Привет всем ленивым параноикам. Сейчас у нас как раз будет лайтовая пятиминутка безопасности, так что проходите и располагайтесь поудобнее. На написание этого поста меня подтолкнуло прочтение очередной слезливой ветки о том, что у кого-то угнали аккаунт на старзах (sigh).

Пару раз я уже расписывал подробно, какие меры безопасности можно предпринять для того, чтобы наладить свой сон, однако теперь, когда я стал суперновой и начал держать в руме чуть более крупные, чем раньше, суммы, вопрос безопасности снова возник в моей голове. Итак, приступим.

Зачем мне SMS-валидация?

Пароль к учётке можно подобрать или украсть с помощью клавиатурных шпионов или троянов, а пин-код можно утащить, скажем, с помощью какого-нибудь написанного, что называется, "на коленке" скриншоттера, делающего снимок вашего экрана каждый раз, когда вы кликаете мышкой в области лобби старзов, и отсылающего награбленное прямо на почту злоумышленнику. Изи гейм.

Что касается, RSA-токена - да, это самый надёжный из известных мне способов защиты, однако, во-первых, даже суперновам придётся выложить полторы тысячи очков за эту приблуду, ну а в-главных, обезопасить себя с помощью токена прямо сегодня не выйдет, поскольку придётся мучительно долго ожидать доставку почтой физического брелка к себе домой. В смысле оно, конечно, стоит того, но ведь я поставил слово "быстро" в заголовок этого поста неспроста. ;)

То есть, сейчас мы будем защищать себя с помощью индивидуального физического девайса, который сегодня есть у каждого и который не нужно нигде заказывать и ждать - с помощью мобилы. Самое главное, что доступ к ней удалённому злоумышленнику получить в разы труднее, чем к вашей электронной почте, например.

На всякий случай небольшой дисклеймер, что я, как истинный олдскуллер, буду показывать вам весь процесс на примере пока ещё более стабильной шестой версии клиента, на которую можно легко откатиться из седьмой.

Итак,

Как включить SMS-валидацию аккаунта на PokerStars?

Так вот, для того чтобы сделать свою жизнь комфортнее и спокойнее прямо сейчас, предлагаю выполнить следующие несложные шаги:

1. Открываем выпадающее меню учётной записи в лобби и переходим в настройки безопасности через SMS:

2. Давим на кнопку ввода номера своей мобилы:

3. Выбираем код своей страны (например, Россия), вводим оставшиеся цифры номера (можно поставить галку для получения анонсов всяких бонусов по вкусу) и сохраняем.

4. Жмём на кнопку подтверждения номера:

5. Собственно, подтверждаем кодом, полученным в SMS (буквально через пару секунд присылают, проверено на МегаФоне):

6. Ставим первую галку, чтобы разрешить клиенту старзов использовать для нашей учётки SMS-валидацию, а также настоятельно рекомендую убрать вторую, чтобы запретить возможность сброса пароля удалённо через SMS:

Всё! Завершаем процедуру нажатием кнопки "OK" и радуемся тому, что, возможно, сэкономили себе в будущем весь банкролл и кучу нервов. Особенно любопытные читатели в этом месте могут спросить: "Но подожди-ка, а как именно моя учётка стала защищённее от всего этого?" Справедливый вопрос, на который я постараюсь ответить ниже.

Как работает SMS-валидация на PokerStars?

Доподлинно неизвестно. Дело в том, что старзовские безопасники совершенно справедливо не разглашают подробности работы механизма SMS-валидации, чтобы не давать злоумышленникам лишней пищи для размышлений. Однако если подумать, то лично у меня есть несколько вариантов.

Начнём по порядку. Согласно описанию этой фичи на сайте старзов,

В случае обнаружения необычного поведения для учетной записи блокируется возможность проводить денежные тpaнзaкции. Это означает, что в Вашей учетной записи нельзя будет выполнять такие операции, как депозиты, вывод средств, пepевoды, регистрация в турнирах и участие в кэш-играх.

Также будет блокироваться возможность изменения параметров безопасности входа в систему и других важных данных.

Эти ограничения будут действовать, пока в соответствующем диалоговом окне клиентской программы PokerStars не будет введен код из SMS-сообщения. Вы сможете продолжать участие в турнирах, в которых уже зарегистрированы, что гарантирует, что Вы не потеряете уже оплаченные бай-ины.

Таким образом, возникает резонный вопрос, а что старзы будут считать "необычным поведением"? Моя версия такова: клиент собирает и отсылает информацию, как минимум, о железе, IP-адресе и операционке, на которой запущен клиент и периодически сравнивает её с той, которая используется юзером в подавляющем большинстве случаев (типа как "зарегистрированное сетевое оборудование" у интернет-провайдеров).

То есть, для того, чтобы злоумышленника приняли за вас и не заподозрили в мошенничестве, ему нужно не только в точности подделать ваш IP (хотя бы до единой подсети) с помощью какого-нибудь VPN, но ещё и знать MAC-адрес вашей сетевой карты, а также некоторые другие детали конфигурации вашей системы. Если же мошенник, как говорится, закосячит хотя бы один из этих этапов, то PokerStars тут же уведомят вас об этом по SMS, а самое главное - перекроют негодяю кислород, в том смысле что ему сразу станут недоступны ключевые денежные операции в аккаунте, как описано выше. После этого вы сможете оперативно предпринять меры по изменению паролей и других важных данных, а также сохранить свои дeньги и нервы.

Итого

Включаем SMS-валидацию, держим голову в холоде, относимся к покеру как к бизнесу. Всем безопасной игры, парни! ;)