Le "hack" : comment l'éviter
Nombreux sont ceux qui se sont fait "hacker", tout aussi nombreux ceux qui craignent de l'être.
Cet article est destiné à vous rassurer sur la sécurité de votre compte dofus. Les règles qu'il contient sont valables quel que soit le site, aux règles de nommage des compte ou de validation de mots de passe près.
Tout d'abord, je tiens à préciser que le hack est extrêmement rare sur dofus : il s'agit en général de vol de compte, lié à un abus de confiance : quelqu'un à qui vous avez passé vos identifiants et qui connecte votre personnage en votre absence pour transférer sur le sien vos possessions.
Le véritable hack est un vol de compte sans fourniture, à aucun moment, des identifiants de connexion. En fin d'article se trouve la seule méthode utilisable pour voler un compte sans avoir les identifiants.
1. Nom de compte
Le nom de compte affiché en jeu doit être différent de celui que vous utilisez pour vous connecter. Il est même préférable qu'il n'ait strictement rien à voir avec ce dernier. Idéalement, l'identifiant de connexion devrait être composé d'une suite totalement aléatoire de symboles alphabétiques, numériques et de ponctation.
2. mot de passe
Comme pour le nom de compte, choisissez une suite de symboles aléatoire. Dans le pire des cas, choisissez un mot de passe qui a une signification pour vous mais pour personne d'autre, de préférence assez long pour limiter le risque de tomber dessus par hasard.
3. prêt de compte
Consistant à fournir à un tiers ses identifiants, le prêt de compte est strictement interdit par les Conditions Générales d'Utilisation de Dofus, et la cause n°1 des vols de compte. Les exemples sont nombreux de personnes abusant de la confiance des prêteurs, qui n'ont aucun recours.
4. les mails d'ankama
Il existe des mails émis par des sites de phishing : ça ressemble au site de dofus, mais ça n'est pas le site de dofus. N'allez jamais sur un site dofus par un lien dont l'adresse n'est pas sûre. La liste est disponible sur le support, dossier sur le phishing. Attention : vérifiez bien que l'adresse est strictement identique à celle mentionnée sur le support. Si ce n'est pas le cas, signalez le site au support, rubrique phishing.
Dans tous les cas, n'inscrivez jamais vos identifiants sur un site ouvert après un clic sur un lien dans un mail, mais allez sur le site en tapant l'adresse dans votre navigateur.
5. les sites de vente de kamas
Souvent des sites de phishing, appliquer les préconisations du point 4 ci dessus. La vente et l'achat de kamas sont interdits par les CGU.
6. achat et vente de codes audio, ou de comptes
Encore deux transactions interdites car non sécurisables en jeu et rendant les arnaques faciles. A ne jamais pratiquer, le risque de vol est grand.
A noter que la récupération d'un compte d'un joueur abandonnant le jeu est lui autorisé. Dans ce cas, n'utilisez le compte que si vous disposez du nom de compte, du mot de passe et de la réponse à la question secrète. Vous aurez évidemment soin de changer ces trois informations dès que vous aurez pris possession du compte.
7. les bots
Il est parfois tentant d'utiliser un bot ... Soit pour gagner des kamas rapidement, soit pour récolter plus vite des ressources nécessaires. Or il se trouve que la plupart des bots disponibles sur internet sont munis de chevaux de troie ou de keyloggers. Une fois ces programmes installés, vos identifiants seront à la disposition des pirates qui n'auront plus qu'à utiliser vos identifiants pour vous voler tout ce que votre personnage a sur lui.
8. Pour les paranos : l'anti key-logger
Un keylogger est un programme qui enregistre tout ce que vous tapez au clavier et l'envoie par internet à un endroit ou le pirate, qui a réussi à installer son programme sur votre ordinateur, pourra le récupérer, puis l'utiliser pour vous voler votre compte.
L'installation ne peut pas se faire sans votre accord : il est donc nécessaire pour installer ce genre de choses que vous installiez un programme soi disant sûr, comme un gestionnaire de bot.
La solution est de ne jamais taper son mot de passe sur son ordinateur, mais de l'avoir dans un fichier (créé sur un autre ordinateur), et de le saisir dans le client dofus en faisant un copier-coller. Le keylogger ne peut lire ce genre d'échanges.
La seule méthode de hack existante
Un hackeur va d'abord tenter de deviner vos identifiants ou mots de passe. C'est pour cela que les identifiants (nom de compte et mot de passe) ne doivent pas être facilement devinables même approximativement.
Si les essais "faciles" ne marchent pas, la seule méthode utilisable devient la force brute.
Cette méthode consiste à essayer toutes les combinaisons possibles dans un ordre aléatoire.
Autrement dit, pour un mot de passe contenant 6 lettres majuscules, il y a 26 puissance 6 possibilités.
