Bitcoin Forum
November 10, 2024, 04:11:06 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 2 3 [4]  All
  Print  
Author Topic: [Guide] Sécurité des comptes Bitcointalk  (Read 1255 times)
GrosWesh
Legendary
*
Offline Offline

Activity: 2422
Merit: 1442



View Profile
August 05, 2019, 09:57:08 AM
 #61

Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.
yogg
Legendary
*
Offline Offline

Activity: 2464
Merit: 3158



View Profile WWW
August 05, 2019, 10:03:26 AM
 #62

D'ailleurs connait on la raison pour laquelle le 2fa n'existe pas sur ce forum ? Ca augmenterait encore un peu le niveau de sécurité, non ?

A moins que des points précis puissent donner lieu à une quelconque hésitation, auquel cas je suis curieux de les connaitre  Roll Eyes

Chaque chose a un prix.
Oui, ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Et puis, comme Halab le souligne, ce n'était absolument pas prévu avec cette mouture de forum donc il faut l'implémenter de manière safe, et c'est super critique.  Sad

Ceci étant dit, je pense qu'intégrer les solutions de 2FA qui ont été crées par les hardwares wallets (U2F) serait peut être une bonne chose ?
Pas forcément besoin de Google Authenticator ou autres applies des GAFAM  Roll Eyes
Saint-loup
Legendary
*
Offline Offline

Activity: 2786
Merit: 2428



View Profile
August 05, 2019, 10:25:35 AM
 #63

Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.
Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum. Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs, ou peut-être que ça consomme trop de ressources materielles, ou humaines(il faudrait gérer les pertes de clefs des utilisateurs)  
Alors qu'après tout ça ne reste qu'un forum, on y stocke ni cryptos, ni documents, donc bon...

██
██
██
██
██
██
██
██
██
██
██
██
██
... LIVECASINO.io    Play Live Games with up to 20% cashback!...██
██
██
██
██
██
██
██
██
██
██
██
██
asche
Legendary
*
Offline Offline

Activity: 1484
Merit: 1491


I forgot more than you will ever know.


View Profile
August 05, 2019, 11:16:06 AM
 #64

@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.

Adresse compromise = compte compromis. Sans parler des échanges.
baba0000000000
Sr. Member
****
Offline Offline

Activity: 812
Merit: 388


View Profile
August 05, 2019, 11:50:47 AM
 #65

@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.

Adresse compromise = compte compromis. Sans parler des échanges.

Site non à jour, failles découvertes, ... Je pense que c'est plus emmerdant.
 
GrosWesh
Legendary
*
Offline Offline

Activity: 2422
Merit: 1442



View Profile
August 05, 2019, 05:30:26 PM
 #66


ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.


Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs

Après le 2fa reste une option, activable ou non sur la plupart des sites le proposant.

il faudrait gérer les pertes de clefs des utilisateurs

Là oui, effectivement ça pourrait engendrer la création d'un pool de 'support technique' dédié à ces problèmes, la galère quoi.

F2b (OP)
Hero Member
*****
Offline Offline

Activity: 2135
Merit: 926


View Profile
August 05, 2019, 07:37:48 PM
Last edit: June 23, 2023, 02:25:47 PM by F2b
 #67

Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum.
Le 2FA sur Epochtalk est dans la catégorie "Planned features", d'après la roadmap disponible sur le site, au même titre que le Trust, les emojis, la fonction Ignore, et quelques autres trucs plus obscurs. (<HS>"Docker support" ??</HS> (edit: bah oui, en 2019 je découvrais encore docker...))
À mon avis ils essaient déjà de faire tourner le forum avec les fonctions de base correctement avant d'implanter implémenter la suite.


ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.
Ben tu vois déjà bien... Que Google (p. ex.) sache à quel site tu te connectes, à quel moment / fréquence, etc c'est déjà pas mal. (Sauf si tu utilises Chrome, auquel cas ça ne change rien, pour le coup.)

npub1zc4r69x9nxg7h0qcs705k6c5yt7xaydtjrlsthk99vmgg2t2xgssd7mdde
asche
Legendary
*
Offline Offline

Activity: 1484
Merit: 1491


I forgot more than you will ever know.


