Effektive Multiverhinderung möglich?

Hi!
Ich bin es seit ner Weile leid, dass ich ständig user Sperre, die nur über Schule, Firma oder einfach nur heim-router ins netz gehen, da ich nur nach den letzten 3 IPs prüfe.

Habt ihr möglichkeiten, wie ich das sinnvoller (oder vielleicht effektiver) eingrenzen kann.

Was muss ich wie abfragen um möglichst sicher zu sein?
Gibts dazu vllt tutorials?

MfG
mikesh

Ich werfe mal einige meiner Ideen in den Pott.

1. Gleichzeitiges spielen über eine IP muss angemeldet werden.
2. Analyse des Spielerverhaltens: Welche Spieler sind nie gleichzeitig online sondern oft kurz hintereinander.
3. Heimliche Cookies setzen, am besten über einen anderen Server.

natürlich gibt es keinen 100%igen Schutz, aber die einfachsten Tricks fallen da schon auf.

1. Ist schon immer eine Regel gewesen... Gerade bei z.b. AOL Browser ist das aber natürlich nicht möglich...
Diese Variante verursacht immer "trouble".
2. ist ziemlich schwierig nachzuvollziehen... Wenn jemand IE und Firefox nebeneinander laufen hat, ist das unzuverlässig.

Das mit den Cookies klingt schonmal ganz gut, das werde ich dieser Tage noch umsetzen

Du hast es doch schon gesagt, was die Sache wieder kaputt macht ... "geheime" Cookies bringen auch nix, wenn einer Firefox und IE nebenher laufen lässt ...

es gibt keine einzelne methode die dir zuverlässig das filtert da man immer irgendwie aushebeln kann, aber die Summe aller Methoden machts.

Und vorallem musst du Dir überlegen, durch welche Interaktion im Spiel (z.b. Rohstoffe schicken) kann ein Multi sich vorteile verschaffen und dort ansetzen. Wenn nun noch die anderen allgemeinen faktoren wie ip etc stimmen...

Ein Multi wäre ja ansich nichts schlimmes wenn er sich nicht dadurch Vorteile verschaffen kann, und eben diese Vorteile sind es die ihn leicht erkennbar werden lassen.

Jep. Viele Rohstoffbewegungen in eine Richtung deuten auf Multis hin. Das ist die mit Abstand sicherste Variante.
Wenn ein Spieler 2 Accs völlig unabhängig voneinander spielt, stört das ja eigentlich nicht weiter. Ist weder unfair gegenüber anderen Spieler noch verursacht es überflüssigen Traffic.

mh... so habe ich das in meinem Ur-Hass auf Multis noch nicht betrachtet ^^

leider ist aber genau das, was es so schwierig zu überwachen macht (vielleicht habe ich es genau deshalb nicht als möglichkeit erachtet )...

Dann muss ich mir wohl doch arbeit machen

MfG
mika

wie wäre es wenn ihr den leuten die möglichnkeit gibt einfach wircklich unter einem account mehrer accunts zu haben... hört sich komisch an aber ich versuch zu erklären

z.b. bei einem basketgame mann kann ein account anmelden kann aber 4 mannschaften besitzen.

da ist doch sicherlich auch eine möglichkeit.. oder?

Original von Bogul
Du hast es doch schon gesagt, was die Sache wieder kaputt macht ... "geheime" Cookies bringen auch nix, wenn einer Firefox und IE nebenher laufen lässt ...

Dazu ein Tip: Via Flash-Plugin die Cookies setzten. Dann wird im Firefox und IE das gleiche Cookie verwenden :wink:

coole Idee

Die effektivsten Waffen sind sicher Spieleranalysen wer wieviel Rohstoffe transferiert oder ob bei Angriffen immer gleiche Teams unterwegs sind.
Bei Verdacht dann intensiver mitloggen und schauen wann die Accounts Online gehen und wie z.B. ein koordinierter Raid aussieht.
Spätestens wenn von einem Account immer Rohstoffe zu einem anderen geschickt werden und die dann auch auch immer Nacheinander bzw. durcheinander eingeloggt sind, dann hast du dein Multi (und nebenbei noch bischel Detektivarbeit..

