25.03.21 Administrivia: Some new account security options

Переводы новостей и обновлений по игре

25.03.21 Administrivia: Some new account security options

Сообщение Wella » 26 мар 2021, 23:41

Оригинал тут

Перевод осуществлен совместно с meabeab и по его инициативе

Внесены изменения в систему безопасности учётных записей. Ничего из нижеуказанного не должно быть особо критичным и, вероятно, не требует оглашения, но, поскольку безопасность — это не шутки, лучше все таки пояснить, как оно работает.

Как вы уже, возможно, знаете, опция "Remember me" в игровом клиенте не сохраняет пароль*. Вместо этого у сервера запрашивается токен ( именуемый токен авторизации или программный токен, далее по тексту просто токен, который является ключом для доступа и не имеет ничего общего с токеном (Subscription token), продающимся на сайте ). Данный токен используется при последующих входах в игру. Впоследствии включение опции "Remember me" на другом компьютере перезаписывает токен на сервере, делая предыдущий не валидным. Это и хорошо, и плохо: плохо потому , что нельзя сохранить вход без ввода пароля на нескольких компьютерах (что было бы удобно), хорошо потому, что случайно оставленные на чужом компьютере данные для входа будут автоматически удалены.

Для разрешения возникшей дилеммы, была добавлена возможность хранить несколько (5 штук) токенов. Это означает, что вы всё- таки сможете сохранить автоматический вход без ввода пароля на разных компьютерах, но для этого вам придется самим предоставить право сохранения автоматического входа на компьютерах, к которым у вас нет доступа. Новая опция по умолчанию отключена. Всё будет работать, как раньше, до тех пор, пока вы не измените настройки. Для внесения изменений в параметры своей учетной записи вам необходимо в соответствующем разделе нажать на кнопку "включить ( Enable)/выключить ( Disable)" для сохраненных автоматических входов на нескольких компьютерах.
Account options: Account security - Enable Account is configured to not allow multiple permanent saved logins / Disable Account is configured to allow multiple permanent saved logins)
Я ограничил количество сессий до 5 штук. Для удаления автоматического входа с компьютера к которому у вас нет доступа необходимо удалить нужную запись из списка.

Также изменён принцип работы автоматического входа через autohaven-лаунчер. Раньше выдавался краткосрочный одноразовый токен, что было не оптимально. Хоть это и позволяло выполнить разовый автоматический вход без ввода пароля, но последующий беспарольный вход требовал каждый раз скачивать новый лаунчер. Теперь же токен лаунчера может создать постоянный вход (аналогично опции "Remember me"). Особенностью является то, что токен в лаунчере временный, он сработает только один раз, а его срок действия — 2 часа, потому игровой клиент должен заменить его постоянным токеном. Смысл всех этих плясок — сделать скачанный файл клиента безопасным после первого запуска или по истечении срока (токен в нём станет не валидным, а постоянный токен будет храниться в ОС, а не в файле лаунчера).

Одна из целей изменения авторизации через лаунчер (помимо сделать её более удобной) — сделать более реалистичным вариант отказа от парольного входа в клиент. Это могло бы дать возможность двухфакторной или интегрированной авторизации на сайте, если бы авторизация выполнялась только через лаунчер, вместо необходимости реализации вторичного механизма аутентификации в самом клиенте. Реализации подобного в ближайших планах нет, но будущая разработка такого теперь возможна.

Отдельно следует заметить, что возможность общего использования одной учётной записью никогда не предусматривалась,т.к. это зачастую является одним из главных факторов нарушения безопасности. Однако если вас это не останавливает, вам необходимо скачать лаунчер (после включения хранения множества входов) и отправить этот файл другому пользователю, вместо своего пароля. В таком случае, у него не будет возможности залогиниться на сайте (чтоб сменить ваш пароль и e-mail), а вы сможете отозвать токен, когда решите отозвать доступ. Поскольку количество сессий ограничено пятью токенами, вы можете более или менее правдоподобно оправдываться: “Ой, я только что совершенно случайно залогинился на шестом компе”.

* Касается ванильного клиента. Некоторые модифицированные клиенты делают иначе. Хранение паролей в открытом виде - сомнительная идея, авторам таких клиентов следует подумать над этим.
From the point of view of biology, if something bites you, it's most likely female.

A.D. - Discord в котором помогут. Присоединяйся через эту ссылку!
Аватара пользователя
Wella
 
Сообщения: 273
Зарегистрирован: 06 июн 2017, 16:31

Вернуться в Новости

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 7