JeuWeb - Crée ton jeu par navigateur
probabilité même ip et même mot de passe - Version imprimable

+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : probabilité même ip et même mot de passe (/showthread.php?tid=1235)

Pages : 1 2


probabilité même ip et même mot de passe - php_addict - 24-01-2013

bonjour

une petite question ayant pour thème assez polémique "les multi-comptes", et je ne veut pas relancer ce débat, mais j'ai juste une interrogation:

quelle est a votre avis (forte ou faible) la probabilité qu'un joueur ai la même ip et le même mot de passe? et si on rajoute le paramètre "proximité horaire des heures de connexions"?

je précise que je ne stocke pas les mots des passe en clair, donc la question exacte est "quelle est la probabilité qu'un joueur ai la même ip et le même mot de passe crypé (md5 ou sha peut importe...)?"

bonne fin de journée


RE: probabilité même ip et même mot de passe - niahoo - 24-01-2013

Aucune


RE: probabilité même ip et même mot de passe - Sephi-Chan - 24-01-2013

Aucune


RE: probabilité même ip et même mot de passe - Netthos - 24-01-2013

La probabilité est faible.
Mais on peut se laisser penser qu'un couple ou des personnes d'une même famille puisse avoir le même mot de passe et se connecter l'un après l'autre sur leur compte respectif.


RE: probabilité même ip et même mot de passe - Talus - 24-01-2013

au contraire, la probabilité est grande si on prend on compte les paramètre citée

- Rapprochement des connexion
- IP identique
- Même Hash de mot de passe

si tu a les trois condition tu est sure a 100% que c'est un multi compte, âpres si tu a un délais entre les 2 connexion ou bien un Hash différent
ça peut être une autre personne qui joue depuis la même IP


sinon tu peut tenter d’établir un profil de jeu, genre la façon dont le joueur agis, et tu rajoute ça au autre condition


RE: probabilité même ip et même mot de passe - Xenos - 24-01-2013

Dans l'absolue, en considérant que les paramètres ne sont pas relatifs les uns aux autres:

26 lettres minuscules + 26 majuscules + 10 chiffres + une dizaine de caractères spéciaux + caractère "NULL" = 75 caractères
Pour un mot de passe de longueur N, la probabilité qu'un autre mdp soit le même serait de:
P1 = 1/75^N
Pour N=8, qui doit probablement être la longueur classique des mdp
P1 = 1/75^10

Considérons l'ipv4, sur la plage 0.0.0.0 à 255.255.255.255. La probabilité que deux IP soient identiques est:
P2 = 1/256^4

La probabilité finale serait donc de
P = P1*P2 = 1/5.631.351.475.242.232.921

MAIS:
- La probabilité qu'il existe deux appareils, à T et T+1, qui ont la même IP est de presque 1 (c'est la raison pour laquelle ipv6 est sorti: il y a beaucoup d'appareils, peu d'adresse IPv4 disponibles, donc une même adresse ipv4 est réallouée rapidement lorsqu'elle est abandonnée).
- Les mots de passe ne sont pas des mots aléatoires, en considérant les 1.000 mdp les plus utilisés, on doit couvrir déjà bien 20% des mdp enregistrés (c'est une statistique PUREMENT SPECULATIVE, ne pas se baser dessus!)
- La probabilité ne tient pas compte de la notion de temps
- La plage d'adresses IP d'un device français est restreinte (c'est souvent les mêmes premiers chiffres qui reviennent, par exemple, 80.* ou 82.*)
- Ce calcul ne tient pas compte de l'ipv6

En revanche, un truc est très intéressant à remarquer: 256^4 << 75^10
Si les mots de passe étaient aléatoires, il serait bien plus judicieux de se baser sur l'égalité des mots de passe plutôt que sur l'égalité des adresses IP pour détecter si deux comptes appartiennent à la même personne.

Ce que ces stats tendent à prouver est donc que la probabilité d'avoir deux comptes avec une IP de connexion égale et le même mot de passe est faible.

Toutefois !
On peut considérer que si une personne utilise un PC familiale, la même IP peut revenir deux fois sur notre site. En revanche, la probabilité de même mot de passe tant à prouver que même si c'est le PC familiale, ce n'est PEUT ETRE pas deux personnes différentes. Pourquoi "peut-etre" et non pas "surement"? Car il n'est pas exclus d'avoir à faire à un couple dont le mot de passe usuel est l'anniversaire de mariage. Ces deux personnes auront donc le même mdp et seront sur le même PC.

Plusieurs autres moyens de vérifier objectivement le multi-compte avec deux comptes A et B sont:
- Corrélation des heures de connexion: on prend un compte C au hasard, on regarde les plages de connexion de C+A et de C+B, et on recommence avec d'autres comptes C. On compare ces résultats à la plage de connexion A+B. Si cette plage est totalement hors de la moyenne/écart type de C+A et C+B, alors A+B n'est probablement pas décorrélé, autrement dit, les comptes A et B sont liés (ce qui n'implique pas forcément "utilisés par la même personne").
- Corrélation des IP, si la même IP se connecte souvent à A puis à B, alors on peut penser que c'est le même PC qui est utilisé (ce qui n'implique pas que c'est la même personne)
- Suivant les habitudes de jeu des comptes A et B, on peut définir un style de jeu. Deux comptes de même style de jeu peuvent être du multi-compte
- Suivant les interactions des comptes A et B, on peut chercher si A n'avantagerai pas B (ou inversement). En ce cas, on a peut-être un mobile pour le multi-compte

Je ne veux pas lancer le débat non plus, mais si tu veux t'épargner la détection du multi-compte, tu peux essayer de déporter la solution: au lieu d'empêcher le multi-compte en lui-même, rend-le inutile, en ajoutant des conditions qui font que même si un joueur possédait 100 comptes, il ne serait pas avantagé (par exemple, l'impossibilité de faire une action favorisant un compte bien classé depuis un compte faible, ou encore, interdiction de commercer/échanger avec un compte sur lequel personne n'est connecté en ce moment même).

