Multi erkennung

Ich hab mal nee Liste von Möglickeiten aufgestellt die das erkennen eines Multi Acounts möglich macht. Entuell fällt euch ja noch was dazu ein.

Ich würd das wie bei Spam Stufenweise abhandeln.Logdaten sind lang darum macht es sin eine Statistikauswertung sich ausgeben zu lassen wo die Warscheinlichkeit sehr hoch liegt.

.) Ip check doppeltewerte filtern
.) Cookie check doppelwerte abfragen und in der Db speichern
.) Login Zeiten vergleichen
.) Browser Version und Betriebsystem Version abgleichen
.) Auflösung vergleichen
.) Zeitzone
.) installierte Browser-Plugins
.) Installierte Schriften

Entuell fällt euch dazu ja noch was ein aber anhang der Daten sollte ein Pc zu 90% (Digitaler Fingerabdruck) sicher wieder erkannt werden.

Mfg Splasch

Viele Multis machen es einem einfach und nehmen das gleiche Passwort. Die EMail-Adressen sind auch häufig gleich. Keine Kommunikation untereinander aber ständiger Handel untereinander kann auch ein Indiz sein.

HTH

Torsten

Original von Todi42

Viele Multis machen es einem einfach und nehmen das gleiche Passwort. Die EMail-Adressen sind auch häufig gleich. Keine Kommunikation untereinander aber ständiger Handel untereinander kann auch ein Indiz sein.

HTH

Torsten

 Passwörter kann man ja wohl nicht abgleichen - oder speicherst Du die im Klartext irgendwo? Will ich mal nicht hoffen.

Keine Kommunikation aber ständiger Handel kann aber auch - und das sehr oft - darauf hindeuten, dass die leute sich kennen und halt nicht im Spiel kommunizieren, sondern lieber icq oder direktes Gespräch bevorzugen.

doppelte E-Mail-Adressen sollte man bei der Registrierung ausschliessen.

Naja, gleiches Passwort - gleicher Hash (naja, in 99,999% der Fälle). Das reicht ja.

Gleiches Passwort, keine Kommunikation und _ähnliche_ EMail-Adressen sind immer nur Indizien, aber zusammen mit anderen Indizien, lassen sich so Multis bestimmt ganz gut überführen.

Wo bleibt Drezil mit einer flammenden Rede, wie gutes Gamedesign Multiusing überflüssig machen sollte???

Original von Kampfhoernchen

Naja, gleiches Passwort - gleicher Hash (naja, in 99,999% der Fälle). Das reicht ja.

Funktioniert aber auch nur, wenn Du keinen Salt verwendest.

Ansonsten wie gesagt Kontakt (Private Nachrichten) automatisch auswerten, Logins überprüfen (Zeitdifferenz zwischen logout/login der accounts), mailadressen (ähnlichkeit), Accounttransaktionen (Handel etc).

Original von darken

Original von Kampfhoernchen

Naja, gleiches Passwort - gleicher Hash (naja, in 99,999% der Fälle). Das reicht ja.

Funktioniert aber auch nur, wenn Du keinen Salt verwendest.

Ansonsten wie gesagt Kontakt (Private Nachrichten) automatisch auswerten, Logins überprüfen (Zeitdifferenz zwischen logout/login der accounts), mailadressen (ähnlichkeit), Accounttransaktionen (Handel etc).

 Stimmt nicht das ganze funktioniert auch mit Salt wenn es intelligent gemacht wurde. Sowie es zb. Kohana löst.

Original von darken

Original von Kampfhoernchen

Naja, gleiches Passwort - gleicher Hash (naja, in 99,999% der Fälle). Das reicht ja.

Funktioniert aber auch nur, wenn Du keinen Salt verwendest.

Ansonsten wie gesagt Kontakt (Private Nachrichten) automatisch auswerten, Logins überprüfen (Zeitdifferenz zwischen logout/login der accounts), mailadressen (ähnlichkeit), Accounttransaktionen (Handel etc).

