーがやっと重い腰を上げて
本日のパッチにて、ソフトウェアテンキーによる
キャラクターセレクト時にキャラ毎の数字パスワード入力を取り入れました。
つまりは海外のROで実装されている
カプラ倉庫を開けるときに使うパスワードを
キャラクターセレクト時にしたようです。
キャラクターセレクトまではいつも通りで
キャラを選択してみると
passWinNew1114.jpg
いきなりこんなウィンドウが開きます。
まだパスワードが設定されていないので
パスワードをここで設定します。
毎回ランダムに並び替えられるテンキーを使って
新規パスワード、パスワード再確認をそれぞれ入力してOKを押すと
そのパスワードが選択したキャラクターに設定されます。
先ほどの入力から続いてすぐに
passWinLogin1114.jpg
今度はログインする為のパスワード入力になります。
先ほどとまたテンキーの並び方が変わってます。
ここで先ほど設定したパスワード通りに入力出来れば
初めてログインが可能になります。
と、面倒なのであまり長すぎるパスワードを設定しないほうがいいでしょう。
なんか知らんけどテンキーのボタン反応悪いし。
あと、致命的なのが一文字入力間違えても、Resetキーがあっても
BackSpaceキーがないので、全部入力しなおしになりますし。
でもまぁ、これで少しはアカウントハック被害が減ればいいんですけどねぇ(・ω・)
以下、サロンで見たスレに書いてあったこと読んで思った心配事を追記に。


一見安全に見える今回のパスワード認証…
某B0Tスレ見る限りだと、このパスワード認証の暗号キーが
同じ暗号キーしか送らないらしいです…。
普通なら毎回違う暗号キーを送るはずなんだけどね…。
パスワード認証手順とすると(詳しくないから憶測)
①クライアントがキャラクタ選択
②サーバーがパスワード要求
③クライアントがパスワード入力
④サーバーが入力されたパス受け取る前に暗号化する為のキー送信
⑤クライアントがそのキー使って暗号化
⑥サーバーに送信
⑦サーバー側で暗号キー使って復号化
パスワードそのまま送っちゃったら、途中で盗聴されるとバレバレだから
送る前に双方で決まり事を決めるわけ。
例えば、箱があって鍵穴がついてます。
この鍵穴に入る鍵は、クライアントとサーバー両方が持っています。
箱の中にはパスワードが入っています。
この箱は鍵開けなくても外から見れますが(盗聴された場合ね)
鍵を開けてない場合のパスワードはニセモノ(暗号化パケット)で
鍵を開けた場合に正しいパスワードが見れます。
暗号キーをつけるというのはこんな感じ。
これだとクライアントとサーバー、両者だけしか
正しいパスワードを見ることが出来ません。
でも、この暗号キーも万能ではなく、さっきの例えからすると
鍵もいつかは誰かが合鍵を作ってしまうわけです。
ですから、普通の場合ですと暗号強度を高めるために
クライアントもサーバーも認証する度に違う暗号キーを送ります。
つまり、箱についてる鍵穴と鍵を
パスワード入れて送る度に変えているということです。
…なんだけど、今回のパスワード認証
そのB0Tスレ見る限りだと、毎回同じ鍵穴と鍵使ってるらしいです。
これが何が怖いかというと
アカウントハックウィルスorスパイウェアで
その感染したPCのパケット監視をされた場合
ソフトウェアテンキー使ってパスワード入力しても
パケットは拾われてしまいます。
パケット復号化すればパスワードはソフトウェアテンキーでも洩れてしまいます。
(パケットはネットに飛び交うデータだから送信したデータそのもの)
で、このパス認証に使う暗号キーが毎回違う暗号キーの場合なら
復号化しようとしても盗聴しているパケットが
毎回違うわけですから、パスワード特定が困難になりますが
暗号キーが同じならば、
いつもパスワード認証時に飛んでるパケットが同じということになります。
(例として前回00FFとかいったパケが飛べば、次回も00FFになる)
同じ暗号キーしか使わないとなると
盗聴されたパケット解析して復号化するだけでパスワード分かってしまいます。
さっきの例からすると合鍵を作られてしまうということです。
そもそも真意が分からないスレですし(B0Tという不正ツールの専用スレだし)
私自身がこういったものには詳しくないので
ここに書いたことが正しいわけでは無いでしょうけど
今回のパスワード認証、ガンホーが自信満々に対策したものと言えるのかな…。
合鍵作られちゃったら、パス変えても意味無いよ…(´・ω・`)
一応、単純にキーボードから入力されたものだけを盗む
「キーロガー」というスパイウェアだけは今回の対策で大丈夫にはなりますが…。
これからすると、やっぱりアカウントハック対策は
自己防衛
これに尽きます。
闇雲に見知らぬURLは踏まないようにしましょう…。
因みに今回のパスワード認証の仕組み、
ぜんぜん違ってたら「勘違い乙」って拍手でも送ってやってください。
分かんないものは分かんない('A`;;;
全部書いてから思ったけど、私普通のRO日記書くつもり無いのか…。

パンヤ, ラグナロク

Posted by メイの人