Pour un mot de passe contenant 15 signes qui peuvent être soit des majuscules, soit des minuscules soit des chiffres, il y a 62 puissance 15 possibilités. Avec un tel mot de passe, la probabilité que votre mot de passe soit découvert, même en connaissant le nom de compte, est suffisamment faible pour vous laisser le temps de le changer.
Si en plus votre nom de compte est également impossible à deviner, il faut pour que le vol fonctionne que le programme tombe (au hasard) à la fois sur le bon nom de compte et sur le bon mot de passe !!!
Autrement dit, en utilisant un nom de compte et un mot de passe de 10 à 20 signes chacun, utilisant des lettres (majuscules et minuscules), des chiffres et des signes de ponctuation, les probabilité que votre compte soit hacké sont quasiment nulles.
Surtout si vous changez votre mot de passe régulièrement : vous avez dans ce cas une chance de mettre en nouveau mot de passe une combinaison qui ait déjà été tentée par le hackeur, donc marquée infructueuse.
Avec ces quelques règles, si vous les respectez scrupuleusement, vous pourrez jouer en toute tranquillité et sans crainte du "hack", dont la probabilité, même en cas de recherche intentionnelle, est d'autant plus faible que vos identifiants comporteront un nombre important de signes.
Il y a plus de chances que ça tombe sur votre voisin, dont le nom de compte et le mot de passe comportent chacun 7 lettres, que sur le vôtre comportant 20 signes parmi 62 ;)
Quelques chiffres concernant la méthode de force brute
Prenons tout d'abord pour base un mot de passe contenant uniquement des lettres majuscules et chiffres, soit 36 caractères possibles.
Pour un mot de passe contenant 7 caractères nous avons donc 367 soit 78.364.164.096 possibilités.
Admettons qu'un pirate connaisse votre nom de compte de connexion et tente de trouver votre mot de passe, en effectuant 1 million d'essais par seconde.
Statistiquement, le pirate tombera sur la bonne combinaison de symboles à la moitié de la recherche, autrement dit après 36.000.000.000 essais environ, soit 36.000 secondes, ou encore une bonne dizaine d'heures.
Prenons maintenant l'exemple d'un mot de passe de 7 symboles, choisis aléatoirement parmi les 114 qu'on peut facilement obtenir avec un clavier français.
1147 c'est parmi 250.226.879.128.704 possibilités que le pirate doit choisir. A raison d'un million d'essais par seconde, le mot de passe sera forcé trouvé (parceque toutes les combinaisons auront été essayées) après 8 ans de tentatives ininterrompues. Statistiquement, il faudra donc 4 ans en moyenne à notre pirate pour tomber sur la bonne combinaison.
Avec un mot de passe à 8 symboles parmi ces 114, le temps nécessaire pour tenter toutes les combinaisons passe à 904 ans. Si l'on choisit d'allonger encore le mot de passe : 9 symboles = 103.118 ans, 10 symboles = 1,1 million d'années, etc ...
Ne serait-ce qu'avec un mot de passe de 9 symboles choisis aléatoirement parmi les 114 mentionnés, les chances que le pirate tombe sur la bonne combinaison dans un délai raisonnable est infinitésimale !
Il est considéré qu'un mot de passe est sûr lorsque le délai moyen nécessaire à sa découverte par la méthode de force brute dépasse la décennie, soit 10 ans. Un mot de passe à 7 symboles et donc trop court pour être fiable, 8 est une longueur minimale pour garantir une bonne sécurité de votre compte.
Notez que si de plus le pirate ne connait pas la longueur de votre mot de passe, il faut prendre en compte dans ce calcul toutes les longueurs possibles ... Dans tous les cas, surtout celui ou l'on commence par épuiser les possibilités les plus courtes, cela renforce la sécurité d'un mot de passe long.
Conclusion
Dofus permet de saisir des mots de passe très longs et contenant une grande variété de symboles. Utiliser ces deux possibilités, et changer son mot de passe régulièrement, ne garantissent pas qu'aucun pirate ne pourra jamais trouver votre mot de passe, mais les chances pour que ça arrive sont quasiment nulles, et encore faut-il qu'il connaisse votre nom de compte de connexion. En utilisant un nom de compte sans aucun rapport avec les informations de votre personnage visibles en jeu, cette improbabilité devient une quasi-impossibilité.
Une nouvelle fonctionnalité, qui sera très prochainement diffusée, a déjà été intégrée à l'outil : il s'agit bien évidemment d'un générateur de mot de passe totalement aléatoire, à longueur variable, contenant des symboles choisis parmi plus de 100 possibilités. Si cette fonctionnalité vous paraît intéressante, elle sera convenablement documentée pour en sécuriser l'utilisation.