 Du solltest den Salt für das Passwort kennen, oder möchtest du dynamisch für jeden Benutzer einen eigenen Salt verwenden? Bei gleichem Salt sind ja auch die Passwörter wieder gleich.

Original von MrMaxx

Wo bleibt Drezil mit einer flammenden Rede, wie gutes Gamedesign Multiusing überflüssig machen sollte???

Mit einem guten(!) Gamedesign, braucht man keine Multis jagen, weil sich Multis nicht anders als eine gut organisierte Gruppe verhalten mit einem Nachteil: Der Multi-user muss schlafen (sofern er keinen Bot schreibt - aber dann hat man andere probleme). Eine gut koordinierte Allianz kann (sofern z.b. Truppenzugriff untereinander möglich ist), besser agieren als ein Multi.

Im Gegenteil: Multis sorgen dafür, dass man mehr "Gegner" hat, die man fertigmachen kann - vorrausgesetzt, man kann z.b. die Rohstofftransporte abfangen u.ä.

Reicht das? :D

PS: Ich spiele Eve. In diesem Spiel ist es sogar explizit erwünscht mehrere Accs zu haben! Soviel zum Thema "Multis machen das Spiel kaputt".

Original von Kampfhoernchen

 Du solltest den Salt für das Passwort kennen, oder möchtest du dynamisch für jeden Benutzer einen eigenen Salt verwenden? Bei gleichem Salt sind ja auch die Passwörter wieder gleich.

Also normalerweise sollte man unterschiedliche Salts für die Generierung jedes Hashs verwenden. Sonst kann jemand der an die gehashten Werte ran kommt einfach eine auf dem Salt aufbauende Rainbowtable bauen. Das lässt sich recht effektiv mit dynamischen Salts verhindern (siehe z.B. SSHA).

Den Salt müsst ich dann aber auch irgendwo speichern. Oder ich nehme halt sowas wie Benutzername, E-Mail oder ähnliches.

Original von Kampfhoernchen

Den Salt müsst ich dann aber auch irgendwo speichern. Oder ich nehme halt sowas wie Benutzername, E-Mail oder ähnliches.

Den Salt muß man nicht speichern. Am besten generiert man diesen aus dem Password selbst. Der Salt ist dann vom Password abhängig und bei gleichen Password auch gleich. Bei anderen Password ist der Salt natürlich auch anderes. Um die Passwörter zu vergleichen reicht es den Hash Wert zu vergleichen.

Man muß also weder noch den Salt kennen noch angst haben das der immer gleich ist und kann trozdem ganz einfach auf doppel Werte prüfen.

Original von splasch

Original von Kampfhoernchen

Den Salt müsst ich dann aber auch irgendwo speichern. Oder ich nehme halt sowas wie Benutzername, E-Mail oder ähnliches.

Den Salt muß man nicht speichern. Am besten generiert man diesen aus dem Password selbst. Der Salt ist dann vom Password abhängig und bei gleichen Password auch gleich. Bei anderen Password ist der Salt natürlich auch anderes. Um die Passwörter zu vergleichen reicht es den Hash Wert zu vergleichen.

Man muß also weder noch den Salt kennen noch angst haben das der immer gleich ist und kann trozdem ganz einfach auf doppel Werte prüfen.

Erhöht man damit nicht die Anzahl der Kollisionen und im reduziert endeffekt die Menge der Hashes, die rauskommen?

Original von Kampfhoernchen

Den Salt müsst ich dann aber auch irgendwo speichern. Oder ich nehme halt sowas wie Benutzername, E-Mail oder ähnliches.

Deshalb habe ich extra auf SSHA verwiesen. Dort wird der Salt nämlich dem Hash des Passwortes angehängt. Eine saubere und elegante Lösung.

