Authenticator GG

[blazkowicz]

kaspersky kurulu ve emcor.dll diye birşey bulmadı.
pc temiz sanırım. :p

[huun]

Sparkcaster said:

öyle bişey yazamaz, anca authenticatorun algoritmasını çözerse yapar, ama şu yaptıkları a gayet makul, bikaç saniyesini alır adamın keylogger varsa acca girmesi

sıralı tablo oluşturuyorlardır şifreler için, sıradan gidiyordur. zannemiyorum algoritması falan olsun böyle bir düzeneğin. 30-40 haneli program kodları için keygen yapıyorlar, bunu hayli hayli yaparlar.

[Absolut]

Gayette algoritma ile yapıyor :P

[Kojiroh]

Bankalarda kullanılan sistemle aynı bu aşağı yukarı. A ile B arasında güvenilir iletim varken başka bi C'nin kendini A veya B gibi gösterip diğer kişiyle iletim yapması olayı oluyo man-in-the-middle attack.
C'yi araya sokmamak aslında kullanıcının sorumluluğunda. Ama sonuçta C araya bi şekilde girdikten sonra yapılabilcek bi şey yok.
İşte B'nin, A'nın gerçekten A olup olmadığını anlayabilmesi için SSL kullanılıyo diye biliyorum. Login esnasında SSL bağlantısı kuruluyo mu ona bakmak lazım.

[Absolut]

kURMUYOR DİYE BİLİYORUM ssL.

[huun]

baktım şimdi cihazın üzerindeki saate göre bir rakam oluşturuyormuş. cihazın saatini bilemeyeceğimize göre algoritmayı çözsek bile bir işe yaramıyor haliyle. basit ama etkili fikirlere güzel örnek hehe

[Wispy]

Freemoon iddiasında emin mi acaba ?

Çünkü benim çok başıma geldi, 30sn nin bitmesine bir kaç saniye kalmışsa ve 6digiti girip entera basmadan önce yeni şifre gelmişse kabul etmiyor sistem.

[Absolut]

Free'ye çakma authenticator vermişler hehe

[Wispy]

Ayrıca RNG diye birşey yok arkadaşlar.

Saat+Algoritma'ya bağlı herşey.

Authenticator'ın algoritmasının çözülmesi gerekiyor. GL HF.

Yani eğer 30 sn geçtikten sonra şifre kullanımdan kalkıyorsa sen son 5-6 saniyede yazarsan hemen kullanması zor biraz.

[FreEmoon]

Tekrar tekrar deniyorum hep oluyor, lütfen biriniz şu basit şeyi denesin.

Arka arkaya 10 tane kod alın yazın kağıda. sonra ilk kodu girin, çıkın 5. kodu girin, çıkın 10. kodu girin. Hepsinde de girebiliyorum oyuna. Ama 5. denedikten sonra 1-2-3-4-5 kodları kullanılmaz oluyor. Yani sıra ile giderken atlıyarak kullandığım kod önceki kodları deaktif ediyor.

[Absolut]

Peki 1 kodu 1 den fazla kez girebiliyor musun? Önemli olan o yani aynı kodu suresi geçtiğinde kullanıp kullanamaman.

[FreEmoon]

1 kez girdinmi bitti o kod ve ondan önceki tüm kodlar. Ama o kod blizze gitmedikten sonra 6 saat geçse gene kullanıyorum.

FreEmoon said:

Ama 5. denedikten sonra 1-2-3-4-5 kodları kullanılmaz oluyor.

Diye de özellikle yazdım yani.

[Absolut]

Yok abi yanlışın var bence.
Senin dedigin bu mu? Authenticatordan 5 kod aldın ve bir kagıda yazdın diyelim. Authenticatoru evde bırakıp arkadaşına gittin. Onun PCsinden yanında authenticator olmadan girebilirim mi diyorsun kagıttaki kodları kullanarak. Basit anlatımla :P
Bu mumkun olmaması lazım cunku ben bazen Aut kodu ekrana girerken bile gec kalınca giremen diyor bana.

[FreEmoon]

Aynen öyle evet. Sabah evden çıkarken 10 kod aldım yazdım kağıda. İşten bunları sıra ile girerek saatler sonra 10 kere online olabilirim.

Edit: Ya yapmak zor değil biri denesin şunu. 5 adet kod alın oyuna girmeyin kodları, yani kullanmayın. Sıra ile kağıda yazın. 5. kodu alınca oyuna girmeye çalışın ve 3-4 dakika önce aldığınız kodu ile girmeyi deneyin. Eğer anahtarlık kullanıyorsanız kesin olması lazım. Belki telefona alınan saatle ilgili bir algoritma kullanıyordur ama anahtarlık böyle birşey yapmıyor. En azından bende ki yapmıyor.

[Absolut]

Şimdi bi kod aldım benimkinden 2-3 dakika sonra denicem bakalım olacak mı?