View Profile
August 06, 2019, 01:30:00 AM
 #68

@Saint-Loup,

Docker c'est une solution de container.

L'idée c'est que quel que soit on os/ton hw, tu peux installer docker et lancer une image docker, qui va permettre d'utiliser le service clé en main.

Ca facilite grandement l'administration de certains services, vu que tu n'as pas du tout à te soucier de dépendances, ou d'installations compliquées.

La fonction s'adresse donc aux personnes voulant déployer un forum epochtalk, et non à l'utilisateur final.
Saint-loup
Legendary
*
Offline Offline

Activity: 2786
Merit: 2428



View Profile
August 06, 2019, 05:19:34 AM
 #69

@Saint-Loup,
Merci de penser à moi, mais ce n'est pas moi qui parlait de Docker ici,  c'est F2b  Wink

██
██
██
██
██
██
██
██
██
██
██
██
██
... LIVECASINO.io    Play Live Games with up to 20% cashback!...██
██
██
██
██
██
██
██
██
██
██
██
██
asche
Legendary
*
Offline Offline

Activity: 1484
Merit: 1491


I forgot more than you will ever know.


View Profile
August 06, 2019, 09:23:13 AM
 #70

Arf mon clavier cerveau a fourché...
yogg
Legendary
*
Offline Offline

Activity: 2464
Merit: 3158



View Profile WWW
August 07, 2019, 09:47:59 AM
 #71


ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.


Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

On sait pas vraiment comment fonctionne le Google 2FA.  Undecided
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.

L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.
Saint-loup
Legendary
*
Offline Offline

Activity: 2786
Merit: 2428



View Profile
August 07, 2019, 11:25:23 AM
 #72


ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.


Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

On sait pas vraiment comment fonctionne le Google 2FA.  Undecided
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.

L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.
C'est possible que la vérification soit en fait déléguée à Google mais en connaissant l'algo il doit y avoir moyen de s'en passer amha.
Comme tu dis le code pin généré est visiblement simplement le resultat d'une opération entre le timestamp et la clé privée.
Le serveur pourrait donc théoriquement la réaliser de son côté puis la comparer avec le code fourni, si il connait l'algo, puisqu'il connaît cette clé privée.
Moi en fait ça me fait un peu penser aux dice games "provably fair".
Gràce à quelques opérations ils te sortent un nombre à 4 chiffres à partir des seeds client et serveur et d'un nonce.

██
██
██
██
██
██
██
██
██
██
██
██
██
... LIVECASINO.io    Play Live Games with up to 20% cashback!...██
██
██
██
██
██
██
██
██
██
██
██
██
F2b (OP)
Hero Member
*****
Offline Offline

Activity: 2135
Merit: 926


View Profile
August 07, 2019, 06:41:56 PM
 #73

@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci Cheesy
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?

npub1zc4r69x9nxg7h0qcs705k6c5yt7xaydtjrlsthk99vmgg2t2xgssd7mdde
asche
Legendary
*
Offline Offline

Activity: 1484
Merit: 1491


I forgot more than you will ever know.


View Profile
August 07, 2019, 06:52:57 PM
 #74

@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci Cheesy
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?


Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker Wink
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.



Deux jours que ma titan est expédiée et n'a pas bougé de toronto Sad. Je veuxxxxx
F2b (OP)
Hero Member
*****
Offline Offline

Activity: 2135
Merit: 926


View Profile
August 07, 2019, 07:25:04 PM
Last edit: October 05, 2019, 11:42:24 AM by F2b
 #75

@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci Cheesy
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?


Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker Wink
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.
Ok, pas de problème. Je sais pas trop pourquoi mais ça m'avait intrigué… J'suis encore débutant dans ce monde-là (j'ai juste brièvement utilisé Docker, justement parce que c'est moins prise de tête).
Bon allez, fin du p'tit HS.

npub1zc4r69x9nxg7h0qcs705k6c5yt7xaydtjrlsthk99vmgg2t2xgssd7mdde
Saint-loup
Legendary
*
Offline Offline

Activity: 2786
Merit: 2428



View Profile
August 08, 2019, 08:37:24 AM
Last edit: August 08, 2019, 09:51:09 AM by Saint-loup
Merited by Halab (3), Becassine (1)
 #76

En Meta un utilisateur rapporte comment il a failli se faire hacker son compte :

Le hacker a utilisé la technique des fake links par attaque homographique dont parle F2b dans l'OP.

En utilisant un compte préalablement hacké (ou acheté), il a envoyé un MP à la victime en lui disant qu'il lui avait répondu sur le thread en lien.



alors qu'il s'agissait en fait d'un lien caché, avec un "r" en alphabet cyrillique(".oгg" sic) pour shunter la protection automatique du forum.

[url=http://XXXXX.com.tr/]https://bitcointalk.oгg/index.php?topic=5154525.0#msg51488782[/url]

Ce lien l'a alors amené à une fausse de page de login oú il était indiqué que sa session venait d'expirer et l'invitait à saisir son login...



https://bitcointalk.org/index.php?topic=5173531

██
██
██
██
██
██
██
██
██
██
██
██
██
... LIVECASINO.io    Play Live Games with up to 20% cashback!...██
██
██
██
██
██
██
██
██
██
██
██
██
asche
Legendary
*
Offline Offline

Activity: 1484
Merit: 1491


I forgot more than you will ever know.


View Profile
August 08, 2019, 01:10:15 PM
Merited by guigui371 (1)
 #77

Tu parles de quoi quand tu dis protection automatique du forum ?

Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.
Saint-loup
Legendary
*
Offline Offline

Activity: 2786
Merit: 2428



View Profile
August 08, 2019, 03:31:43 PM
 #78

Tu parles de quoi quand tu dis protection automatique du forum ?

Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.
Non je parlais de la protection qui contre automatiquement ce type d'attaque.

Par exemple: [url=https://yahoo.fr]https://bitcointalk.org/index.php?topic=5154525.0#msg51488782[/url] va afficher
https://yahoo.fr
et non https://bitcointalk.org/index.php?topic=5154525.0#msg51488782 comme ça le ferait normalement.
L'attaque homographique permet de court-circuiter cette protection là.

██
██
██
██
██
██
██
██
██
██
██
██
██
... LIVECASINO.io    Play Live Games with up to 20% cashback!...██
██
██
██
██
██
██
██
██
██
██
██
██
asche
Legendary
*
Offline Offline

Activity: 1484
Merit: 1491


I forgot more than you will ever know.


View Profile
August 10, 2019, 02:56:17 PM
 #79

Clé Titan reçue et installée. Un petit retour/tuto ici : https://bitcointalk.org/index.php?topic=5174312
Saint-loup
Legendary
*
Offline Offline

Activity: 2786
Merit: 2428



View Profile
September 29, 2019, 06:37:21 PM
 #80

Je le souligne ici pour ceux qui ne l'auraient pas encore remarqué, on sait jamais : Chrome propose maintenant automatiquement ses mots de passe générés lorsqu'on veut changer son mot de passe bitcointalk. Bien sûr il l'enregistre (vérifier bien que ça soit le cas avant de déconnecter quand même) puisqu'ils sont quasi impossible à se rappeler(grosse entropie).
On peut aussi carrément mettre une adresse bitcoin et l'enregistrer, puisque les mdp de Chrome ne sont pas moins inintelligibles que ça...  

Sinon n'oubliez pas, y'a toujours la méthode XKCD :


██
██
██
██
██
██
██
██
██
██
██
██
██
... LIVECASINO.io    Play Live Games with up to 20% cashback!...██
██
██
██
██
██
██
██
██
██
██
██
██
Pages: « 1 2 3 [4]  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!