Im übrigen wäre es auch mal ne nette Idee eine Adminflotte oder eine "Adminsche Hand" zu erfinden. Spieler einfach zu sperren ist zwar einfach aber ein Besuch einer sehr starken Adminflotte die ihm den halben Planeten vernichtet tut ihm sicher noch mehr weh als wenn man die Accounts einfach sperrt.. Auch eine "Adminsche Hand" welche seine Flotte mit einem Fingerschnippsen vernichtet und er zusehen muss wie die Konkurenz ihm seine Ressourcen klaut dürfte vielen sehr weh tun.. (ok die zusätlichen Accounts sollte man trotzdem sperren)

Oder einfach mal ein neues Spielkonzept erfinden, dass Mulits keinen Vorteil verschafft.

Mudder.. das wäre zwar prinzipiell eine gute Idee, und ich gehe einmal vom Idealfall aus, das der "Admin" es auch richtig und fair zu handhaben weiß - der User und eine Gefolgsmannschaft von Querköpfen werden dieses Feature zu Tode reden. Und aus Gerüchten werden schnell unausredliche Behauptungen mit Tatsachencharakter..

manche Admins speichern das Passwort der User im Klartext, um sie vergleichen zu können und so dumme Multis finden zu können. Was haltet ihr davon (wg. Datenschutz)?

Um zwei Passwörter vergleichen zu können, musst du sie nicht im Klartext speichern. Zwei md5s vergleichen bringt das selbe Ergebnis wie das Vergleichen von zwei Klartext Passwörtern.

Es gibt eine Menge Multis die für alle ihre Accounts das selbe Passwort nehmen. Als einziger Beweis reicht das zwar nicht aus, kann aber einen bestehenden Verdacht weiter erhärten.

Das hilft nur bei den ganz blöden Weil manche auch Passwörter verwenden wie:
multipw1
multipw2
multipw...
multipwn
und da hilft es nix md5 zu vergleichen. (Woher ich das weiß? Ich habe einige Bekannte - Multi spielen lassen um herauszufinden wie man diese am besten erkennt. In freier Wildbahn kann das natürlich anders sein, aber wenn ich mir anschaue, wie z.B. mein Bruder Passwörter vergibt scheint es wohl häufiger vorzukommen.)
Btw. Ich speicher immer aus Datenschutz nur verschlüsselte Passwörter, meist md5. Weil viele verwenden auch die Passwörter für z.B. ihre web.de oder gmx accounts und ich will mir nicht vorwerfen lassen können, dass ich da Einblick haben könnte.

Für Multifang gut, aber mache dich auf etwas gefasst, wenn die Daten aus einen Hackgrund an nur einen Dritten weitergehen..

Die Verschlüsselung bringt nur etwas Zeit in der man die User warnen kann. Mit BruteForce lassen sich (einzelne) Passwörter ganz leicht entschlüsseln.

Also sicher würde ich das nicht unbedingt nennen.

Original von Fasi

Original von Bogul
Du hast es doch schon gesagt, was die Sache wieder kaputt macht ... "geheime" Cookies bringen auch nix, wenn einer Firefox und IE nebenher laufen lässt ...

Dazu ein Tip: Via Flash-Plugin die Cookies setzten. Dann wird im Firefox und IE das gleiche Cookie verwenden :wink:

Ich besitze leider nicht die nötigen Flash-Kentnisse - vielleicht kannst du ja mal ein Beispiel posten ?

Original von Krisch
Die Verschlüsselung bringt nur etwas Zeit in der man die User warnen kann. Mit BruteForce lassen sich (einzelne) Passwörter ganz leicht entschlüsseln.

Also sicher würde ich das nicht unbedingt nennen.

md5 kannst du nicht entschlüsseln, genausowenig wie du aus der Quersumme einer Zahl die ursprüngliche Zahl errechnen kannst. Mit BruteForce kannst du dir ledeglich eine Liste mit Strings erstellen, die den selben md5 Wert haben. Wenn du eine eigene md5 Variation nimmst, ist aber auch das nicht mehr möglich.

Gab's net mal Project Rainbow Cracking mit einer MD5 DB?

