PGR21.com

*** 본문에 틀린 사항이 있어서 추가합니다.(테스트 방법 관련 문제 및 폐기 관련)

> OTP 재발급 후에도, 기존 값이 일정시간 동안 유효한 사항.(입력직후엔 정상폐기)
(원칙적으론 재발급 직후 바로 폐기되어야 하는데 - 보통은 길어도 3~5초 이내 폐기
현재 베틀넷 OTP는 기존값 유효시간이 길어서.. 가로챈 후 접속하는데 필요한 시간이 넉넉합니다.)

>> 주말 OTP 테스트에서는 위 테스트 방법으로 연속 입력시 성공했어서 관련 글을 작성해서 올렸는데,  
조금전 다시 테스트에서는 에러 코드가 뜨네요... 어떤 차이인건지.. 제가 착각한건지..
지금 테스트에선 에러코드가 뜨는 만큼.. , 내용 수정해서 적어둡니다.
본의아니게 잘못된 사항을 전달한것 같아 죄송스럽네요..

코멘트로 확인된 부분 테스트 후 확인한 만큼 본문 상단에 추가해둿습니다.


기존 글
----------------------------------------------------------------------


* 원칙적으로 정상적인 OTP(One Time Password)의 경우
사용시 해킹을 당할 수 없습니다.

현재 디아블로3 해킹 중, OTP를 했는데도 해킹을 당한다는 글들이 있는데요.

해당 부분은 블리자드 OTP가.. 타 OTP와 다른 문제점을 하나 가지고 있기에

현재 발생하고 있습니다.


순서를 살펴보면

보안이 잘 된 OTP
-> One Time Password 발급 (11111111)
-> 해당 번호 입력 시, '입력한 번호는 즉시 폐기됨'
-> 즉, 11111111이 남은 시간이 30초라고 하더라도.. 한번 입력해서 들어가면, 해당 OTP 번호로는 다시 접속이 불가능
(로그아웃 시, 30초를 더 기다린 뒤에 다른 번호를 발급받아서 접속해야 함)

여기서 한단계 더 들어간 OTP는..  OTP Passcode가 별도로 있어서
OTP Passcode 입력 + OTP 번호 입력. 으로 접속을 한 뒤에, 아이디랑 비번을 물어보는 역 방식도 사용합니다.


문제는 현재 블리자드 OTP는 저 절차 중,  '입력한 번호는 즉시 폐기됨' 절차가 없습니다.

순서를 따지면

-> One Time Password 발급
-> 해당 번호를 입력해도, OTP번호 폐기(재발급) 전까진.. 발급된 번호를 계속 사용 가능
-> 해커가 키로거, 크래킹 툴, 바이러스등.. 다양한 방법으로  아이디 + 비번 + OTP 번호를 가져가서 바로 사용함
-> OTP번호가 폐기되지 않아, 기존 접속된 유저를 밀어내버리고.. 접속해서 해킹에 성공.

정상적인 OTP라면, 해당 번호가 폐기되기 때문에..  
크래킹 툴을 통해서 아이디+비번+OTP 번호를 가져가더라도, 해킹을 할 수 없습니다.
(OTP 번호가 폐기되서.. 가져간 OTP 번호로는 접속을 할 수 없기 때문에)
(단.. OTP를 해지할 수 있는 개인정보까지 알아냈다면, OTP를 강제 해지후 해킹할순 있습니다.)

근데 현재 디아의 OTP는.. 접속에 사용한 번호를 즉시 폐기하지 않아서.. 해킹이 가능합니다.(해킹툴이 깔린다면)


블리자드에서 무슨 생각으로 폐기를 안하는 OTP를 쓰는지 모르겠네요...
(저희 팀원분이 이번에 OTP를 쓰다가 해킹을 당해서.. 확인해 봤더니
당연히 즉시 폐기일거라 생각한 OTP가.. 즉시 폐기가 아니더군요.......... )


** 테스트 방법은 OTP 입력시간이 넉넉할 때.  해당 OTP번호로 로그인 -> 로그아웃 -> 다시 로그인.. 해보시면 로그인이 됩니다.
이 방법으로 로그인이 안되는 게임은 OTP를 즉시 폐기하는 게임,   되는 게임은 즉시 폐기를 안하는 게임입니다.