《魔兽世界》防盗号手段的一些设想

2007-11-17 14:04:14  作者：未知  来源：http://#    文字大小：【大】【中】【小】

 《魔兽世界》盗号风行，即使九城推出了密保卡，严峻的情况依然没多少改变。

    已经早有人道出：金币公司出售的金币大部分来自盗号集团，如果金币供应量真实充足（非欺骗）前提下，单靠雇用游戏Farmer赚金币是无法满足市场需求。盗号可以是个人行为，为满足变态心理需要或虚拟物资需求的行为；但出于真实人民币利益考虑，通过盗号获取的游戏金币无论成本、时间、数量，绝对比雇用Farmer刷效率更高更符合经济利益。

    既然盗号成风已经事实，为了挽回损失保障玩家合法利益,还可以通过一些手段进行补救...

 一、彻底根治

    所谓从源头上抓起，效果最明显，道理也很简单，但实行最困难；互联网上的盗号犯罪除了网络警察的处理，还有官方的打击盗号行动。始终还是太被动了，而且未必有效。

    11月15号在九城官网出现的《打击盗号行为！杜绝金币交易！》公告，建立在长期无数客户损失的基础上，只能说来得太迟；监控被盗号者金币大量流动为手段也是一种有效方式，但别忘了一句“上有政策，下有对策”，现在也只能观望成效了。

 

二、防范于未然

    从盗号风行后，防范盗号的文章很多，玩家主动防范盗号的手段很多：

  1、专属木马杀毒软件：除非是即时监控及查杀，需要耗费电脑资源，否则难到每次启动游戏前都先杀毒。

  2、错位输入法：操作复杂，安全性也不能保证。

  3、粘贴法：事前在txt文本上输入密码，然后复制密码，才运行游戏再输入帐号及粘贴密码。

  3、运行OSK软键盘：如果盗号程序带有截图功能也能破解。

  4、注意个人保护意识：防范线上骗子、伪装网页、点卡交易木马等盗号手段。

  5、拒绝陌生网吧黑网吧，在网吧使用电脑之前先重启，不使用任何游戏外挂及不明插件。

  6、密保卡：以前没有它，盗号如此猖獗，现在有了它，稍微停息后依然猖獗。

  7、封防火墙网卡某端口：网络高手会玩的东西，平民玩家只能轻叹。

  8、也可以用最原始最安全的方法：格式硬盘，重装系统，官网下载客户端，不开任何非官方网页，不外接任何储存设备，不使用任何插件程序……… 安全度应该可以100％了。

 

三、亡羊补牢

  1、通行证登陆密码不要与游戏帐号登陆重复。

  2、九城通行证安全关卡：不能说安全，但当你确定被盗号瞬间，账号冻结安全锁是你最后的生机！如果意识够强，启动游戏前就把页面打开吧，瞬间切屏输入冻结密码应该不超过15秒。

  3、手机安全锁：11月15公告的安全策略之一，和上面安全锁差不多，关键也是输入速度……试运行阶段同样观望。

    方法很多，限制条件也不少，但我只想说，玩网游何必要像《魔兽世界》那么累吗？本来轻松的游戏，到了启动关键时刻还需要绷紧神经回忆防盗号技巧……..没办法！谁让魔兽世界太‘红’了！

 

四、密保卡不密对策

    尽管九城推出的超强密保卡，现在还是给盗号犯破了。密保卡不再绝对安全，但总比没有好。通过密保卡的使用界面，我觉得是针对原始的直接偷窃按键位木马，通过点击鼠标截图的木马。

    首先要让玩家清楚，当你中木马后，正常登陆的帐号密码一次已经足够被盗取了，剩下的是通过一定次数的实验取得矩阵数才能真正盗号成功。

    现在能破解密保卡的‘矩阵终结者’类的木马，通过诱导玩家因为‘密码错误’‘掉线’而多次登陆输入矩阵数，获取矩阵数而破解密保卡进入游戏。关于‘矩阵终结者’的盗号原理资料，可上互联网搜索有很多说明，这里不解释。

针对矩阵终结者类的木马

    1、魔兽世界玩家应该密切关注每个版本更新时的Launcher.exe WoW.exe相关数据；校验MD5码检测是否与官方补丁一致就是一个简单方法，谨慎的话每次登陆前也校验吧。

