Bitcoin-Central, discussion, questions-réponses

[glub0x]

aussi le serveur laag genre 4 minutes/ ordre non?

[1714809400]

1714809400

[1714809400]

1714809400

[1714809400]

1714809400

[1714809400]

1714809400

[nicoin]

Situation resolue, la balance est correcte maintenant - ouf

Dans la meme situation, transfere le 2/04 et apres 8 jours, les BTC ne sont pas la (sur la nouvelle adresse). Pas de reponse au ticket malgre des emails repetes. Vive le transfer d'argent immediat

[Eluc]

Bonjour
j aimerais securiser mon compte
il n y a pas d infos sur le fonctionnement de google authenticator.
Comment cela fonctionne t il? Faut il une adresse email google pour l utiliser?
cdlt

Salut,
Google Authentificator est une super sécurité mais il faut être très attentif car on peut perdre les accès à ses comptes en cas de perte du téléphone contenant l'application.

Donc en gros c'est un logiciel que tu télécharges généralement sur ton téléphone Android, iPhone (iPod Touch) ou Windows Mobile (ou autres qui ont un client alternatifs), qui va ensuite générer des codes à 6 chiffres qui changent chaque minutes. Ces codes sont générés à partir d'une clé privée et de l'heure/date du moment. Sauf erreur il doit y avoir une erreur admise de plus ou moins 1 minutes ou 30s je ne sais plus exactement (le code de la minute d'avant et de la minute d'après sont aussi valables, sans réduire de manière significative la sécurité du système) donc ton appareil doit être à l'heure.

Pas besoin de compte google, ni même de connexion internet ou cellulaire (c'est totalement offline). Certaines banques ou entreprises utilisent des porte clé avec un code qui change chaque minutes basé sur le même principe.

Si tu actives Google Auth. sur un compte gmail, tu devras donc en plus de ton login et mot de passe entrer le code de la minute en cours qui s'affiche dans l’application Google Auth. de ton smartphone. Donc pour se connecter à ton compte il faut te voler ton login, ton mot de passe ET ton téléphone (ou ta clé privé Google Auth).

Attention cela veut dire que sans ton téléphone (panne, perte, vol) tu n'as plus accès à tes comptes de cette manière. Mais pour récupérer l'accès à ton compte tu as des alternatives:

Google (gmail):
1) envoyer un code de vérification à un numéro de mobile de secours (deuxième téléphone, celui de ta femme, copine, meilleur ami...)
2) avoir une liste de code de secours dans son porte monnaie ou dans un coffre pour se connecter sans Google Auth.
3) avoir des appareils de confiances qui ne nécessite pas Goolge Auth pour se connecter (son PC privé à la maison par exemple).

Par contre sur Bitcoin-Central ou MtGox tu n'auras pas ces moyens de récupérer l'accès à ton compte, il te faudra donc sauvegarder ta clé privée (donnée souvent sous forme de QR code qu'il faudra déchiffrer et sauver soigneusement en sécurité !) soit en sauvegardant les data de ton applications Google Auth dans le smartphone (à l'aide de Titanium Backup par exemple, là aussi la sauvegarde doit être en sécurité).

Le mieux est d'essayer Google Auth en réfléchissant bien sur la manière de récupérer chaque compte en cas de perte du mobile. Et pour être sûr d'avoir pensé à tout, mets ton mobile dans un tiroir et fait l'exercice de récupérer les accès sans l'utiliser. Si tu y arrives lance toi et tu gagneras beaucoup en sécurité.

[benkebab]

Résumé très intéressant. Est-ce que tu peux confirmer la manip pour Bitcoin-Central?
1) si j'ai déjà ajouté la validaion en 2 étapes il faut que je la désactive, puis que je la redemande en prenant soin d'imprimer le QR code cette fois?
2) je peux aussi sauvegarder mon appli google auth avec une applicationd de backup, et transférer sur un support de confiance?

[Eluc]

Résumé très intéressant. Est-ce que tu peux confirmer la manip pour Bitcoin-Central?
1) si j'ai déjà ajouté la validaion en 2 étapes il faut que je la désactive, puis que je la redemande en prenant soin d'imprimer le QR code cette fois?
2) je peux aussi sauvegarder mon appli google auth avec une application de backup, et transférer sur un support de confiance?