Un dernier élément me vient à l'esprit: c'est assez rare que les gens se déconnectent manuellement. Soit les deux comptes suspects A et B. Si le cycle suivant revient souvent:
- Quelqu'un est connecté sur A
- La personne se déconnecte manuellement de A
- Quelqu'un (peut-etre quelqu'un d'autre) se connecte sur B
- On ne se déconnecte pas manuellement de B
- Le temps passe
- Quelqu'un est connecté sur B
- La personne se déconnecte manuellement de B
- Quelqu'un (peut-etre quelqu'un d'autre) se connecte sur A
- On ne se déconnecte pas manuellement de A

Alors, tu peux penser que la personne saute d'un compte à l'autre et qu'il s'agit d'un seul utilisateur.


RE: probabilité même ip et même mot de passe - Talus - 24-01-2013

analyser le cycle de jeu/connexion des supposer multi-compte peut être une piste inintéressante

mais l’idée de rendre totalement inutile le multi-compte est ma préféré, il me semble que OneOverNyne le pratique


RE: probabilité même ip et même mot de passe - Ter Rowan - 24-01-2013

si je devais jouer en multi, je n'utiliserais pas le même mot de passe

donc pas significatif a mon avis pour analyser


RE: probabilité même ip et même mot de passe - niahoo - 24-01-2013

(24-01-2013, 05:38 PM)Talus a écrit : au contraire, la probabilité est grande si on prend on compte les paramètre citée

- Rapprochement des connexion
- IP identique
- Même Hash de mot de passe

si tu a les trois condition tu est sure a 100% que c'est un multi compte, âpres si tu a un délais entre les 2 connexion ou bien un Hash différent
ça peut être une autre personne qui joue depuis la même IP


sinon tu peut tenter d’établir un profil de jeu, genre la façon dont le joueur agis, et tu rajoute ça au autre condition

Tu as compris la question à l'envers mais on est d'accord Smile

(24-01-2013, 05:13 PM)php_addict a écrit : bonjour

une petite question ayant pour thème assez polémique "les multi-comptes", et je ne veut pas relancer ce débat, mais j'ai juste une interrogation:

quelle est a votre avis (forte ou faible) la probabilité qu'un joueur ai la même ip et le même mot de passe qu'un autre joueur ? et si on rajoute le paramètre "proximité horaire des heures de connexions"?

je précise que je ne stocke pas les mots des passe en clair, donc la question exacte est "quelle est la probabilité qu'un joueur ai la même ip et le même mot de passe crypé (md5 ou sha peut importe...)qu'un autre joueur ?"

bonne fin de journée

fixed, au fait.

Quelle est la différence entre une poule ?

(24-01-2013, 08:10 PM)Ter Rowan a écrit : si je devais jouer en multi, je n'utiliserais pas le même mot de passe

donc pas significatif a mon avis pour analyser

Mais il joue peut-être tout simplement en multi sans penser à mal. Dans ce cas, pourquoi se compliquer ? à mon avis c'est plutot ça, (ou alors il est stupide).


RE: probabilité même ip et même mot de passe - Holy - 24-01-2013

(24-01-2013, 08:10 PM)Ter Rowan a écrit : si je devais jouer en multi, je n'utiliserais pas le même mot de passe

donc pas significatif a mon avis pour analyser
Ca peut être significatif, mais pas exclusif. Sur Terres de Cy sur 1500 comptes, j'ai du choper une bonne centaine de multi-comptes en me basant sur une détection via les doublons de mot de passe. A partir de cette détection, je vérifiais les autres paramètres.

J'ai développé pas mal d'outils de détection de multi-comptes et à mon sens l'IP n'est vraiment plus une donnée fiable. Et ce d'autant plus qu'avec les connexions mobiles les ponts sont nombreux. Je compte plus le nombre de connexion à partir d'une même IP de joueurs qui n'avaient aucun rapport.

En revanche, une technique que je considère comme très fiable et extrêmement puissante : la comparaison des timers des logs. Ce système nécessite une solide gestion des logs, mais si c'est bien géré, ça permet quasiment de détecter les multi-comptes à coup sûr. J'avais des logs de ce genre là :
# Joueur 1
[15:04:49] Achète un objet sur le marché.
[15:05:18] Poste un message sur le forum.
[15:05:20] Lit un message sur le forum

# Joueur 2
[15:05:01] Achète un objet sur le marché.
[15:05:04] Modifie son profil
[15:05:10] Lis un message sur le forum
Cela me permettait d'avoir des plages d'activité (à la seconde prêt) et lorsqu'une personne utilisait deux comptes au même moment cela apparaissait de façon transparente (y avait un switch entre les comptes). Comme tous les autres systèmes, ça n'est pas un système infaillible, il faut savoir le lire, mais combiner à des critères simples de détection, ça permet de ne pas perdre dix mille ans en conjecture et en analyse compliquée afin de "prouver" qu'il y a bel et bien multi ou partage de comptes. Je trouve que c'est une approche pragmatique qui permet de se concentrer sur d'autres choses tout en étant assez efficace.