    2、玩家输入密码出现‘错误’时候，请注意了，你有一定几率中了木马，请十分地认真输入一次正确的密码及矩阵数（次数越多越危险，慎重！），如果依然出现‘错误提示’，你可以初步判定中了木马。必要安全措施先锁帐号再处理。

    3、玩家输入密码出现‘错误’时候，而你怀疑中木马，可以乱输入矩阵数，观测每次矩阵位置位是否‘随机’出现。（有一种木马利用伪程序代替原有客户端登陆器而锁死矩阵出现的位置，通过令玩家重复输入相同位置的矩阵数）

    4、正常进入游戏情况下，如果无故“突然整个游戏界面消失”了，万全之策先上安全锁，因为这种情况属于异常。其一，逼使玩家重新登陆再获取数据；其二，盗号者已经在实施盗号。

    虽然我不熟悉矩阵盗数据的原理，隐藏及旋转的0～9阿拉伯数字依然能被木马认出数字，如果在密保卡旋转数字栏中添加随机位置应该更好吧？

 

 五、游戏防盗设计

    外来的东西应该按国情需要合理更改或增添设计适应环境，虽然《魔兽》设计师不希望游戏界面操作复杂化，对于中国玩家被盗号的问题，还是应该考虑额外设计方案。

    例如：现在拍卖行系统的变化，成功拍卖后，取款需1小时才能通过邮箱获得货物出售的金币，实际上只是时间延迟，而没有任何损失，但可以一定程度阻止了盗号者在本号销脏的途径。

   虽然我不熟悉盗号者惯用的销脏转移手段，但可以肯定：在被盗者ID上直接销脏可以降低盗号犯ID被发现的几率；被盗者ID有可能短时间内被主人冻结帐号，所以延长交易时间的手段方式一定程度可以挽回损失。

 

增添删除人物角色所需时间

    删除角色的理由很多：永别游戏、心情影响（冲动、不小心）、删除失败作品（重练）、系统（合服、违规等）需求删除、盗号者恶意删除等。

    针对盗号犯其中一种习惯，三光政策：能盗就盗，不能盗则删，来不及盗的也删；目的是减少虚拟世界的物品（《魔兽》被删除的虚拟物品基本上无法恢复)，总量减少，间接物价稍微提升，如果你恢复角色游戏，赤裸的人物角色某程度上逼使你购买盗号者的金币再次打造自己角色。

    打造一个游戏人物时间远远大于删除瞬间的时间，而删除一个游戏人物的意义也远远没有打造一个游戏人物重要，其次九城提供的恢复人物帐号客服服务，尽管相对人性化。但游戏角色自身数据只是一个很重要的属性，它还附带其他物品数据损失无法挽回，减少非必要的删除操作才是真正目的

优点：1、多次无意义的删除及建立人物，一定程度加重后台数据处理压力；

      2、设置删除时间的障碍可以培养玩家慎重建立角色的观念；

      3、让玩家有考虑的余地，及打消冲动的念头；

      4、实际上只是时间的延长，并没有真正的损失，但却是一种很好的挽回手段。

例如  1～9级角色：申请删除要求，倒计时1分钟后自动删除。

    10～19级角色：申请删除要求，倒计时1小时后自动删除。

    20～29级角色：申请删除要求，倒计时4小时后自动删除。

    30～39级角色：申请删除要求，倒计时8小时后自动删除。

    40～49级角色：申请删除要求，倒计时12小时后自动删除。

    50～59级角色：申请删除要求，倒计时24小时后自动删除。

    60～69级角色：申请删除要求，倒计时36小时后自动删除。

    70～79级角色：申请删除要求，倒计时48小时后自动删除。

  

银行可以存放金币、银行保可以设置密码锁

    这是比较多中国玩家会想到的想法，因为在别的网游产品上，这是很常见的设置。作为游戏设计师，假如游戏内不存在：携带金钱不会因死亡丢失（如：Diablo2）、携带金钱被玩家、怪物、NPC夺取、携带金钱不受容量、重量、上限等限制；那么玩家角色把所有金币携带在身上是最佳的方式。

    特殊在游戏外：盗号者的参与，相当于2号操作玩家的存在，把所以金币通过交易途径转移了。

 