Auch wenn wir offtopic laufen: Ich speichere passwörter als hash von benutzername.passwort

Da das hier niemand sonst vorschlägt - hab ich da einen Denkfehler, der dieses Vorgehen problematisch macht?

@darwolia Je nach verwendetem Algorithmus überflüssig oder nicht Ziel führend. Stefen Esser hat auf der IPC 2010 erklärt, dass ein Salt anscheinend nicht am Anfang stehen soll. Warum war mir zu hoch ;-)

@topic Um nach Multis zu suchen, ist es auch wichtig, die Vorteile der Multiaccounts zu kennen. Wenn man jetzt Logfiles statistisch auswertet, könnte man sich zusätzliche Anhaltspunkte holen. Dann ein Punktesystem, welches einen Account ab x Punkten als Multiaccount tagged.

Original von darwolia

Auch wenn wir offtopic laufen: Ich speichere passwörter als hash von benutzername.passwort

Da das hier niemand sonst vorschlägt - hab ich da einen Denkfehler, der dieses Vorgehen problematisch macht?

Was machst Du, wenn der Benutzer umbenannt werden möchte? Ich würde hierfür etwas nicht veränderbares wie timestamp der registrierung, user_id oder sonst was nehmen.

.)Ips auf Proxys überprüfen

Naja der kleine Bruder spielt schon oft mal das was der Große spielt.

Nanofights hat da auch ein paar Fälle, wo die ganze Familie spielt und sone Multi-Anschuldigung können da dann einfach in die Hose gehen.
Wenn das Konzept also wirklich unbedingt Multis Vorteile einräumen muss, dann wäre meiner Meinung nach ein Konzept, welches Familienmitglieder etc. sicher ausschließt notwendig...

Daher wäre wohl die Beste Lösung die Multi-Erkennung relativ nah am Spielkonzept zu halten. Sprich erstmal verdächtige Accounts mit bereits genannten Dingen zu "markieren" und diese dann vom Verhalten her abzugleichen.

Das ist natürlich auch mit Hürden belastet, weil Familien sich ja durchaus zB zusammenschließen könnten um ein Ziel zu vernichten oder ähnliches.

Dennoch haben Multis ja meist ein recht auffälliges Verhalten:
- Ein "Hauptaccount" der häufig Vorteile von Nebenaccounts(resourcen etc) bekommt
- mehrere vermutlich weniger fortgeschrittene und so weit möglich auf Eco getrimmte Nebenaccounts
- gegenseitige Angriffe erfolgen nicht
- Loginzeiten sind natürlich auch meist ein klares indiz, außer die Familie steht schlange am pc
und ich bin sicher da gibt es noch vieles mehr

Trotzdem bin ich auch eher Verfechter von Spielkonzepten, die Multis erlauben, was bei fast jedem Spiel geht. Das erspart viel Arbeit, zwangsweise irgendwann falsche Verdächtigungen und auch Multi-Spieler geben Geld aus... im Gegenteil denke ich sogar, dass sie verhältnismäßig viel Geld ausgeben würden, wenn sie so engagiert dabei sind...
Greift ein Spieler immer mit allen Accounts an? Dann Angriffsschutz einbauen nach einem Angriff...
Bekommt der Spieler bei jedem Login Resourcen? Dann diese an gewisse Aktionen(x minuten spielen/eingeloggt sein etc) koppeln

Verschickt er von multis dauernd Resourcen? Dann vom System her andauernde Schenkungen von Account a nach Account b behindern, insbesondere wenn der Empfänger viel höherlevliger ist. Oder zB Errichtung eines (teuren&nicht sofort baubaren)Handelspostens zum vergeben von Resourcen erforderlich machen...

Angriffsschutz ist schwachsin da kann ich gleich sagen ihr dürft net spielen. Selbe gilt für noobschutz sachen unsw.

