[Guide] Sécurité des comptes Bitcointalk

[GrosWesh]

Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.

[1714177445]

1714177445

[1714177445]

1714177445

[yogg]

D'ailleurs connait on la raison pour laquelle le 2fa n'existe pas sur ce forum ? Ca augmenterait encore un peu le niveau de sécurité, non ?

A moins que des points précis puissent donner lieu à une quelconque hésitation, auquel cas je suis curieux de les connaitre 

Chaque chose a un prix.
Oui, ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Et puis, comme Halab le souligne, ce n'était absolument pas prévu avec cette mouture de forum donc il faut l'implémenter de manière safe, et c'est super critique.  

Ceci étant dit, je pense qu'intégrer les solutions de 2FA qui ont été crées par les hardwares wallets (U2F) serait peut être une bonne chose ?
Pas forcément besoin de Google Authenticator ou autres applies des GAFAM  

[Saint-loup]

Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.

Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum. Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs, ou peut-être que ça consomme trop de ressources materielles, ou humaines(il faudrait gérer les pertes de clefs des utilisateurs)  
Alors qu'après tout ça ne reste qu'un forum, on y stocke ni cryptos, ni documents, donc bon...

[asche]

@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.

Adresse compromise = compte compromis. Sans parler des échanges.

[baba0000000000]

@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.

Adresse compromise = compte compromis. Sans parler des échanges.

Site non à jour, failles découvertes, ... Je pense que c'est plus emmerdant.
 

[GrosWesh]

ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs

Après le 2fa reste une option, activable ou non sur la plupart des sites le proposant.

il faudrait gérer les pertes de clefs des utilisateurs

Là oui, effectivement ça pourrait engendrer la création d'un pool de 'support technique' dédié à ces problèmes, la galère quoi.

[F2b]

Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum.

Le 2FA sur Epochtalk est dans la catégorie "Planned features", d'après la roadmap disponible sur le site, au même titre que le Trust, les emojis, la fonction Ignore, et quelques autres trucs plus obscurs. (<HS>"Docker support" ??</HS> (edit: bah oui, en 2019 je découvrais encore docker...))
À mon avis ils essaient déjà de faire tourner le forum avec les fonctions de base correctement avant d'implanter implémenter la suite.

ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

Ben tu vois déjà bien... Que Google (p. ex.) sache à quel site tu te connectes, à quel moment / fréquence, etc c'est déjà pas mal. (Sauf si tu utilises Chrome, auquel cas ça ne change rien, pour le coup.)

[asche]

@Saint-Loup,

Docker c'est une solution de container.

L'idée c'est que quel que soit on os/ton hw, tu peux installer docker et lancer une image docker, qui va permettre d'utiliser le service clé en main.

Ca facilite grandement l'administration de certains services, vu que tu n'as pas du tout à te soucier de dépendances, ou d'installations compliquées.

La fonction s'adresse donc aux personnes voulant déployer un forum epochtalk, et non à l'utilisateur final.

[Saint-loup]

@Saint-Loup,

Merci de penser à moi, mais ce n'est pas moi qui parlait de Docker ici,  c'est F2b  

[asche]

Arf mon clavier cerveau a fourché...

[yogg]

ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

On sait pas vraiment comment fonctionne le Google 2FA. 
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.

L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.

[Saint-loup]

ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.

On sait pas vraiment comment fonctionne le Google 2FA.  
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.

L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.

C'est possible que la vérification soit en fait déléguée à Google mais en connaissant l'algo il doit y avoir moyen de s'en passer amha.
Comme tu dis le code pin généré est visiblement simplement le resultat d'une opération entre le timestamp et la clé privée.
Le serveur pourrait donc théoriquement la réaliser de son côté puis la comparer avec le code fourni, si il connait l'algo, puisqu'il connaît cette clé privée.
Moi en fait ça me fait un peu penser aux dice games "provably fair".
Gràce à quelques opérations ils te sortent un nombre à 4 chiffres à partir des seeds client et serveur et d'un nonce.

[F2b]

@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?

[asche]

@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?

Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.


Deux jours que ma titan est expédiée et n'a pas bougé de toronto . Je veuxxxxx

[F2b]

@Saint-LoupMoi,

Docker
[…]

Je sais (à peu près) ce qu'est Docker, merci
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?

Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.

Ok, pas de problème. Je sais pas trop pourquoi mais ça m'avait intrigué… J'suis encore débutant dans ce monde-là (j'ai juste brièvement utilisé Docker, justement parce que c'est moins prise de tête).
Bon allez, fin du p'tit HS.

[Saint-loup]

En Meta un utilisateur rapporte comment il a failli se faire hacker son compte :

Le hacker a utilisé la technique des fake links par attaque homographique dont parle F2b dans l'OP.

En utilisant un compte préalablement hacké (ou acheté), il a envoyé un MP à la victime en lui disant qu'il lui avait répondu sur le thread en lien.



alors qu'il s'agissait en fait d'un lien caché, avec un "r" en alphabet cyrillique(".oгg" sic) pour shunter la protection automatique du forum.

[url=http://XXXXX.com.tr/]https://bitcointalk.oгg/index.php?topic=5154525.0#msg51488782[/url]

Ce lien l'a alors amené à une fausse de page de login oú il était indiqué que sa session venait d'expirer et l'invitait à saisir son login...



https://bitcointalk.org/index.php?topic=5173531

[asche]

Tu parles de quoi quand tu dis protection automatique du forum ?

Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.

[Saint-loup]

Tu parles de quoi quand tu dis protection automatique du forum ?

Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.

Non je parlais de la protection qui contre automatiquement ce type d'attaque.

Par exemple: [url=https://yahoo.fr]https://bitcointalk.org/index.php?topic=5154525.0#msg51488782[/url] va afficher
https://yahoo.fr
et non https://bitcointalk.org/index.php?topic=5154525.0#msg51488782 comme ça le ferait normalement.
L'attaque homographique permet de court-circuiter cette protection là.

[asche]

Clé Titan reçue et installée. Un petit retour/tuto ici : https://bitcointalk.org/index.php?topic=5174312

[Saint-loup]

Je le souligne ici pour ceux qui ne l'auraient pas encore remarqué, on sait jamais : Chrome propose maintenant automatiquement ses mots de passe générés lorsqu'on veut changer son mot de passe bitcointalk. Bien sûr il l'enregistre (vérifier bien que ça soit le cas avant de déconnecter quand même) puisqu'ils sont quasi impossible à se rappeler(grosse entropie).
On peut aussi carrément mettre une adresse bitcoin et l'enregistrer, puisque les mdp de Chrome ne sont pas moins inintelligibles que ça...  

Sinon n'oubliez pas, y'a toujours la méthode XKCD :