Exact c'est les 2 choses possibles sur Bitcoin-Central (et MtGox sauf erreur). Pour le 1) tu peux resortir la clé du QRcode si tu préfère mais une copie image du code est plus sûr je dirais. Faut éviter de stocker en clair le backup du QRcode ou des data de l'application mais bon après cela dépend de ton niveau de paranoïa car si t'as des bons mot de passe non réutilisés sur plusieurs sites faut vraiment que quelqu'un t'en vieille personnellement pour arriver à retrouver ton mot de passe ET ta clé Google Auth.

De manière générale il faut bien être au clair sur la gestion de ses mot de passe et quelle machine à accès à quoi sans re-entrer de mot de passe.

Un ami s'est fait volé son iPhone et il n'avait pas mis de code de déverrouillage (grave erreur). De plus tous ses mot de passe étaient sauvé dans le navigateur de son PC et cela lui a pris un moment pour tous les retrouver afin de les changer et couper l'accès à tous ses comptes présent sur le téléphone.

Un outil très utile (à renforcer également avec Google Auth ou une YubiKey) c'est LastPass (stockage en ligne des ses mot de passe sous forme cryptée dont l'utilisateur seul a la clé de décryptage).

[davout]

Résumé très intéressant. Est-ce que tu peux confirmer la manip pour Bitcoin-Central?
1) si j'ai déjà ajouté la validaion en 2 étapes il faut que je la désactive, puis que je la redemande en prenant soin d'imprimer le QR code cette fois?
2) je peux aussi sauvegarder mon appli google auth avec une applicationd de backup, et transférer sur un support de confiance?

Si vous avez un compte vérifié ce qu'on fait dans ces cas la c'est qu'on redemande le scan de pièce d'identité que vous avez chargé.
Si vous n'êtes pas vérifié on procède de la même manière en vérifiant que la pièce correspond à des virements entrants/sortants passés sur votre compte.

Quand vous activez GA vous avez dans la pop-up le secret partagé qui est affiché en clair en complément du QR code, si vous le sauvegardez vous aurez tout ce qu'il faut pour re-paramétrer GA manuellement.

Pour ce qui est des lenteurs sur le trading on a apporté des modifications hier après-midi et hier soir pour améliorer la situation. Le lag devrait-être considérablement réduit.

[glub0x]

Résumé très intéressant. Est-ce que tu peux confirmer la manip pour Bitcoin-Central?
1) si j'ai déjà ajouté la validaion en 2 étapes il faut que je la désactive, puis que je la redemande en prenant soin d'imprimer le QR code cette fois?
2) je peux aussi sauvegarder mon appli google auth avec une applicationd de backup, et transférer sur un support de confiance?

Si vous avez un compte vérifié ce qu'on fait dans ces cas la c'est qu'on redemande le scan de pièce d'identité que vous avez chargé.
Si vous n'êtes pas vérifié on procède de la même manière en vérifiant que la pièce correspond à des virements entrants/sortants passés sur votre compte.

Quand vous activez GA vous avez dans la pop-up le secret partagé qui est affiché en clair en complément du QR code, si vous le sauvegardez vous aurez tout ce qu'il faut pour re-paramétrer GA manuellement.

Pour ce qui est des lenteurs sur le trading on a apporté des modifications hier après-midi et hier soir pour améliorer la situation. Le lag devrait-être considérablement réduit.

Pensez vous mettre une double authentification a base de sms?
Ou éventuellement mais la j'y crois pas en utilisant la même yubikey que celle fournie par mtgox?
J'aime bien 2auth mais pas GA

[btchip]

J'aime bien 2auth mais pas GA

si c'est juste une phobie de Google, ce n'est pas un soucis, Google Authenticator utilise le standard OATH TOTP pour générer des codes basés sur l'heure courante, ou OATH HOTP pour générer des codes basés sur un compteur.

Donc n'importe quel soft qui implémente ce protocole fera l'affaire.
 

