24-01-2013, 05:40 PM
Dans l'absolue, en considérant que les paramètres ne sont pas relatifs les uns aux autres:
26 lettres minuscules + 26 majuscules + 10 chiffres + une dizaine de caractères spéciaux + caractère "NULL" = 75 caractères
Pour un mot de passe de longueur N, la probabilité qu'un autre mdp soit le même serait de:
P1 = 1/75^N
Pour N=8, qui doit probablement être la longueur classique des mdp
P1 = 1/75^10
Considérons l'ipv4, sur la plage 0.0.0.0 à 255.255.255.255. La probabilité que deux IP soient identiques est:
P2 = 1/256^4
La probabilité finale serait donc de
P = P1*P2 = 1/5.631.351.475.242.232.921
MAIS:
- La probabilité qu'il existe deux appareils, à T et T+1, qui ont la même IP est de presque 1 (c'est la raison pour laquelle ipv6 est sorti: il y a beaucoup d'appareils, peu d'adresse IPv4 disponibles, donc une même adresse ipv4 est réallouée rapidement lorsqu'elle est abandonnée).
- Les mots de passe ne sont pas des mots aléatoires, en considérant les 1.000 mdp les plus utilisés, on doit couvrir déjà bien 20% des mdp enregistrés (c'est une statistique PUREMENT SPECULATIVE, ne pas se baser dessus!)
- La probabilité ne tient pas compte de la notion de temps
- La plage d'adresses IP d'un device français est restreinte (c'est souvent les mêmes premiers chiffres qui reviennent, par exemple, 80.* ou 82.*)
- Ce calcul ne tient pas compte de l'ipv6
En revanche, un truc est très intéressant à remarquer: 256^4 << 75^10
Si les mots de passe étaient aléatoires, il serait bien plus judicieux de se baser sur l'égalité des mots de passe plutôt que sur l'égalité des adresses IP pour détecter si deux comptes appartiennent à la même personne.
Ce que ces stats tendent à prouver est donc que la probabilité d'avoir deux comptes avec une IP de connexion égale et le même mot de passe est faible.
Toutefois !
On peut considérer que si une personne utilise un PC familiale, la même IP peut revenir deux fois sur notre site. En revanche, la probabilité de même mot de passe tant à prouver que même si c'est le PC familiale, ce n'est PEUT ETRE pas deux personnes différentes. Pourquoi "peut-etre" et non pas "surement"? Car il n'est pas exclus d'avoir à faire à un couple dont le mot de passe usuel est l'anniversaire de mariage. Ces deux personnes auront donc le même mdp et seront sur le même PC.
Plusieurs autres moyens de vérifier objectivement le multi-compte avec deux comptes A et B sont:
- Corrélation des heures de connexion: on prend un compte C au hasard, on regarde les plages de connexion de C+A et de C+B, et on recommence avec d'autres comptes C. On compare ces résultats à la plage de connexion A+B. Si cette plage est totalement hors de la moyenne/écart type de C+A et C+B, alors A+B n'est probablement pas décorrélé, autrement dit, les comptes A et B sont liés (ce qui n'implique pas forcément "utilisés par la même personne").
- Corrélation des IP, si la même IP se connecte souvent à A puis à B, alors on peut penser que c'est le même PC qui est utilisé (ce qui n'implique pas que c'est la même personne)
- Suivant les habitudes de jeu des comptes A et B, on peut définir un style de jeu. Deux comptes de même style de jeu peuvent être du multi-compte
- Suivant les interactions des comptes A et B, on peut chercher si A n'avantagerai pas B (ou inversement). En ce cas, on a peut-être un mobile pour le multi-compte
Je ne veux pas lancer le débat non plus, mais si tu veux t'épargner la détection du multi-compte, tu peux essayer de déporter la solution: au lieu d'empêcher le multi-compte en lui-même, rend-le inutile, en ajoutant des conditions qui font que même si un joueur possédait 100 comptes, il ne serait pas avantagé (par exemple, l'impossibilité de faire une action favorisant un compte bien classé depuis un compte faible, ou encore, interdiction de commercer/échanger avec un compte sur lequel personne n'est connecté en ce moment même).
Un dernier élément me vient à l'esprit: c'est assez rare que les gens se déconnectent manuellement. Soit les deux comptes suspects A et B. Si le cycle suivant revient souvent:
- Quelqu'un est connecté sur A
- La personne se déconnecte manuellement de A
- Quelqu'un (peut-etre quelqu'un d'autre) se connecte sur B
- On ne se déconnecte pas manuellement de B
- Le temps passe
- Quelqu'un est connecté sur B
- La personne se déconnecte manuellement de B
- Quelqu'un (peut-etre quelqu'un d'autre) se connecte sur A
- On ne se déconnecte pas manuellement de A
Alors, tu peux penser que la personne saute d'un compte à l'autre et qu'il s'agit d'un seul utilisateur.
26 lettres minuscules + 26 majuscules + 10 chiffres + une dizaine de caractères spéciaux + caractère "NULL" = 75 caractères
Pour un mot de passe de longueur N, la probabilité qu'un autre mdp soit le même serait de:
P1 = 1/75^N
Pour N=8, qui doit probablement être la longueur classique des mdp
P1 = 1/75^10
Considérons l'ipv4, sur la plage 0.0.0.0 à 255.255.255.255. La probabilité que deux IP soient identiques est:
P2 = 1/256^4
La probabilité finale serait donc de
P = P1*P2 = 1/5.631.351.475.242.232.921
MAIS:
- La probabilité qu'il existe deux appareils, à T et T+1, qui ont la même IP est de presque 1 (c'est la raison pour laquelle ipv6 est sorti: il y a beaucoup d'appareils, peu d'adresse IPv4 disponibles, donc une même adresse ipv4 est réallouée rapidement lorsqu'elle est abandonnée).
- Les mots de passe ne sont pas des mots aléatoires, en considérant les 1.000 mdp les plus utilisés, on doit couvrir déjà bien 20% des mdp enregistrés (c'est une statistique PUREMENT SPECULATIVE, ne pas se baser dessus!)
- La probabilité ne tient pas compte de la notion de temps
- La plage d'adresses IP d'un device français est restreinte (c'est souvent les mêmes premiers chiffres qui reviennent, par exemple, 80.* ou 82.*)
- Ce calcul ne tient pas compte de l'ipv6
En revanche, un truc est très intéressant à remarquer: 256^4 << 75^10
Si les mots de passe étaient aléatoires, il serait bien plus judicieux de se baser sur l'égalité des mots de passe plutôt que sur l'égalité des adresses IP pour détecter si deux comptes appartiennent à la même personne.
Ce que ces stats tendent à prouver est donc que la probabilité d'avoir deux comptes avec une IP de connexion égale et le même mot de passe est faible.
Toutefois !
On peut considérer que si une personne utilise un PC familiale, la même IP peut revenir deux fois sur notre site. En revanche, la probabilité de même mot de passe tant à prouver que même si c'est le PC familiale, ce n'est PEUT ETRE pas deux personnes différentes. Pourquoi "peut-etre" et non pas "surement"? Car il n'est pas exclus d'avoir à faire à un couple dont le mot de passe usuel est l'anniversaire de mariage. Ces deux personnes auront donc le même mdp et seront sur le même PC.
Plusieurs autres moyens de vérifier objectivement le multi-compte avec deux comptes A et B sont:
- Corrélation des heures de connexion: on prend un compte C au hasard, on regarde les plages de connexion de C+A et de C+B, et on recommence avec d'autres comptes C. On compare ces résultats à la plage de connexion A+B. Si cette plage est totalement hors de la moyenne/écart type de C+A et C+B, alors A+B n'est probablement pas décorrélé, autrement dit, les comptes A et B sont liés (ce qui n'implique pas forcément "utilisés par la même personne").
- Corrélation des IP, si la même IP se connecte souvent à A puis à B, alors on peut penser que c'est le même PC qui est utilisé (ce qui n'implique pas que c'est la même personne)
- Suivant les habitudes de jeu des comptes A et B, on peut définir un style de jeu. Deux comptes de même style de jeu peuvent être du multi-compte
- Suivant les interactions des comptes A et B, on peut chercher si A n'avantagerai pas B (ou inversement). En ce cas, on a peut-être un mobile pour le multi-compte
Je ne veux pas lancer le débat non plus, mais si tu veux t'épargner la détection du multi-compte, tu peux essayer de déporter la solution: au lieu d'empêcher le multi-compte en lui-même, rend-le inutile, en ajoutant des conditions qui font que même si un joueur possédait 100 comptes, il ne serait pas avantagé (par exemple, l'impossibilité de faire une action favorisant un compte bien classé depuis un compte faible, ou encore, interdiction de commercer/échanger avec un compte sur lequel personne n'est connecté en ce moment même).
Un dernier élément me vient à l'esprit: c'est assez rare que les gens se déconnectent manuellement. Soit les deux comptes suspects A et B. Si le cycle suivant revient souvent:
- Quelqu'un est connecté sur A
- La personne se déconnecte manuellement de A
- Quelqu'un (peut-etre quelqu'un d'autre) se connecte sur B
- On ne se déconnecte pas manuellement de B
- Le temps passe
- Quelqu'un est connecté sur B
- La personne se déconnecte manuellement de B
- Quelqu'un (peut-etre quelqu'un d'autre) se connecte sur A
- On ne se déconnecte pas manuellement de A
Alors, tu peux penser que la personne saute d'un compte à l'autre et qu'il s'agit d'un seul utilisateur.