[이브 온라인] 계정 보안 개선

https://www.eveonline.com/article/pu2gdi/account-security-improvements
이 개발자 블로그에 대해 토론하고 싶다면 공식 포럼의 댓글 스레드로 넘어가십시오.

안녕하세요, 동료 캡슐리어 여러분.

이브 온라인 계정은 엄청난 가치가 있으며, 귀하의 계정을 보다 안전하게 유지하기 위한 조치를 지속적으로 취하고 있습니다. 이 블로그에서는 귀하의 안전을 향상시키기 위해 최근에 취한 조치에 대해 알려 드리고자 합니다. 그 전에 우리는 먼저 1Password에서 친구와 함께 작업 해 온 것에 대해 이야기하고 싶습니다.

소개: EVE Players의 1Password Family 무료 6 개월 무료 평가판

https://1password.com/promo/eveonline/

예, 올바르게 읽었습니다! 우리는 1Password의 친구들과 약간의 대화를 나눴으며, 이것은 여러분 모두에게 6개월간 무료로 이용할 수 있는 패밀리 플랜을 제공할 수 있을만큼 굉장했습니다. 이를 통해 데스크탑이나 모바일 장치와 같은 장치간에 암호를 동기화하고 최대 5명의 가족 구성원간에 선택한 암호와 볼트(역주: vault, 아마 암호의 집합체로 예상됨)를 공유할 수 있습니다.

트라이얼과 관련하여 강제하는 것은 아니기에, 만약 여러분이 6개월 뒤에 이 서비스를 계속하지 않기로 결정한 뒤에(왜 그러겠어요? 이건 굉장합니다!) 이 비밀번호에 접근 불가능해질 것이 걱정된다면, 이 애플리케이션이 읽기 전용 모드로 전환된다는 것을 알려드리고 싶습니다. 그래서, 우리는 여러분이 아직 등록하지 않았다면 여러분 모두가 등록하도록 강력히 권합니다.

여러분은, 물론, 자유롭게 다른 모든 암호 관리자를 자유롭게 사용할 수 있지만, 대부분의 사람들에게 있어서는 온라인 보안을 크게 향상시켜주므로 암호 관리자를 사용하시기 바랍니다. 아래 예제에서는 1Password를 사용하여 암호를 관리하는 방법과 EVE Online에 대한 2 단계 인증 코드를 활용하는 방법을 보여줍니다.

확장된 1Password 평가판에 바로 가입할 수 있습니다.
https://1password.com/promo/eveonline/

핵심 사항에 관심이 있는 사용자나 다른 사람이 암호를 관리하지 못하게 하려는 사람들을 위해 1Password에는 보안 관행과 모델에 대한 자세한 설명이 여기에 있습니다.
https://1password.com/security/

TLDR : 오직 자신의 장치에서 암호를 해독할 수 있습니다.

Two-Factor 개선 : 모든 계정에 대해 하나의 인증 코드!

보안 측면에서 Troy Hunt와 Scott Helme (Scott은 EVE 플레이어이기도 합니다!)과 상담한 후 우리는 Account Management 웹 사이트 담당 팀과 협력하여 Two-Factor Authentication (이하 2FA)에 작은 "삶의 질" 업데이트를 적용하였습니다.
https://secure.eveonline.com

이제 2FA 설정에 대해 자신의 시드를 제공할 수 있으므로 여러 계정에 대해 동일한 TOTP 생성기를 사용할 수 있습니다. 둘 이상의 계정이 있는 경우 계정 중 하나에 2FA를 설정 한 다음 2FA 시드를 복사하고 다른 계정에 2FA를 설정할 때 동일한 시드를 사용할 수 있습니다. 이렇게 하면 더 이상 올바른 코드를 찾기 위해 2FA 애플리케이션을 스크롤하지 않아도됩니다. 이제 계정간에 코드를 공유할 수 있으므로 더 편리합니다.

문제를 더욱 쉽게 처리하기 위해 1Password가 코드를 처리하도록 할 수 있으므로 브라우저와 모바일간에 이를 동기화 할 수 있습니다. 이 경우 1Password가 올바른 코드를 채울 수 있으므로 시드를 공유할 필요가 없습니다.

2FA 시드를 공유하는 것은 각 계정에 고유한 시드를 갖는 것만 큼 안전하지는 않지만 2FA가 전혀없는 것보다 안전하다는 점에 유의하십시오.

다음은 기존 계정을 1Password까지 연결하고 2FA를 사용하는 것이 얼마나 쉬운 지 보여주는 예입니다.

1. 1Password에 가입하여 아직 브라우저 확장 프로그램을 설치하지 않았다면 가입하고 1Password 계정에 로그인하십시오. 이 데모에서는 Windows의 공식 1Password X Chrome 확장 프로그램 (Edge Chromium에서도 작동)을 사용합니다.

2. https://secure.eveonline.com으로 이동하여 계정에 로그인하십시오. 다음에 로그인 할 때 자격 증명을 자동 입력 할 수 있도록 로그인 정보를 1Password에 저장하라는 메시지가 표시됩니다.

3. 로그인을 마친 다음 계정 관리에서 OTP 설정을 열고 오른쪽에 있는 "OTP 사용"버튼을 클릭하십시오. 또한 여러 계정간에 동일한 시드를 사용하려는 경우 자신의 인증 시드를 제공하는 새로운 옵션이 표시됩니다. 위에서 언급했듯이 각 계정에 별도의 계정을 사용하는 것보다 덜 안전하지만 2FA를 사용하지 않는 것보다 2FA를 사용하는 것이 항상 좋습니다.

4. QR 코드가 표시되면 브라우저 바에서 1Password 확장자를 클릭하여 페이지의 QR 코드를 스캔하십시오. 이렇게하면 1Password가 로그인을 더욱 쉽게 할 수 있도록 인증 코드도 처리 할 수 ​​있습니다. 완료되면 코드가 자동으로 클립 보드에 추가 된 상태에서 "인증 코드가 저장되었습니다"라는 1Password 확장 메시지가 나타납니다. 확인 필드에 코드를 붙여넣고 '확인'을 클릭하면 이제 계정에 2FA가 사용 설정되었습니다.

1Password 2FA 기능은 EVE Online뿐만 아니라 2FA를 지원하는 다른 온라인 계정에서도 작동합니다. 그래서 인생을 더 편하게 하고 좋은 암호 관리자를 사용하십시오!

나는 Pwn되었는가 완성판

2018년 5월 2일 (1년 조금 전), 우리는 Troy Hunt의 Pwned Passwords API (Pwned Have의 일부 임)에 대한 비밀번호 확인을 추가했습니다. 기존의 데이터 유출로 인해 선택한 암호가 손상된 경우 플레이어에게 알릴 수 있도록 이 작업을 수행했습니다. 이것은 우리 플레이어들에게 아주 잘 받아 들여졌으며 우리의 구현을 참고로 사용했던 다른 사람들에 의해서도 주목되었습니다.

우리는 "암호 변경"및 "계정 등록"페이지에서도 암호가 올바르게 확인되어 플레이어가 다른 잘못된 암호를 선택하지 못하게하는 등 몇 가지 작업을 완료해야하지만 전반적인 암호 보안은 많이 향상되었습니다 ! 우리가 처음 점검을 실시했을 때, 로그인의 약 19%가 비밀번호가 안전하지 않다는 메시지로 인사를 나누었습니다. 오늘날 이 수치는 약 11-12 %로 떨어졌으며 앞으로도 계속 하락할 것입니다.

즉, 전반적으로 플레이어는 이전보다 사전 / 자격 증명 스터핑 공격으로부터 더 안전합니다. Two-Factor 인증과 결합하면 플레이어의 계정 보안이 크게 향상되어 사기성 해커를 멀리 할 수 ​​있습니다. 또한 1Password는 HIBP를 활용하여 데이터 유출시 저장된 비밀번호가 있는지 알려주는 동일한 작업을 수행합니다.

다음은 로그인할 때 위반된 암호 알림의 예입니다.

 

기타 개선

우리는 작년에 다른 변화를 만들었지만, 이는 우리 플레이어들에게 거의 주목받지 못했을 것입니다. 그럼에도 불구하고 중요한 보안 특징입니다. 여기에 작은 목록이 있습니다.

우리는 EVE 온라인 SSO에 콘텐츠 보안 정책을 추가했습니다. 이렇게 하면 제 3 자 라이브러리 또는 브라우저 플러그인에서 악성 코드가 유출될 가능성을 줄일 수 있습니다.

우리는 eveonline.com 및 testeveonline.com 도메인을 HSTS Preload 목록에 제출하여 모든 호환 브라우저가 HTTPS를 통해서만 로드하도록했습니다.

우리는 브라우저 보고 기능을 활용하여 콘텐츠 보안 정책 위반, 네트워크 오류, 브라우저 기능 비사용 중단 및 충돌과 같은 브라우저 문제를 모니터링하므로 필요에 따라 조치를 취할 수 있습니다.

로그인 세션 및 타사 응용 프로그램 인증 토큰을 탐지하고 무효화하는 방식을 개선하여 암호를 변경하거나 계정을 이전할 때 액세스가 확실하게 취소되도록 했습니다.

우린 아직 안 끝났어...

가까운 장래에 플레이어의 계정 보안을 몇 가지 개선할 것입니다. 우선 계정 탈취 및 계정 보안 향상을 중점적으로 고려하여 플레이어가 게임을 하는 것을 방해하거나 어렵게 만들지 마십시오.

이러한 개선 사항에 대한 자세한 설명을 곧 제공할 수 있기를 바랍니다. 앞으로의 업데이트를 위해 계속 지켜봐 주시기 바랍니다.

더 이상 고뇌하지 말고, 즉각 시행할 시간입니다!

O7