[glub0x]

J'aime bien 2auth mais pas GA

si c'est juste une phobie de Google, ce n'est pas un soucis, Google Authenticator utilise le standard OATH TOTP pour générer des codes basés sur l'heure courante, ou OATH HOTP pour générer des codes basés sur un compteur.

Donc n'importe quel soft qui implémente ce protocole fera l'affaire.
 

C'est plus que j'aime bien les 2 auth par sms et les yubi que j'ai découvert avec mtgox.
J'aime bien avoir le choix!

[davout]

J'aime bien avoir le choix!

Vous l'avez :-)

Vous avez GA, ou Yubikey.
Les Yubikey mtgox sont compatibles uniquement avec mtgox.

Si vous achetez une Yubikey chez Yubico directement elle fonctionnera partout, sauf chez mtgox.

Il n'est pas prévu pour l'instant de mettre en place une authentification par SMS, mais c'est une bonne idée

[FTWbitcoinFTW]

Une confirmation par mail en utilisant gmail et 2FA serait suffisant pour beaucoup.

Je n'utilise pas bitcoin central, cela existe peut-être déjà

[davout]

Une confirmation par mail en utilisant gmail et 2FA serait suffisant pour beaucoup.

Je n'utilise pas bitcoin central, cela existe peut-être déjà

Un code de confirmation par mail peut-être intéressant, ceci dit j'ai un peu peur que cela induise un faux sentiment de sécurité.
En effet si votre boîte mail est compromise votre mot de passe peut-être changé, et le code de confirmation ne sera d'aucune aide puisqu'il sera envoyé sur une boîte compromise.

[pox]

salut    je voudrai savoir si vous vouliez  apporter quelque modification sur le site pour le rendre plus ergonomique :

ajouter le prix courant, le prix de la dernière vente, prix haut/bas sur toute les pages du site avec un rafraîchissement auto des données ( le bloc info que l'on a sur la page d’accueil  )

avoir une notification quand un ordre est honoré

Pouvoir soit désactiver la déconnexion auto, soit rallonger la temporisation.

merci a+

[DAN444]

Merci pour les infos sur Gauthenticator.
Serait il possible de permettre de faire des virements en euros vers Skrill et OKpay?

[davout]

ajouter le prix courant, le prix de la dernière vente, prix haut/bas sur toute les pages du site avec un rafraîchissement auto des données ( le bloc info que l'on a sur la page d’accueil  )

Pour l'instant ce n'est pas prévu, nous aimerions revoir notre interface en profondeur ceci dit, je pense que ca pourrait faire partie du package.

avoir une notification quand un ordre est honoré

Ca existe, vous avez une case à cocher dans vos préférences de compte.

Pouvoir soit désactiver la déconnexion auto, soit rallonger la temporisation.

Non, si vous êtes inactif pendant une demie heure il semble normal de se faire déconnecter.

Serait il possible de permettre de faire des virements en euros vers Skrill et OKpay?

Non.

[nervos]

Le champs "motif" est équivalent au champ "commentaire": l'info est passée avec le virement; Donc pas de problème: votre compte a été crédité.
Si un virement est passé le vendredi les banques ne le créditent pas au destinataire (bitcoin-central) avant le lundi.

Bonjour davout,

J'ai effectué un virement vendredi qui a été traité vers 16h mais qui n'est toujours pas soldé sur mon compte. J'ai ouvert le ticket #2570 puis j'ai lu que les banques ne créditent pas le virement avant le lundi. J'attend donc mais j'aurais voulu savoir s'il sera crédité avant ce soir ?

Merci d'avance,

Nervos

[davout]

Tout dépend de la date d'exécution du virement par votre banque, ce n'est par ailleurs pas parce qu'il est marqué "traité" dans votre interface qu'il est à proprement parler "executé" au sens bancaire.

[nervos]

ça marche, merci !

[Marsist]

Bonsoir Davout, il y a une mise à jour de nouvelles conditions d'utilisation sur Bitcoin-central mais les tarifs des commissions ne sont pas visibles : ont-ils changé ? Si oui, quels sont-ils et quand rentreront-ils en vigueur ?

Merci de me répondre, sans ces éléments il me parait difficile de valider les nouvelles conditions.

Cordialement

[davout]

Les tarifs n'ont pas changé :-)