Dafür nutzt man in md5 einen Secretstring, der zu dem Kennwort hinzugefügt wird, bevor er gehasht wird.

Also

$szPwdHash = md5 ( $szPassword . 'Geheimer_Schlüssel_ufidsa!$§"!KSFDLA' );

Damit fallen sämtliche Wörterbuchattacken heraus. Natürlich sollte der geheime Schlüssel sicher sein.

Weiterhin würde ich sha1 nutzen, bietet eine etwas höhere Bitlänge und die Wahrscheinlichkeit einer künstlichen Kollision ist geringer.

Hab ich auch gemacht.. für einen kleinen Referercheck (also nicht im Sinne des Browserreferer) habe ich einen eigenen kleinen Hash "entwickelt".. völlig banal, sieht wie md5 aus.. aber isset halt nicht nur.

Hashs sind One-Ways.. oder hast du schon mal versucht, aus dem 32(?)Byte langen Hash ein 5 GB Image wiederherzustellen? Ich wäre an der Methode interessiert *gg*

Das ultimative Kompressionsverfahren! Nicht ausplaudern - damit wirst du mehr als reich! ;-)

man könnte das Image ja bruteforcen. :lol:

Original von Krisch
Die Verschlüsselung bringt nur etwas Zeit in der man die User warnen kann. Mit BruteForce lassen sich (einzelne) Passwörter ganz leicht entschlüsseln.

Also sicher würde ich das nicht unbedingt nennen.

"Etwas Zeit" klingt niedlich. Echte Kollisionen wurden, meines Wissens, im MD5-Verschlüsselungsverfahren noch nicht gefunden. Und Alle möglichen Hashes durchfahren dauert dann auch etwas länger und ist absolut unwirtschaftlich.

Natürlich gibts dann noch Rainbow-Tables, aber die sind auch eher schlecht als recht.

Versteh mich bitte nicht falsch, ich will nicht sagen, dass MD5 unknackbar ist, um Gottes willen. Aber für ein Browsergame ABSOLUT ausreichend.

Naja:
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/66039&words=MD5

für bis zu siebenstellige Passwörter mit dem Zeichenvorrat [a-z], [0-9] plus Sonderzeichen in höchstens zwei Stunden auf den ursprünglichen Klartext zurückführen

und so nebenbei: http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/57038&words=MD5

Na, da hab ich ja Glück, dass meine regulären Passwörter knapp oder mehr als das doppelte an Zeichen vorweisen

Naja, was das gefälschte Zertifikat angeht, so meine ich gelesen zu haben, dass sich das nur indirekt auf gehashte Daten anderer Natur als Zertifikate auswirkt. Aber ich habe ja auch geschrieben: Ich will nicht behaupten, dass erfolgreiche Angriffe unmöglich sind!

Original von cem0r

Versteh mich bitte nicht falsch, ich will nicht sagen, dass MD5 unknackbar ist, um Gottes willen. Aber für ein Browsergame ABSOLUT ausreichend.

Ich knack dir n Alphanummerisches Passwort (a-z, 0-9) mit 8 Stellen in weniger als 1 Stunde.
Und wenn ich gleich anfange zu knacken ist der Aufwand für 1000 Passwörter max 50 % mehr.

Informier dich mal über die schönen Tools und möglichkeiten, welche es gibt solche Hashes zu Knacken.

Gruss

Man muss halt erstmal an die Datenbank kommen ...

Wobei wir vom Thema Multis abgekommen sind.

Original von schokofreak

Original von cem0r

Versteh mich bitte nicht falsch, ich will nicht sagen, dass MD5 unknackbar ist, um Gottes willen. Aber für ein Browsergame ABSOLUT ausreichend.

Ich knack dir n Alphanummerisches Passwort (a-z, 0-9) mit 8 Stellen in weniger als 1 Stunde.

Große Worte. Versuch dich hierran:

56ed478c8fca5eb847464a6bc88113df

Ich bin gespannt. Und ich lasse dir sogar bis Morgen früh Zeit. Das Ergebnis kannst du mir ja dann per PN zukommen lassen, um den Thread nicht weiter Offtopic zu führen.

Ich wollte auch nur darauf hinweisen, dass man sich auf MD5 alleine nicht verlassen kann.