Il me reste à vous souhaiter un bon jeu, maintenant que vous n'avez plus à craindre le moindre hack ... si vous suivez les quelques règles de sécurité mentionnées ici ;)
Cet article est destiné à vous rassurer sur la sécurité de votre compte dofus. Les règles qu'il contient sont valables quel que soit le site, aux règles de nommage des compte ou de validation de mots de passe près.
Tout d'abord, je tiens à préciser que le hack est extrêmement rare sur dofus : il s'agit en général de vol de compte, lié à un abus de confiance : quelqu'un à qui vous avez passé vos identifiants et qui connecte votre personnage en votre absence pour transférer sur le sien vos possessions.
Le véritable hack est un vol de compte sans fourniture, à aucun moment, des identifiants de connexion. En fin d'article se trouve la seule méthode utilisable pour voler un compte sans avoir les identifiants.
1. Nom de compte
Le nom de compte affiché en jeu doit être différent de celui que vous utilisez pour vous connecter. Il est même préférable qu'il n'ait strictement rien à voir avec ce dernier. Idéalement, l'identifiant de connexion devrait être composé d'une suite totalement aléatoire de symboles alphabétiques, numériques et de ponctation.
2. mot de passe
Comme pour le nom de compte, choisissez une suite de symboles aléatoire. Dans le pire des cas, choisissez un mot de passe qui a une signification pour vous mais pour personne d'autre, de préférence assez long pour limiter le risque de tomber dessus par hasard.
3. prêt de compte
Consistant à fournir à un tiers ses identifiants, le prêt de compte est strictement interdit par les Conditions Générales d'Utilisation de Dofus, et la cause n°1 des vols de compte. Les exemples sont nombreux de personnes abusant de la confiance des prêteurs, qui n'ont aucun recours.
4. les mails d'ankama
Il existe des mails émis par des sites de phishing : ça ressemble au site de dofus, mais ça n'est pas le site de dofus. N'allez jamais sur un site dofus par un lien dont l'adresse n'est pas sûre. La liste est disponible sur le support, dossier sur le phishing. Attention : vérifiez bien que l'adresse est strictement identique à celle mentionnée sur le support. Si ce n'est pas le cas, signalez le site au support, rubrique phishing.
Dans tous les cas, n'inscrivez jamais vos identifiants sur un site ouvert après un clic sur un lien dans un mail, mais allez sur le site en tapant l'adresse dans votre navigateur.
5. les sites de vente de kamas
Souvent des sites de phishing, appliquer les préconisations du point 4 ci dessus. La vente et l'achat de kamas sont interdits par les CGU.
6. achat et vente de codes audio, ou de comptes
Encore deux transactions interdites car non sécurisables en jeu et rendant les arnaques faciles. A ne jamais pratiquer, le risque de vol est grand.
A noter que la récupération d'un compte d'un joueur abandonnant le jeu est lui autorisé. Dans ce cas, n'utilisez le compte que si vous disposez du nom de compte, du mot de passe et de la réponse à la question secrète. Vous aurez évidemment soin de changer ces trois informations dès que vous aurez pris possession du compte.
7. les bots
Il est parfois tentant d'utiliser un bot ... Soit pour gagner des kamas rapidement, soit pour récolter plus vite des ressources nécessaires. Or il se trouve que la plupart des bots disponibles sur internet sont munis de chevaux de troie ou de keyloggers. Une fois ces programmes installés, vos identifiants seront à la disposition des pirates qui n'auront plus qu'à utiliser vos identifiants pour vous voler tout ce que votre personnage a sur lui.
8. Pour les paranos : l'anti key-logger
Un keylogger est un programme qui enregistre tout ce que vous tapez au clavier et l'envoie par internet à un endroit ou le pirate, qui a réussi à installer son programme sur votre ordinateur, pourra le récupérer, puis l'utiliser pour vous voler votre compte.
L'installation ne peut pas se faire sans votre accord : il est donc nécessaire pour installer ce genre de choses que vous installiez un programme soi disant sûr, comme un gestionnaire de bot.
La solution est de ne jamais taper son mot de passe sur son ordinateur, mais de l'avoir dans un fichier (créé sur un autre ordinateur), et de le saisir dans le client dofus en faisant un copier-coller. Le keylogger ne peut lire ce genre d'échanges.
La seule méthode de hack existante
Un hackeur va d'abord tenter de deviner vos identifiants ou mots de passe. C'est pour cela que les identifiants (nom de compte et mot de passe) ne doivent pas être facilement devinables même approximativement.
Si les essais "faciles" ne marchent pas, la seule méthode utilisable devient la force brute.
Cette méthode consiste à essayer toutes les combinaisons possibles dans un ordre aléatoire.
Autrement dit, pour un mot de passe contenant 6 lettres majuscules, il y a 26 puissance 6 possibilités.
