剑网3及其他网游账号安全性探讨【外挂,木马,盗号,以及其他】
不知道现在讨论这个问题是不是太早了点,但是该来的总会来的。这个问题包括但不限于剑网3。由于剑网3和WOW是很相似的网游,所以我也会更多的用WOW的例子来说明。
【外挂】
外挂从功能高到低分4类:
1. 全功能式挂机外挂,这个在MU时最流行,在RO,天堂2达到顶峰(脱机外挂),你只要开机,开挂,进游戏,之后就不用管了。同一时期的梦幻西游对付这类外挂的方法就是在游戏中加入需要人工识别的验证信息,所以梦幻西游始终没有出现过类似外挂。而就剑网模式而言,从WOW的经验可以知道,这种外挂几乎没有生存空间。(如果有人能做出来,那建议去申请图灵奖)
2. 自动打怪式外挂,相当于内嵌的按键精灵。这类外挂只是省去了繁琐的操作过程,我在玩梦幻时也用过,只要在人工验证时手动点下就可以了,其他时候看电影去。对此,剑网3应该也可以免疫。当然WOW也有个机会可以使用,那就是SW刷小怪时,DPS和T可以使用按键精灵。
3. 加强形外挂,即外挂可以增加攻击力,攻击速度等。由于游戏程序越来越复杂,而内存数据的加密也更先进,所以直接增强人物能力的外挂已经很少了,至少用金山修改器是用不了了。但类WOW模式最大的缺陷之一就是不能免疫加速工具。由于宏大的世界和数据量,以至大量数值运算不可能上传到服务器让服务器处理,而只能在本地处理,所以变速齿轮等加速工具一直都有市场。
4. 辅助形外挂,提示任务位置,NPC坐标等功能,此类外挂对游戏平衡性影响不大,而且后期我们会有插件代替,所以没有使用环境。
建议:从上面的几类外挂可知,对类WOW模式网游,特别是剑网3,除了加速器外,其他外挂影响不是很大。而加速外挂的防止,只能由玩家自律,玩家举报,严格查封。从WOW的经历而言,加速器也曾经风行过,主要用于PK和战场,但由于玩家对此外挂的厌恶及官方的大力打击,使用外挂的收益相对于惩罚而言,不值得,所以加速现象出现得相当少。
PS:听说AION中出现伤害输出+治疗职业 双人用挂刷G的现象,建议剑网3在当前小怪伤害的基础上,提高其行为的随意性,比如可能怪物有时会移动到玩家背后。怪物血量偏少后会跑到其他怪物那里,把他们引来。以及提高怪物战斗的多样性,让怪物拥有更多更难缠的技能。
【木马】
木马的作用是盗号,所以木马和盗号是密不可分的。但这一段应该算是技术分析,所以盗号的情况我会独立成段,在下面再进行论述。
每个网游都会有相当多的木马,而我们永远不可能阻止它的出现,所以只能进行防止。
首先需要安全的计算机环境,如果不是专门的病毒分析人员,建议还是安装上杀软及防火墙。杀软的可选性很多,防火墙也是。对于初级用户,使用金山,瑞星等就够了,而且它们还自带防火墙(WIN自带的其实也不错的)。不过我现在用的是ESS3.0套装,内嵌防火墙,因为我厌恶卡巴斯基无穷的提示(个人喜好而已)。
接下来就是对游戏登录器的安分性的要求。对于剑网,我发现就算不用密码卡,也是相当安全的。因为密码只能使用二次密码来修改,那样就算你被T下线了,你也可以反复上线T他让盗号者无法操作。当然这个对于你不在线时就没办法了。
而密码卡,昨天看到有帖子设计了一个密码卡,嗯,太长了我没认真看,不过好像很好玩的样子。密码卡的出现,几乎完全堵死了密码记录型木马的活路,于是另一种木马出现了。
这就是伪登录木马。其实伪登录木马在密码记录时代就有了,只不过那时伪登录器只是简单的把密码记录。而现在最新理念的伪登录木马是在你的电脑上和盗号者电脑上建立连接,伪登录界面上显示的其实是盗号者真实登录界面上需要的密码信息。这是很强大很暴力的,不管是密码卡也好芯片动态密码器也好,都一网打尽了。很多人奇怪,为什么绑定密码卡了,买了动态口令器了,还会被盗号,其实大多是中了这种木马了。没办法的事,就算密码卡的组合有10亿个,盗号者依然会通过你的手得到需要的那唯一一个。如何解决呢?我这段啰嗦了这么多,就是为了引出这个解决办法。
