访问非官方的EVE Online网站时,可能会提示用户使用EVE Online账号凭证登录。这可能会影响到用户的账号安全。不过,也有网站正在使用EVE Online单点登录(SSO)。SSO能让用户安全将其账号信息上传至EVE Online登录服务器,以便网站确认玩家拥有某个特定人物。
访问非官方CCP网站时,如果系统提示你提交账号凭据,请注意以下几点:
用户应确保要求提供登录信息的站点安全无虞。
为了确定站点是否安全,请参考下文“如何安全使用SSO”部分。使用真实可靠的SSO意味着该网站无法看到你的账号凭据(用户名或密码)。SSO只会确认人物是否存在于账号中。
如果对网站的安全性或真实性有任何疑问,请勿输入任何账号信息。
如遇任何可疑站点,请上报至security@ccpgames.com
你可以在下文中了解更多关于SSO的信息。
何为SSO?
SSO,也称为单点登录,它是一种使用另一个网站的用户名和密码登录某一网站或应用程序的方法。例如,https://www.goodreads.com/会要求使用Facebook、Twitter、Google甚至是Amazon账号登录。
对Goodreads来说这相当不错,这意味他们不必担心管理注册用户的账号和密码信息。
这样做的另一个好处就是登录他们的网站变得容易许多,既不用注册,也不必记住多组账号名称和密码。
于EVE Online而言,SSO是指登录一个整合了EVE SSO功能的网站,并可以验证某个人物的情况。
在登录网站时,系统会选择一个人物用于身份验证,然后该网站将通过EVE SSO获取来自CCP的确认反馈,以验证该人物的所有权。
原网站只能获取人物信息。他们永远不会接触账号名称或密码信息。原网站不会知道该人物在哪个账号下,也不会有任何途径将该人物与同账号下的其他人物联系起来。
SSO看起来像这样:
如何安全使用SSO
SSO系统就其本质而言,就是守护着大门的守卫。在我们的例子中,它保护着能够访问虚拟身份的人。可惜的是,现在网络上到处盘踞着不法分子,等待时机来牟取暴利或获取好处,而且为实现其目标,他们乐于无所不用其极。
他们试图通过网络诱骗、欺骗官方及门户网站等社交和技术手段,诱骗人们向其提供账号凭证。
话说回来,如何尽可能安全地使用SSO呢?幸运的是,如今的工具和技术能为我们提供大量有关信任关系和通信安全的信息。
通过利用这些信息,我们可以判断我们是否遭到了攻击。如果想要安全使用我们的SSO,整个流程如下。
在输入任何凭证前,先验证是否已安全连接至正确网址。我们的SSO只有一个合法的域名和主机名组合,那就是login.eveonline.com。
另外,需确保连接是通过https:(注意带有“s”)进行的,切勿输入任何纯文本格式的凭证信息,也不要使用未经验证的http:连接。
检验连接是否经过安全加密和验证此处是验证对话框的例子;可通过在Chrome浏览器中,点击URL栏左侧的小锁图标来显示对话框。
如今现代浏览器都提供如图所示或类似的概要信息,用于验证SSO连接的信任关系及其采用的加密安全等级。
手动验证证书
通过手动验证网络资源连接的证书,可以验证证书所使用的域名及其有效期。
最后遵循这些建议有助于降低账号凭据被盗的风险。
同时,若发现我们的SSO存在任何误导性、不实性或滥用问题,请发送电子邮件向security@ccpgames.com上报。