Wegen den Familen gibst in vielen Games schon nee Option wo man angeben kann das der Pc von mehren Leuten benutz wird. Damit sollte es diese Problem mit falschen anschuldigungen auch net mehr geben. Denn der es nicht angibt hat garantiert was zu verbergen oder versuch sich vorteille zu verschaffen. Die Regelen was auf gemeinsamen genutzen Pc nicht gemacht werden darf kann man dann auch leicht vorgeben und per Script sperren.

Sinlos ist es dagen solche sperren bei Multiverdacht automatisch zu verhängen. Den ein Script kann es nicht feststellen dazu ist eine Menschliche manuele kontrolle notwendig. Das script kann nur die nötigen informationen liefern anhang der Mensch dann feststellen kann ob es ein Multi ist oder nicht. Ein Script kann das nicht.

Daher kann es fatal sein solche sperren automatisch in kraft tretten zu lassen. Damit wirste schnell viele Spieler verlieren und das zu recht.

PS:

meine bessere hälfte und ich haben oftmals die selben Games gespielt , an 2 rechner von IP aus.

Niemals, Router sei dank wurden wir als Multis erkannt.

IP check Cookie check Unique ID sind also nicht absolut sicher.

Original von splasch

Wegen den Familen gibst in vielen Games schon nee Option wo man angeben kann das der Pc von mehren Leuten benutz wird. Damit sollte es diese Problem mit falschen anschuldigungen auch net mehr geben. Denn der es nicht angibt hat garantiert was zu verbergen oder versuch sich vorteille zu verschaffen. Die Regelen was auf gemeinsamen genutzen Pc nicht gemacht werden darf kann man dann auch leicht vorgeben und per Script sperren.

Meistens ist das mit dem Anmelden der "gemeinsamen Nutzung" aber nunmal ziemlich dämlich gelöst. Z.B. über einen obskuren, unübersichtlichen und öffentlichen Thread im Forum. Da muss man sich also erst im Forum anmelden, um sich vor Multiverdacht zu schützen? Absolut spielerunfreundlich.

Wer also sich nicht im Forum anmeldet und nach nem Thread sucht, wo man sich öffentlich als Familie eintragen muss, der hat was zu verbergen?

Und "Regeln was auf gemeinsamen genutzten Pc nicht gemacht werden darf"? wtf? Weil ich mit meiner Freundin vom gleichen Rechner aus spiele, dürfen wir nicht alles frei im Spiel machen? Danke - next game.

Gerade im überfluteten Markt von "Strategie"-Browserspielen (also bau ressourcen ab, bau armee, plünder deine Nachbarn) sollte man sich doch durch möglichst hohe Spielerfreundlichkeit und Offenheit auszeichnen wollen. Und nicht auch noch extra Nutzer verscheuchen wollen...

Meine Meinung zum Thema ist schon hier vertreten: Spiel nicht so designen, dass man durch Multi-Accounting ernsthaft Vorteile haben kann. Dann sollte Multi-Accounting so aufwändig sein, dass es schon wieder gerechtfertigt ist, dass jemand paar mehr Armeen hat, wenn er dafür auch doppelt soviel Zeit investiert. Gilden sind auch nichts anderes als Spieler mit gespaltenen Persönlichkeiten ^^

Und was hindert einen Multi-User daran, seine Multis als Familienmitglieder zu tarnen? Ausweiskontrolle?

Original von dreaddy

Und was hindert einen Multi-User daran, seine Multis als Familienmitglieder zu tarnen? Ausweiskontrolle?

Ganz einfach daran hindert ihm das er dann keine Multivorteile mehr hat. Wenn er diese angibt überwacht das Script die Transfair und verhindert dies automatisch mit einer Information Meldung.

Die genauen Regeln werden ja nach Spiel aufgestellt und sind einzuhalten. Zb. Kein Handel untereinander unsw.

Wenn man erstmal einen begründeten Verdacht hat, wer ein Multi sein könnte, finde ich solche Diagramme sehr nützliche und leicht mit dem Auge auszuwertende weitere Indizien: