Bitcoin Forum
August 24, 2019, 07:14:59 PM *
News: Latest Bitcoin Core release: 0.18.0 [Torrent] (New!)
 
   Home   Help Search Login Register More  
Pages: « 1 2 3 [4]  All
  Print  
Author Topic: [Guide] Sécurité des comptes Bitcointalk  (Read 959 times)
GrosWesh
Sr. Member
****
Online Online

Activity: 574
Merit: 265



View Profile WWW
August 05, 2019, 09:57:08 AM
 #61

Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.

░░░░░▄██░██░██▄        ████████████████▄     ███▄░░░░░░░▄███
░░░▄███▀░██░▀███▄     ▀▀▀▀▀▀▀▀▀▀▀▀▀████     ▀████░░░░░████▀
░▄███▀░░░██░░░▀███▄  ░░░░░░░░░░░░░░███     ░▀████░░░████▀░
▄███▀░░░░██░░░░▀███▄ ░░░░░░░░░░░░░▄███     ░░▀██▀░▄████▀░░
███▀░░░░░██░░░░░▀███ ░░░█████████████▀     ░░░▀░▄█████▀░░░
████░░░░░██░░░░░████ ░░░▀▀▀▀▀▀▀████▀         ░░░▄███████▄░░░
▀████░░░░░░░░░░████▀ ░░░░░░░░░░░████         ░░▄████░████▄░░
░▀████░░░░░░░░████▀   ░░░░░░░░░░░░████       ░▄████░░░████▄░
░░░▀███▄░░░░▄███▀       ░░░░░░░░░░░░░████     ▄████░░░░░████▄
░░░░░  ██████▀           ░░░░░░░░░░░░░░▀██     ███▀░░░░░░░▀███
The Future of Gaming Comission
Free Games And Items Exchange
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
yogg
Legendary
*
Offline Offline

Activity: 1568
Merit: 1741


Coldkey™ -- coldkey.eu


View Profile
August 05, 2019, 10:03:26 AM
 #62

D'ailleurs connait on la raison pour laquelle le 2fa n'existe pas sur ce forum ? Ca augmenterait encore un peu le niveau de sécurité, non ?

A moins que des points précis puissent donner lieu à une quelconque hésitation, auquel cas je suis curieux de les connaitre  Roll Eyes

Chaque chose a un prix.
Oui, ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Et puis, comme Halab le souligne, ce n'était absolument pas prévu avec cette mouture de forum donc il faut l'implémenter de manière safe, et c'est super critique.  Sad

Ceci étant dit, je pense qu'intégrer les solutions de 2FA qui ont été crées par les hardwares wallets (U2F) serait peut être une bonne chose ?
Pas forcément besoin de Google Authenticator ou autres applies des GAFAM  Roll Eyes

Saint-loup
Hero Member
*****
Offline Offline

Activity: 882
Merit: 653


View Profile
August 05, 2019, 10:25:35 AM
 #63

Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.
Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum. Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs, ou peut-être que ça consomme trop de ressources materielles, ou humaines(il faudrait gérer les pertes de clefs des utilisateurs)  
Alors qu'après tout ça ne reste qu'un forum, on y stocke ni cryptos, ni documents, donc bon...
asche
Hero Member
*****
Offline Offline

Activity: 602
Merit: 704


I forgot more than you will ever know.


View Profile
August 05, 2019, 11:16:06 AM
 #64

@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.

Adresse compromise = compte compromis. Sans parler des échanges.

baba0000000000
Sr. Member
****
Online Online

Activity: 784
Merit: 379


View Profile
August 05, 2019, 11:50:47 AM
 #65

@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.

Adresse compromise = compte compromis. Sans parler des échanges.

Site non à jour, failles découvertes, ... Je pense que c'est plus emmerdant.
 
GrosWesh
Sr. Member
****
Online Online

Activity: 574
Merit: 265



View Profile WWW
August 05, 2019, 05:30:26 PM
 #66


ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.


Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs

Après le 2fa reste une option, activable ou non sur la plupart des sites le proposant.

il faudrait gérer les pertes de clefs des utilisateurs

Là oui, effectivement ça pourrait engendrer la création d'un pool de 'support technique' dédié à ces problèmes, la galère quoi.


