Topic: Comment j'ai perdu confiance dans ce projet - page 2. (Read 7617 times)
Commencer par utiliser Linux au lieu de Windows est déjà pas mal plus sécuritaire. Et non c'est pas extrême comme précaution tant qu'à moi, ça fait assez longtemps qu'on averti les utilisateurs Windows que leur système n'est pas sécuritaire, c'est le temps qu'ils se réveillent.
C'est vrai que c'est un peu étrange de livrer un produit sans protection des clés. C'est comme si PGP avait été livré sans passphrase pour protéger les clés privées. Mais ça ne concerne que l'implémentation logicielle courante, pas le système en lui-même.
Quote
De nos jours un mot de passe même comprenant des caractères spéciaux (!:@% etc) est considéré comme crackable avec du matériel dédié, et ce jusqu'à une longueur de douze caractères.
Source?https://en.bitcoin.it/wiki/Securing_your_wallet#Password_Strength
« Brute-force password cracking has come a long distance, a previously thought secure password of random [a-Z] [0-9] [!-~] of 8 characters long can be trivially solved now (using appropriate hardware)... The recommended length is at least 12 characters long. »
Ben si une longueur d'au moins 12 caractères est recommandée, ça veut dire par contre-apposition qu'en dessous de 12 caractères, ça peut-être cracké, non ?
N'oublions pas que, en dehors de l'aspect technique de la sécurité (où je trouve que les gens se déresponsabilisent beaucoup trop), il y a le simple bon sens.
Si tu as 500.000$, tu ne les gardes pas en billets en dessous de ton matelas! Ni même dans une banque de quartier.
Et bien bitcoin, c'est pareil: si tu en as beaucoup, tu diversifies. Tu en mets sur différents ordinateurs, tu en mets certains sur différents comptes en ligne (en fonction de la confiance que tu leur donne).
Garder 25000btc sur ton ordinateur personnel que tu utilises tous les jours pour aller sur le web (et sous Windows qui plus est), je suis désolé mais c'est tendre le bâton pour se faire battre.
Ce genre d'utilisateurs est déjà à la base de la majorité du spam qu'on reçoit mais là, ils s'en foutaient (pour info, un commentaire légitime sur vingt reçu sur mon blog provient d'une machine qui, d'après spamhaus, est reconnue pour avoir envoyé du spam dans les dernières 24h. Cela signifie que 1/20ème de mes commenteurs, sur un blog pourtant orienté geek/linux, a une machine infectée et reconnue comme telle).
Et bien voilà, maintenant, les utilisateurs réalisent que c'est important de sécuriser sa machine.
Si tu as 500.000$, tu ne les gardes pas en billets en dessous de ton matelas! Ni même dans une banque de quartier.
Et bien bitcoin, c'est pareil: si tu en as beaucoup, tu diversifies. Tu en mets sur différents ordinateurs, tu en mets certains sur différents comptes en ligne (en fonction de la confiance que tu leur donne).
Garder 25000btc sur ton ordinateur personnel que tu utilises tous les jours pour aller sur le web (et sous Windows qui plus est), je suis désolé mais c'est tendre le bâton pour se faire battre.
Ce genre d'utilisateurs est déjà à la base de la majorité du spam qu'on reçoit mais là, ils s'en foutaient (pour info, un commentaire légitime sur vingt reçu sur mon blog provient d'une machine qui, d'après spamhaus, est reconnue pour avoir envoyé du spam dans les dernières 24h. Cela signifie que 1/20ème de mes commenteurs, sur un blog pourtant orienté geek/linux, a une machine infectée et reconnue comme telle).
Et bien voilà, maintenant, les utilisateurs réalisent que c'est important de sécuriser sa machine.
Quote
De nos jours un mot de passe même comprenant des caractères spéciaux (!:@% etc) est considéré comme crackable avec du matériel dédié, et ce jusqu'à une longueur de douze caractères.
Source?https://en.bitcoin.it/wiki/Securing_your_wallet#Password_Strength
Bonjour,
je connais bitcoin depuis janvier environ et j'ai entammé un long fil sur le site liberaux.org:
http://www.liberaux.org/topic/46885-bitcoin/
La nouvelle récente sur le vol d'un fichier wallet a énormément réduit ma confiance envers le système.
Je m'autocite:
Quote
Certes, on savait depuis le début que le fichier wallet doit être protégé scrupuleusement, et que de nombreuses précautions doivent être prises. Le gars qui s'est fait volé a été particulièrement imprudent. N'empêche, on est obligé d'admettre que cela remet sérieusement en question la sécurité du système.
Dès le début Nakamoto a choisi de placer la sécurité de l'accès aux clefs privées sous la responsabilité du système d'exploitation. Et les hackeurs ont vite compris que c'est bien là le point de faiblesse. C'est bien beau d'avoir des paires de clefs à courbes ellyptiques, ça ne sert pas à grand chose si leur accès est protégé par un mot de passe mémorisé par un être humain.
Certes, il y a tout un tas de précautions qui peuvent être prises pour éviter tout problème. Créer un utilisateur dédié sur un système unix, faire tourner le logiciel sur une machine virtuelle sous Windows, bloquer les ports sensibles, etc. Mais clairement ça remet fondamentalement en question l'utilisabilité du logiciel.
En fait cette histoire me fait douter de l'utilité de la cryptographie pour le grand public (et je me considère comme faisant partie du grand public). De nos jours un mot de passe même comprenant des caractères spéciaux (!:@% etc) est considéré comme crackable avec du matériel dédié, et ce jusqu'à une longueur de douze caractères. Douze caractères, c'est long.
En fait la cryptographie assymétrique c'est un peu comme une porte blindée: c'est solide mais ça sert pas à grand chose si c'est pour la mettre à l'entrée d'une maison en bois ou d'une maison dont les fenêtres sont grandes ouvertes.
Dès le début Nakamoto a choisi de placer la sécurité de l'accès aux clefs privées sous la responsabilité du système d'exploitation. Et les hackeurs ont vite compris que c'est bien là le point de faiblesse. C'est bien beau d'avoir des paires de clefs à courbes ellyptiques, ça ne sert pas à grand chose si leur accès est protégé par un mot de passe mémorisé par un être humain.
Certes, il y a tout un tas de précautions qui peuvent être prises pour éviter tout problème. Créer un utilisateur dédié sur un système unix, faire tourner le logiciel sur une machine virtuelle sous Windows, bloquer les ports sensibles, etc. Mais clairement ça remet fondamentalement en question l'utilisabilité du logiciel.
En fait cette histoire me fait douter de l'utilité de la cryptographie pour le grand public (et je me considère comme faisant partie du grand public). De nos jours un mot de passe même comprenant des caractères spéciaux (!:@% etc) est considéré comme crackable avec du matériel dédié, et ce jusqu'à une longueur de douze caractères. Douze caractères, c'est long.
En fait la cryptographie assymétrique c'est un peu comme une porte blindée: c'est solide mais ça sert pas à grand chose si c'est pour la mettre à l'entrée d'une maison en bois ou d'une maison dont les fenêtres sont grandes ouvertes.
Commentaires bienvenus sur ce fil ou sur celui de liborg
C'est ridicule. C'est comme si on remettait en cause les pieces de monnaie parce qu'elles peuvent être volé. Ou les emails parce que les mots de passe peuvent être craqués.
Nakamoto a mis en place un système qui, jusqu'à présent, s'est révélé très sûr (par là j'entends que la double depense et la creation frauduleuse de bitcoins est impossible).
Maintenant la securité des clés privés est un autre sujet, et ne t'inquiètes pas qu'elle va être adressé dans les prochaines versions des clients bitcoins. ça ne remet pa en cause les bitcoins, ça remet en cause la securité des portefeuilles wallet.dat.
Nan vraiment, ça ne remet absoluement pas en cause le système bitcoin...
Quote
De nos jours un mot de passe même comprenant des caractères spéciaux (!:@% etc) est considéré comme crackable avec du matériel dédié, et ce jusqu'à une longueur de douze caractères.
Source?https://en.bitcoin.it/wiki/Securing_your_wallet#Password_Strength
Dans la prochaine version le wallet.dat sera chiffré
Après ça, si les gens sont pas foutus de trouver un mot de passe solide faut pas venir pleurer... Cette déresponsabilisation à tout-va de la société devient insupportable
Mais en fait non, ils n'en prendront jamais conscience ça demanderait de se renseigner, de réfléchir, ... (cf ligne 2)
C'est plus facile de taper sur le programme qui se fait pirater
Après ça, si les gens sont pas foutus de trouver un mot de passe solide faut pas venir pleurer... Cette déresponsabilisation à tout-va de la société devient insupportable
Peut-être que ça fera (enfin) prendre conscience aux gens que leur système d'exploitation est juste un gros gruyère...
+1Mais en fait non, ils n'en prendront jamais conscience ça demanderait de se renseigner, de réfléchir, ... (cf ligne 2)
C'est plus facile de taper sur le programme qui se fait pirater
La nouvelle récente sur le vol d'un fichier wallet a énormément réduit ma confiance envers le système.
Peut-être que ça fera (enfin) prendre conscience aux gens que leur système d'exploitation est juste un gros gruyère...
Et juste pour cette raison, je trouve cette période plutôt saine. Même si tout ça va changer très bientôt (c'est la préoccupation numéro 1 des développeurs en ce moment).
PS: je trouve ça hilarant d'entendre des exclamations du style « mais j'utilise un anti-virus! »
Bonjour,
je connais bitcoin depuis janvier environ et j'ai entammé un long fil sur le site liberaux.org:
http://www.liberaux.org/topic/46885-bitcoin/
La nouvelle récente sur le vol d'un fichier wallet a énormément réduit ma confiance envers le système.
Je m'autocite:
Quote
Certes, on savait depuis le début que le fichier wallet doit être protégé scrupuleusement, et que de nombreuses précautions doivent être prises. Le gars qui s'est fait volé a été particulièrement imprudent. N'empêche, on est obligé d'admettre que cela remet sérieusement en question la sécurité du système.
Dès le début Nakamoto a choisi de placer la sécurité de l'accès aux clefs privées sous la responsabilité du système d'exploitation. Et les hackeurs ont vite compris que c'est bien là le point de faiblesse. C'est bien beau d'avoir des paires de clefs à courbes ellyptiques, ça ne sert pas à grand chose si leur accès est protégé par un mot de passe mémorisé par un être humain.
Certes, il y a tout un tas de précautions qui peuvent être prises pour éviter tout problème. Créer un utilisateur dédié sur un système unix, faire tourner le logiciel sur une machine virtuelle sous Windows, bloquer les ports sensibles, etc. Mais clairement ça remet fondamentalement en question l'utilisabilité du logiciel.
En fait cette histoire me fait douter de l'utilité de la cryptographie pour le grand public (et je me considère comme faisant partie du grand public). De nos jours un mot de passe même comprenant des caractères spéciaux (!:@% etc) est considéré comme crackable avec du matériel dédié, et ce jusqu'à une longueur de douze caractères. Douze caractères, c'est long.
En fait la cryptographie assymétrique c'est un peu comme une porte blindée: c'est solide mais ça sert pas à grand chose si c'est pour la mettre à l'entrée d'une maison en bois ou d'une maison dont les fenêtres sont grandes ouvertes.
Dès le début Nakamoto a choisi de placer la sécurité de l'accès aux clefs privées sous la responsabilité du système d'exploitation. Et les hackeurs ont vite compris que c'est bien là le point de faiblesse. C'est bien beau d'avoir des paires de clefs à courbes ellyptiques, ça ne sert pas à grand chose si leur accès est protégé par un mot de passe mémorisé par un être humain.
Certes, il y a tout un tas de précautions qui peuvent être prises pour éviter tout problème. Créer un utilisateur dédié sur un système unix, faire tourner le logiciel sur une machine virtuelle sous Windows, bloquer les ports sensibles, etc. Mais clairement ça remet fondamentalement en question l'utilisabilité du logiciel.
En fait cette histoire me fait douter de l'utilité de la cryptographie pour le grand public (et je me considère comme faisant partie du grand public). De nos jours un mot de passe même comprenant des caractères spéciaux (!:@% etc) est considéré comme crackable avec du matériel dédié, et ce jusqu'à une longueur de douze caractères. Douze caractères, c'est long.
En fait la cryptographie assymétrique c'est un peu comme une porte blindée: c'est solide mais ça sert pas à grand chose si c'est pour la mettre à l'entrée d'une maison en bois ou d'une maison dont les fenêtres sont grandes ouvertes.
Commentaires bienvenus sur ce fil ou sur celui de liborg
Jump to: