Безопасность учетных записей Epic Games
16.04.2019
Автор: Кендалл Смит
Попытки взлома учетных записей Epic
Система учетных записей Epic лежит в основе Fortnite, магазина Epic Games и Unreal Engine. Безопасность этой системы ни разу не была нарушена. Тем не менее, злоумышленникам удалось взломать некоторые отдельные учетные записи Epic с использованием списков адресов электронной почты и паролей, полученных с других взломанных сайтов.
Если вы используете одни и те же адрес электронной почты и пароль для учетной записи Epic и какого-либо другого сайта, который был взломан, ваша учетная запись находится под угрозой. Чтобы защитить свою учетную запись Epic, используйте уникальный пароль и включите многофакторную аутентификацию.
Если вы используете один и тот же адрес электронной почты для учетной записи Epic и какого-либо взломанного сайта, но разные пароли, ваша учетная запись в безопасности. Тем не менее, в этом случае вы можете получать от Epic сообщения о попытках входа в вашу учетную запись.
Наконец, некоторые новые пользователи при создании учетной записи обнаруживают, что их адрес электронной почты уже связан с учетной записью Epic. Это последствия недавней атаки, в ходе которой ботнет создал миллионы неактивных учетных записей Epic с использованием известных адресов электронной почты. Мы работаем над удалением этих учетных записей. Если при создании новой учетной записи Epic вы получаете сообщение, что учетная запись с таким адресом электронной почты уже существует, сбросьте ее пароль, чтобы получить к ней доступ.
Включение многофакторной аутентификации
Многофакторная аутентификация (МФА) — основное средство защиты вашей учетной записи от несанкционированного доступа. На данный момент мы поддерживаем два способа МФА: с помощью электронной почты и с помощью приложения. Если включена многофакторная аутентификация, то при использовании нового устройства или после длительного отсутствия активности для выполнения входа необходимо ввести уникальный код.
Рекомендуем использовать приложение для аутентификации на смартфоне, такое как Authy, Google Authenticator или другие сервисы, для хранения кодов МФА и управления ими.
Также мы поддерживаем аутентификацию с помощью электронной почты. Если включена МФА с использованием электронной почты, безопасность вашей учетной записи Epic всецело зависит от безопасности вашей учетной записи электронной почты, поэтому следует позаботиться о надежной защите последней.
В будущем мы также реализуем поддержку аутентификации с помощью SMS (текстовых сообщений).
При включении МФА для учетной записи, которая использовалась для игры в Fortnite, вы получите бесплатный танец Boogie Down в Fortnite. Следуйте этому руководству, чтобы настроить МФА для вашей учетной записи Epic Games!
Безопасность пароля
При создании учетных записей на любой онлайн-платформе, включая Epic Games, всегда используйте надежный пароль. Пароль для каждой учетной записи должен быть уникальным. Используйте генератор или диспетчер паролей для их хранения и избегайте слишком коротких или простых паролей.
В качестве дополнительного уровня защиты учетных записей мы постоянно отслеживаем сочетания адресов электронной почты и паролей, попавшие в открытый доступ с других ресурсов, и автоматически блокируем эти учетные записи, требуя сменить пароль при следующем входе. Эта система безопасности используется внутри Epic и основана на хешированных паролях, поэтому ваши данные никогда не покидают пределов нашей платформы.
Кроме того, мы начали проверять надежность новых паролей, сопоставляя их со списком взломанных паролей «Pwned Passwords (версия 4)» на портале Have I Been Pwned, прежде чем применять их к учетной записи. Это помогает предотвратить использование паролей, уже известных злоумышленникам.
Безопасность внешних учетных записей
Безопасность вашей учетной записи Epic зависит от безопасности внешних учетных записей, привязанных к ней, так как взломанную внешнюю учетную запись можно использовать для входа в учетную запись Epic. К привязанным внешним учетным записям следует применить те же меры предосторожности, что и к учетной записи Epic. Лучший способ защиты — использовать уникальные пароли и включить МФА для внешних учетных записей (Playstation Network, Xbox Live, Nintendo, Facebook, Google).
Подтверждение адреса электронной почты
В ближайшем будущем Epic будет требовать подтверждение адреса электронной почты при создании всех новых учетных записей. А пока вы можете вручную подтвердить свой адрес электронной почты, следуя инструкциям здесь.
Выявление взломанных учетных записей
Система учетных записей Epic выявляет самые различные нарушения безопасности учетных записей, и мы добавляем новые способы обнаружения. Если ваш адрес электронной почты подтвержден и мы обнаружим, что ваша учетная запись взломана, мы заблокируем ее, чтобы предотвратить дальнейший доступ, и немедленно приступим к сбросу пароля по электронной почте.
В течение 2019 года мы будем добавлять новые способы обнаружения для выявления и предотвращения атак.
Атаки на системы Epic в прошлом
За время своего существования компания Epic запускала другие онлайн-сервисы, не связанные с системой учетных записей Epic Games. В 2016 году были взломаны форумы Epic vBulletin, в результате чего были раскрыты учетные данные для входа на форум, которые в дальнейшем были сброшены. С тех пор мы перевели все наши форумы на систему учетных записей Epic Games.