░░░░░▄██░██░██▄        ████████████████▄     ███▄░░░░░░░▄███
░░░▄███▀░██░▀███▄     ▀▀▀▀▀▀▀▀▀▀▀▀▀████     ▀████░░░░░████▀
░▄███▀░░░██░░░▀███▄  ░░░░░░░░░░░░░░███     ░▀████░░░████▀░
▄███▀░░░░██░░░░▀███▄ ░░░░░░░░░░░░░▄███     ░░▀██▀░▄████▀░░
███▀░░░░░██░░░░░▀███ ░░░█████████████▀     ░░░▀░▄█████▀░░░
████░░░░░██░░░░░████ ░░░▀▀▀▀▀▀▀████▀         ░░░▄███████▄░░░
▀████░░░░░░░░░░████▀ ░░░░░░░░░░░████         ░░▄████░████▄░░
░▀████░░░░░░░░████▀   ░░░░░░░░░░░░████       ░▄████░░░████▄░
░░░▀███▄░░░░▄███▀       ░░░░░░░░░░░░░████     ▄████░░░░░████▄
░░░░░  ██████▀           ░░░░░░░░░░░░░░▀██     ███▀░░░░░░░▀███
The Future of Gaming Comission
Free Games And Items Exchange
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
F2b
Full Member
***
Offline Offline

Activity: 686
Merit: 229


46 32 62


View Profile WWW
August 05, 2019, 07:37:48 PM
 #67

Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum.
Le 2FA sur Epochtalk est dans la catégorie "Planned features", d'après la roadmap disponible sur le site, au même titre que le Trust, les emojis, la fonction Ignore, et quelques autres trucs plus obscurs. (<HS>"Docker support" ??</HS>)
À mon avis ils essaient déjà de faire tourner le forum avec les fonctions de base correctement avant d'implanter la suite.


ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.
Ben tu vois déjà bien... Que Google (p. ex.) sache à quel site tu te connectes, à quel moment / fréquence, etc c'est déjà pas mal. (Sauf si tu utilises Chrome, auquel cas ça ne change rien, pour le coup.)

Pour parvenir au but il faut beaucoup de courage !
Macron a déclaré : "Je m'en doute que le Medef recule !"

https://www.whoismrrobot.com     https://www.e-corp-usa.com/about.html     https://www.e-coin.com     https://www.red-wheelbarrow.com     https://yd9xldsr.bxjyb2jvda.net/
asche
Hero Member
*****
Offline Offline

Activity: 602
Merit: 704


I forgot more than you will ever know.


View Profile
August 06, 2019, 01:30:00 AM
 #68

@Saint-Loup,

Docker c'est une solution de container.

L'idée c'est que quel que soit on os/ton hw, tu peux installer docker et lancer une image docker, qui va permettre d'utiliser le service clé en main.

Ca facilite grandement l'administration de certains services, vu que tu n'as pas du tout à te soucier de dépendances, ou d'installations compliquées.

La fonction s'adresse donc aux personnes voulant déployer un forum epochtalk, et non à l'utilisateur final.

Saint-loup
Hero Member
*****
Offline Offline

Activity: 882
Merit: 653


View Profile
August 06, 2019, 05:19:34 AM
 #69

@Saint-Loup,
Merci de penser à moi, mais ce n'est pas moi qui parlait de Docker ici,  c'est F2b  Wink
asche
Hero Member
*****
Offline Offline

Activity: 602
Merit: 704


I forgot more than you will ever know.


View Profile
August 06, 2019, 09:23:13 AM
 #70

Arf mon clavier cerveau a fourché...

yogg
Legendary
*
Offline Offline

Activity: 1568
Merit: 1741


Coldkey™ -- coldkey.eu


View Profile
August 07, 2019, 09:47:59 AM
 #71


ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.


Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

On sait pas vraiment comment fonctionne le Google 2FA.  Undecided
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.

L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.

Saint-loup
Hero Member
*****
Offline Offline

Activity: 882
Merit: 653


View Profile
August 07, 2019, 11:25:23 AM
 #72


ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.


Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

On sait pas vraiment comment fonctionne le Google 2FA.  Undecided
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.

