Ждём Ваших отзывов о материале.

Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
За статью можно проголосовать на странице материала.

Напоминаем о том, что на сообщения новых участников распространяется действие системы премодерации сообщений.

О нарушениях можно сообщить модератору, нажав синюю кнопку #77 справа над спорным сообщением.

Зато не стим!!11

El1x3r7714та у стима и с его четверной защитой, аутентификацией и прочей лабудой тырят акки)

Стим лучше бы приложение обновили на IOS. Уже третий год пошел...

Integros, от глупости пользователей ничего не спасет. Все защиты нужно включать, всей цепочки аккаунтов вплоть до почты и телефона. Раз в год необходимо менять пароль. И лучше отдельную почту зарегистрировать для конкретного сервиса. Не лезть во всякие сервисы с халявными скина и играми на раздачах. Не давать погонять аккаунт «друзьям». И заносить в черный список всех подозрительных дядь и попрошаек.

AnimeSlave Шапочку из фольги надевать не надо? Я не просил все игры в стим запихивать, чтобы мне из-за них десять степеней защиты включать и двадцать ящиков регистрировать. Раз уж запихали к себе все игры и не оставили мне выбора, то пусть сами и заморачиваются с защитой данных. А то бред какой-то получается. Вот пошел я в магазин, купил игру, пришел домой, открыл, а там ключ стим. Зачем? Я вас не просил. И я еще должен о безопасности насильно привязанной моей игры к их сервису заморачиваться? А не пойти бы им с таким подходом в задницу? Забрали мою игру себе? Вот и заморачивайтесь, я вас не просил.

AnimeSlaveи без этого, в стиме каждый год находят по 100500 уязвимостей похлеще этой что в новости.

Слабо предоставить хотя бы 10 более серьёзных уязвимостей стима за 2019, или только языком чесать могём?

идея конечно хорошая... мол код работает 30 минут, но забывают что злоумышленник уже взломал вашу почту на которую вы зарегали акк и может просто попросить смену пароля и настроек. зачем ему долбенится с паролем в 30 минут? в реальности я считаю что двух этапная система в современности исказилась очень сильно в пользу удобства пользователя и перестала быть эффективной - какие в жопу коды на почту регистрации? от чего такое может защитить? но ведь кто то пользуется и думает что "защищен сильней остальных".

то есть, чтобы злоумышленнику воспользоваться этой уязвимостью, нужно знать пароль от егс, почту и пароль от почты? а в таком случае какая разница уже - полчаса действует код или 5 секунд?

В том, то и дело, что никакой.

kodersа ты реально посчитал, что я в серьез говорю о 100500 уязвимостях? Очевидно даже дурачку полному, что это было образно сказано. По запросу в гугл об уязвимостях стим на каждый год приходится по 1-2 уязвимости. Тут уязвимость бредовая, если у взломщика есть почта, то какая разница, 30 минут или 1 минуту будет действителен код? Делать его на 1 секунду? Пользователь успеет?
https://habr.com/ru/company/pt/blog/263607/ одна из более серьёзных.

Баг в Steam позволял узнать ключи активации для любой игры
https://xakep.ru/2018/11/09/steam-cd-key-bug/

И как всегда читайте первоисточник. Там вообще не про почту.
"2FA is supposed to protect you a bit against people having access to your browser while you login. They need to get the second token which is supposed to be generated on the fly when you try to log in.

If the second token doesn't change each time you log in, then someone having access to your browser while you log in can also log in in another browser. This renders the 2FA useless against some attacks it is supposed to protect you against."

Смысл в том, что токен (ОДНОРАЗОВЫЙ код) должен генерироваться при каждой попытке авторизации новый. Т.е. срок его действия должен истекать сразу после успешной попытки авторизации. На то он и одноразовый. А в этом случае, если есть доступ к токену (каким либо образом, например подсмотрев процесс авторизации), то можно залогиниться в другом браузере использовав подсмотренный токен. Потому как он не одноразовый.

у стима он генерируется раз в 15 минут, просто кто-то проблему высосал из пальца

Integros, вы сами можете назвать хотя бы 5 за 2018 год? Конкретно платформы у Steam имеется конкретное количество давно известных уязвимостей. Их неболее сотни. Суть в том, что из них не более 20 используются для взлома. Проблема в том, что взлом возможен только при физическом доступе к ПК жертвы. Если жертва знает как себя вести за компьютером, то ничего не произодйет. Нужно чтобы жертва сама запустила стороннюю программу при запущенном Steam. Большинство таких программ это читы. Всяческие взломы. В пиратских играх теперь такого практически нет, но раньше было довольно много, так как уязвимости были серьезнее. Теперь работаю такие программы только если нет защит на аккаунтах почты и steam. Лохотроном и брутфорсом больше аккаунтов угоняют, чем эксплоитами.

Добавлено спустя 14 минут 16 секунд:
ultrafx,
был один Steam, а теперь еще и Origin, uPlay, GOG, humble bundle, Rock Star Social Club, Battle Net, Windows Store, Google Play. И еще Epic Games Store с недавнего времени. Следи за всеми. Меняй пароли на каждом. Дожили. Не было их, было хорошо. Стояли в очередях в магазин, протирали тряпочкой диски, обмазывались StarForce'ом. Времена были.

Дыра так дыра. А ничего, что получив доступ к почте, можно получить доступ к подавляющему большинству интернет сервисов, просто запросив на сайте смену пароля для аккаунта, привязанного к этой почте?

В Steam он генерируется при каждой попытке авторизоваться. И работоспособен (валиден) в течении сессии авторизации. Как только авторизация проходит успешно (пользователь заходит под своей учеткой), то код перестает быть рабочим (валидным). У EGS код рабочий в течении 30 минут вне зависимости от того, авторизовался пользователь уже или нет. Что дает, хоть и теоретическую, но возможность авторизации злоумышленнику. Фактически упрощаются некоторые действия. На практике пока не подтверждены случаи использования (кто бы стал раскрывать секреты). Возможно потому, что EGS еще не набрал критическую массу пользователей и мошенникам этого метода взлома он не слишком интересен.

AnimeSlave еще раз чтоб пустило до проверки кода вам нужно ввести имеил (логин) и пароль... как можно использовать код которому хоть сутки если вы не знаете пароля? а если вы злоумышленнику дали все что угодно то есть регистрационные данные то тут грех не воспользоваться и не вскрыть вашу учетку. например чтоб перехватить логин, пароль, имеил нужно по крайней мере запустить на ваш комп очень сложного (читаем здорового в размерах) троянца деятельность которого для нормального адекватного человека будет очень заметна, но даже представим вы все это просрали - фактически чтоб взломать учетку нужна только почта регистрации (логин) и не нужно перехватывать письма и делать какую то из этого шпионскую игру. чтоб взломать почту нужно намного меньше засунуть функций в троянца... вообщем понимаете к чему я клоню?

проверил? или так для красного словца накалякал?