帐号角色单独设置密码

    一种称为‘仓库号’游戏角色，一般是职业玩家都会建造的角色，这种角色适合存放贵重物、非常用物、收藏品甚至存放金币。有部分游戏(如《三国群英传OL》)会提供角色单独帐号设置密码的功能，不需要该功能时候，密码可以空置。

    这种功能更多是使用在共享帐号上（请朋友打理帐号中指定角色，锁定其余角色保密等等），应用在防盗号上效果也是一样。

 

邮寄物资与锁定帐号功能挂钩

    牵涉游戏系统及官网后台，做起来很复杂，而且只能阻断脏物流通的其中一手段，并不唯一，所以说说罢了！

    当角色在野外时候，炉石回旅店记忆点后，最佳的交易手段是――通过旅店傍边的邮箱邮寄脏物。当然也可以直接交易盗号犯ID角色（所以说不是唯一）。

    邮寄对象为非本帐号角色时：金币马上发送成功，对方马上能接收，

                            物品马上发送成功，对方1小时后才能成功接收。

    当玩家被盗号后，即使马上锁定帐号，盗号犯先前通过邮寄方式盗取物资依然生效，如果锁定帐号与邮寄物资挂钩，中止继续通过邮寄发送给对象，而退回主人邮箱内。

    为了防止滥用功能，但凡锁定帐号操作需1小时CD（解冻时间）。

 

大金额交易密码、交易密码等级

    顾名思义，也是随便写写而已，大金额交易密码，在设置中可以自由交易密码限制的金额范围。

    交易密码等级，与好友列表挂钩，把好友分等级…….（绝对会与G团冲突，其实G团是一个拜金主义的分配方式，个人观点不赞同）

    细节起来其实很复杂，自由发挥想像吧，后面省略…….

  

六、关于邮寄帐号金币的恶意脚本

    这是我从朋友的口中得知，一般多发生在网吧上，登陆游戏后，画面很卡机，屏幕几乎定住了，当可以操作角色时候，发现角色身上的所以金币不翼而飞。

    这种情况大概分析为：当你登陆角色登入游戏后，脚本自动运行把角色金币邮寄给指定帐号角色了。

    如果根据前文提及到的方法也可以解决，也可以通过登陆游戏后让玩家输入验证码。除了登陆前的安全检查，暂时只能把金币分散存放在‘仓库号’减少损失了。

 

繁琐的密码整理

    以上提案，设置太多的密码一定会让不少玩家厌烦，所以在官网通行证安全卡上给予玩家选择‘密码组’和‘线上安全等级’等功能。‘密码组’意思就是让玩家事先自由设置不同的密码组别，‘线上安全等级’是根据玩家需求的选择，开放或关闭某些界面的密码功能。

密码组：  密码①组：9413    密码②组：5354    密码③组：7086

安全等级 高：银行密码 ③  角色单独锁定密码 ①    大额交易密码②    邮寄密码①    等等

安全等级 中：银行密码 ③  角色单独锁定密码 ③    大额交易密码（关） 邮寄密码（关）

安全等级 低：银行密码 ②  角色单独锁定密码（关） 大额交易密码（关） 邮寄密码（关）

    密码组设置后可以自由代入需要的项目中，同样进入游戏后有提示“请您输入第N组密码”

 

总结

    听起来很不可能吧？因为《魔兽》是外来的游戏，修改必须经得暴雪同意，防盗号手段一定程度可以通过官网通行证对游戏角色数据监管，那是人家的游戏，不轮到运营商想怎样想就怎样改！还是国产自己研发好，起码主动权在自己手上；不奢望《魔兽》会为盗号风而添改设计，更希望以后的国产作品设计开发上要顾及这样的国情。

    前文的例子已经说明了，目前只有：通过拖延时间，令玩家被盗号瞬间挽回损失；以及通过多层密码增加盗号犯的作案难度；总体来说，还是劳烦玩家。

    除了多层密码，我真的想不到还有什么方法可以抵御现在盗号犯的黑手，即使密码还是密码，难到玩游戏真的需要指纹识别或者瞳孔识别器吗？！不管打击源头，还是预防措施，更应该从设计上考虑！还是无尽地等待国家相关法律出台才能制止盗号风？