L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.
C'est possible que la vérification soit en fait déléguée à Google mais en connaissant l'algo il doit y avoir moyen de s'en passer amha.
Comme tu dis le code pin généré est visiblement simplement le resultat d'une opération entre le timestamp et la clé privée.
Le serveur pourrait donc théoriquement la réaliser de son côté puis la comparer avec le code fourni, si il connait l'algo, puisqu'il connaît cette clé privée.
Moi en fait ça me fait un peu penser aux dice games "provably fair".
Gràce à quelques opérations ils te sortent un nombre à 4 chiffres à partir des seeds client et serveur et d'un nonce.
F2b
Full Member
***
Offline Offline

Activity: 686
Merit: 229


46 32 62


View Profile WWW
August 07, 2019, 06:41:56 PM
 #73

@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci Cheesy
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?

Pour parvenir au but il faut beaucoup de courage !
Macron a déclaré : "Je m'en doute que le Medef recule !"

https://www.whoismrrobot.com     https://www.e-corp-usa.com/about.html     https://www.e-coin.com     https://www.red-wheelbarrow.com     https://yd9xldsr.bxjyb2jvda.net/
asche
Hero Member
*****
Offline Offline

Activity: 602
Merit: 704


I forgot more than you will ever know.


View Profile
August 07, 2019, 06:52:57 PM
 #74

@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci Cheesy
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?


Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker Wink
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.



Deux jours que ma titan est expédiée et n'a pas bougé de toronto Sad. Je veuxxxxx

F2b
Full Member
***
Offline Offline

Activity: 686
Merit: 229


46 32 62


View Profile WWW
August 07, 2019, 07:25:04 PM
 #75

@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci Cheesy
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?


Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker Wink
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.
Ok, pas de problème. Je sais pas trop pourquoi mais ça m'avais intrigué… J'suis encore débutant dans ce monde-là (j'ai juste brièvement utilisé Docker, justement parce que c'est moins prise de tête).
Bon allez, fin du p'tit HS.

Pour parvenir au but il faut beaucoup de courage !
Macron a déclaré : "Je m'en doute que le Medef recule !"

https://www.whoismrrobot.com     https://www.e-corp-usa.com/about.html     https://www.e-coin.com     https://www.red-wheelbarrow.com     https://yd9xldsr.bxjyb2jvda.net/
Saint-loup
Hero Member
*****
Offline Offline

Activity: 882
Merit: 653


View Profile
August 08, 2019, 08:37:24 AM
Last edit: August 08, 2019, 09:51:09 AM by Saint-loup
 #76

En Meta un utilisateur rapporte comment il a failli se faire hacker son compte :

Le hacker a utilisé la technique des fake links par attaque homographique dont parle F2b dans l'OP.

En utilisant un compte préalablement hacké (ou acheté), il a envoyé un MP à la victime en lui disant qu'il lui avait répondu sur le thread en lien.



alors qu'il s'agissait en fait d'un lien caché, avec un "r" en alphabet cyrillique(".oгg" sic) pour shunter la protection automatique du forum.

[url=http://XXXXX.com.tr/]https://bitcointalk.oгg/index.php?topic=5154525.0#msg51488782[/url]

Ce lien l'a alors amené à une fausse de page de login oú il était indiqué que sa session venait d'expirer et l'invitait à saisir son login...



https://bitcointalk.org/index.php?topic=5173531
asche
Hero Member
*****
Offline Offline

Activity: 602
Merit: 704


I forgot more than you will ever know.


View Profile
August 08, 2019, 01:10:15 PM
Merited by guigui371 (1)
 #77

Tu parles de quoi quand tu dis protection automatique du forum ?

Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.

Saint-loup
Hero Member
*****
Offline Offline

Activity: 882
Merit: 653


View Profile
August 08, 2019, 03:31:43 PM
 #78

Tu parles de quoi quand tu dis protection automatique du forum ?

Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.
Non je parlais de la protection qui contre automatiquement ce type d'attaque.

Par exemple: [url=https://yahoo.fr]https://bitcointalk.org/index.php?topic=5154525.0#msg51488782[/url] va afficher
https://yahoo.fr
et non https://bitcointalk.org/index.php?topic=5154525.0#msg51488782 comme ça le ferait normalement.
L'attaque homographique permet de court-circuiter cette protection là.
asche
Hero Member
*****
Offline Offline

Activity: 602
Merit: 704


I forgot more than you will ever know.


View Profile
August 10, 2019, 02:56:17 PM
 #79

Clé Titan reçue et installée. Un petit retour/tuto ici : https://bitcointalk.org/index.php?topic=5174312

Pages: « 1 2 3 [4]  All
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!