Pour un mot de passe contenant 15 signes qui peuvent être soit des majuscules, soit des minuscules soit des chiffres, il y a 62 puissance 15 possibilités. Avec un tel mot de passe, la probabilité que votre mot de passe soit découvert, même en connaissant le nom de compte, est suffisamment faible pour vous laisser le temps de le changer.
Si en plus votre nom de compte est également impossible à deviner, il faut pour que le vol fonctionne que le programme tombe (au hasard) à la fois sur le bon nom de compte et sur le bon mot de passe !!!
Autrement dit, en utilisant un nom de compte et un mot de passe de 10 à 20 signes chacun, utilisant des lettres (majuscules et minuscules), des chiffres et des signes de ponctuation, les probabilité que votre compte soit hacké sont quasiment nulles.
Surtout si vous changez votre mot de passe régulièrement : vous avez dans ce cas une chance de mettre en nouveau mot de passe une combinaison qui ait déjà été tentée par le hackeur, donc marquée infructueuse.
Avec ces quelques règles, si vous les respectez scrupuleusement, vous pourrez jouer en toute tranquillité et sans crainte du "hack", dont la probabilité, même en cas de recherche intentionnelle, est d'autant plus faible que vos identifiants comporteront un nombre important de signes.
Il y a plus de chances que ça tombe sur votre voisin, dont le nom de compte et le mot de passe comportent chacun 7 lettres, que sur le vôtre comportant 20 signes parmi 62 ;)
Quelques chiffres concernant la méthode de force brute
Prenons tout d'abord pour base un mot de passe contenant uniquement des lettres majuscules et chiffres, soit 36 caractères possibles.
Pour un mot de passe contenant 7 caractères nous avons donc 367 soit 78.364.164.096 possibilités.
Admettons qu'un pirate connaisse votre nom de compte de connexion et tente de trouver votre mot de passe, en effectuant 1 million d'essais par seconde.
Statistiquement, le pirate tombera sur la bonne combinaison de symboles à la moitié de la recherche, autrement dit après 36.000.000.000 essais environ, soit 36.000 secondes, ou encore une bonne dizaine d'heures.
Prenons maintenant l'exemple d'un mot de passe de 7 symboles, choisis aléatoirement parmi les 114 qu'on peut facilement obtenir avec un clavier français.
1147 c'est parmi 250.226.879.128.704 possibilités que le pirate doit choisir. A raison d'un million d'essais par seconde, le mot de passe sera forcé trouvé (parceque toutes les combinaisons auront été essayées) après 8 ans de tentatives ininterrompues. Statistiquement, il faudra donc 4 ans en moyenne à notre pirate pour tomber sur la bonne combinaison.
Avec un mot de passe à 8 symboles parmi ces 114, le temps nécessaire pour tenter toutes les combinaisons passe à 904 ans. Si l'on choisit d'allonger encore le mot de passe : 9 symboles = 103.118 ans, 10 symboles = 1,1 million d'années, etc ...
Ne serait-ce qu'avec un mot de passe de 9 symboles choisis aléatoirement parmi les 114 mentionnés, les chances que le pirate tombe sur la bonne combinaison dans un délai raisonnable est infinitésimale !
Il est considéré qu'un mot de passe est sûr lorsque le délai moyen nécessaire à sa découverte par la méthode de force brute dépasse la décennie, soit 10 ans. Un mot de passe à 7 symboles et donc trop court pour être fiable, 8 est une longueur minimale pour garantir une bonne sécurité de votre compte.
Notez que si de plus le pirate ne connait pas la longueur de votre mot de passe, il faut prendre en compte dans ce calcul toutes les longueurs possibles ... Dans tous les cas, surtout celui ou l'on commence par épuiser les possibilités les plus courtes, cela renforce la sécurité d'un mot de passe long.
Conclusion
Dofus permet de saisir des mots de passe très longs et contenant une grande variété de symboles. Utiliser ces deux possibilités, et changer son mot de passe régulièrement, ne garantissent pas qu'aucun pirate ne pourra jamais trouver votre mot de passe, mais les chances pour que ça arrive sont quasiment nulles, et encore faut-il qu'il connaisse votre nom de compte de connexion. En utilisant un nom de compte sans aucun rapport avec les informations de votre personnage visibles en jeu, cette improbabilité devient une quasi-impossibilité.
Une nouvelle fonctionnalité, qui sera très prochainement diffusée, a déjà été intégrée à l'outil : il s'agit bien évidemment d'un générateur de mot de passe totalement aléatoire, à longueur variable, contenant des symboles choisis parmi plus de 100 possibilités. Si cette fonctionnalité vous paraît intéressante, elle sera convenablement documentée pour en sécuriser l'utilisation.
Il me reste à vous souhaiter un bon jeu, maintenant que vous n'avez plus à craindre le moindre hack ... si vous suivez les quelques règles de sécurité mentionnées ici ;)