[Absolut]

Anam girdi valla heheheh. Ama 2. denemeye ıhh giremen dedi :)

[Absolut]

Şimdi 5 dakka bekleyip gireyim yeni aldıgım kodla bakalım olcak mı.
Her kod sadece 1 kez girmeye izin veriyor ve son girilen kod öncekileri iptal ediyor dedigin gibi yani korkacak bişi yok eger sen 10 tane kod uretip bunları bi dokumana yazıp sonrada hackera kaptırmaz isen :P

[FreEmoon]

Evet sende de oldu ise bir adette telefon kullanıcısından istiyorum aynı testi.

Anahtarlığın saatle alakası olmadığı ve bir sayı dizisini takip ettiği kesinleşti bu durumda.

[blazkowicz]

mobil olan daha güvenli o zaman?

[Absolut]

Telefonunda benzer sekilde olması lazım yani onuda 1 kere senkronize ediyorsun ondan sonra token ile aynı mantıkla calısması lazım. Ama ipod touchtakinde ekranda kodun ne sure ile gecerli olacagını gosteren bi timer var yani o surede girmedinmi acaba cortluyormu onlarınki bilemiyorum. Telefondan kullanan biri açıklarsa kesinleşir :P

[Absolut]

Tokenin mantıgı muhtemelen kendi uzerindeki NO ile bir kod uretiyor ve sen onceden tokeni battle.net accounta bind ettiginde server senden gelen kodu battle.netten senin account ile belli bir hesap yapıp aha bu adamın bu token nosu ile account bilgilerini birleştirince bu kod ile girmesi OK diyor.
Mobildekinde de aynı mantık var farklıolmaması lazım sonucta olay senin battle.nete girdigin authenticator kodunun account bilgilerin ile oluşturacagı algoritma. Yani phone authenticator da token ile aynı seyi yapıyor ama 8 hanelisi :P
Daha dogrusu ne token ne de phone sana account bilgisi sormuyor yani onun urettigi rakamlar kendi mantıgına gore. ayarı yapan server tarafındaki battleçnet bilgileri.

[Boci]

Ozaman bankaların bu iş için yaptığı anahtarlıklarda da mı aynı mantık var?

[Absolut]

I don't want to burst your bubble, but the code is in fact longer valid that it is displayed on the authenticator. The reason for this is that they can't re-sync a token authenticator with the servers. And to allow for the invariable time difference that does happen over the life time of a token authenticator, they have to give it a little more slack.

Try this:
- Get a code from authenticator.
- Write it down on paper.
- Wait 30 seconds until a new code is displayed.
- Wait a little longer 10-15 seconds
- Enter the written down code that you have written on paper.

It may be different with mobile authenticator that are on the phone, that can actually be re-synced.

Kısaca tokenlerde server time ile senkronizasyon olmadıgı için kodun gecersiz olma suresi daha uzunmuş o yuzden tokenlerin kodları daha uzun sure gecerli kalıyormuş ama suresi hakkında bir bilgi yok. Telefonlar ile senkronize ol secenegi yuzunden daha guncel server saati alabildiginden herhalde kodlarının gecerililigi daha kısaymış.

[Yeager]

en basit anlatım olarak şöyle ifade edebiliriz o zaman;

token serial ve üzerindeki 6 haneyi blizzarda tanıtınca blizzard sonraki bütün keylerin ne olacağını önceden biliyor, atıyorum.

123456 -> tokendan bastınız ama, ekranda giriş yapmadınız.
123457 -> tokendan bastınız ama, ekranda giriş yapmadınız.
123458 -> tokendan bastınız ve ekrana giriş yaptınız
// bu an itibarıyla bu keyin ve bundan önceki keylerin kullanımı iptal oluyor.

123459 -> tokendan bastınız ama, ekranda giriş yapmadınız.
123460 -> tokendan bastınız ama, ekranda giriş yapmadınız.
123461 -> tokendan bastınız ama, ekranda giriş yapmadınız.
123462 -> tokendan bastınız ama, ekranda giriş yapmadınız.
123463 -> tokendan bastınız ama, ekranda giriş yapmadınız.
// bu ana kadar ki bütün bastığınız keylerden biriyle oyuna giriş yapabilirsiniz istediğiniz zaman.

diyerekten gidiyor .. mantık budur yani..?!

ps: anlatım bozukluğu

[huun]

Abso said:

obildekinde de aynı mantık var farklıolmaması lazım sonucta olay senin battle.nete girdigin authenticator kodunun account bilgilerin ile oluşturacagı algoritma.

benim okuduğum öyle bir algoritma yok, yani o şekilde çalışmıyor. tokenin içinde bir saat var. cihaz ilk elektriği yediği anda saat saymaya başlıyor. algoritma bu saati dikkate alıyor şifre üretirken. tabii üretim sırasında hangi seri kodlu cihaz hangi anda saymaya başlıyor bu bir kenara kayıt ediliyor. yani üretici/blizzard hangi tokenin hangi sürede olduğunu biliyor, kısaca hangi anda hangi şifreyi üreteceğini biliyor.

sana düşen tokenle accini eşleştirmek. üreticinin sitesinde bunla ilgili bir bilgi yoktu ama datasheetlerde yazıyordur belki, onlara link vardı. 7 sene pil ömrü varmış bu tokenlerin ve pil değiştirme imkanı yokmuş. bunu söylemişler miydi size satarken? :P