建议:其实也不难,只要把动态密码验证模块从登录阶段移动到角色选择或游戏阶段,即你刚进入游戏时,是无法操作人物的,不能做移动交易等一切,只能等输入动态密码后才能进行。而同一人物,是不能在同时登录两个的。其实我更看好游戏阶段验证,因为木马可能会做出伪人物选择,但做不出游戏程序,而且那时,你的人物已经在游戏里了,就算他得到动态密码,也是过期的动态密码了。
【盗号】
盗用玩家账号的唯一目的就是获取利益,解决木马问题只是治本不治标。可以解决盗号问题的关键就是让盗号者的投入和产出不成比例。
WOW的绑定系统,我依然认为是一个天才的创意。也许一件装备可以换到几百几千游戏币或RMB,但绑定之后,只能卖给NPC,得几个游戏币。这就减少了盗号者的收益。而付魔分解需要技能等级,绝了。现在剑网3的情况就是,市场上大量出现装备绑定的高级装备,到公测时,也许会成为盗号者的巨大收益来源。对此,除了扩大拾取绑定装备的范围外,还有个折中的办法。
建议:添加“交易后绑定”属性。即一件装备只能交易一次,不管是邮寄,还是当面交易,当装备离开你的背包后会自动绑定,不能二次交易。
再则,可以在大额交易,比如某个等级以上的装备,或超过某个数值的货币交易,应该输入动态密码,这也是我提出要将动态密码系统内置的理由之一。
而打击盗号者,是减少盗号行为收益的重要组成之一。我有些想法,比如对大额的货币流进行分析,如果是盗号者进行操作,那最后货币流将流向某个或若干个金库,我们可以应用程序通过数据检索和分析来确定。对于确定为盗号金库的,全部查封。也许以后会有游戏体验活动。那么请限制体验范围,比如只能在稻香村游戏,不能使用地图频道,不能交易等,以防止盗号者使用小号发广告和存游戏币。
【终级办法】
虽然我不怎么相信马克思,但有个观点还是很有道理的:决定市场的是需求,而不是工厂。解决盗号问题的根源,不在于游戏公司,而是玩家。如果我们都以游戏的心去游戏,而不是使用RMB去买装备买游戏币,那盗号者将无法取得收益,也就没理由盗号。也许有些人会说,我爱怎么玩是我的事,我有钱,我就喜欢用RMB换装备换游戏币。这个,我管不着,游戏公司,代理公司也管不着。但就是因为这些有钱的RMB玩家的存在,才会使我们的账号一次次被盗,装备一次次清空。对此我强烈提出以下建议:
对于不对等的大额交易,对双方账号进行处理。举例说明就是:你某天无聊突然把身上的几千金交易给了某人,买了一根“毛笔”,或什么都不买。对于这种情况,我建议把它判定为“影响游戏经济系统”,并对账号进行查封。这些情况,不是盗号者在转移金币就是盗号者把出售的金币移交给买家。对于货物价格的计算,我们可以通过拍卖行及游戏NPC售价来确定。而对于的确需要将正当的大额货币转移的玩家,可以到游戏NPC某商会那进行,而这次转移的数据会被系统进行记录。正常的玩家不会介意被记录,而盗号者,我也不知道他敢不敢去找NPC记录交易。 有关规定,请添加到游戏协议里,当然很多玩家是不会去看的,不过如果有什么纠纷,那么游戏公司可以有证据,也有协议来说明为什么会查封账号。我明明写上不能用1000金币去买根“毛笔”,谁买封谁,你还去买,我也没办法。你说你不知道,协议在那呢,你看都不看,点什么确定呢。
【附言】
一个人的想法总是有缺陷的,所以我发在这,希望大家可以指正我的想法,提出更好的方法。因为文笔不是很好,所以也许文字表达上会有漏洞,眼尖的同学放过我吧。
也许某些观点会让某些人恼火,我也不能污蔑说那些人就是盗号者或什么的,但如果你想反对上面观点中的某些,请文明的提出,并我希望可以看到你提出的更好的解决办法,而不是在那骂我。
