Topic: Comment perdre ses crypto : les erreurs à éviter (topic participatif !) (Read 291 times)

C'est pour ça qu'il faut espérer, voire faire pression pour que la double auth UFA soit prise en charge par plus d'acteurs, sur le web

@Meuh6879: Le coût d'un nom de domaine est même bien moins cher que 30 euros... en restant dans l'entreprise de qualité, gandi, ~16euro, bien sûr, c'est toujours selon le TLD choisi :p

1) tu achête un domaine,
2) tu achête un cube informatique (boite pas plus grande qu'un disque dur amovible),
3) tu installe une distro. linux pour un serveur mail sécurisé,
4) tu mets un dynDNS si t'as une IP dynamique,
5) tu contrôle tes emails depuis ton propre matériel avec ton propre domaine (30 euros par an).

https://samhobbs.co.uk/taxonomy/term/3

Je comprends tout à fait ce que tu dis sur le 2FA et ce que tu dis sur la protection GPG ou SSH
C'est comme avoir un Linux mal configurer et un Windows barder de protection et je pense qu'il y en a plein dans ce cas ( moi dedans hien ).

La plus des gens n'y connaisse que dalle en sécurité, c'est pas facile de se protéger.
Et vu qu'en face on a des personne qui utilise des truc pas forcement fiable ( les exchanges)

Comment tu fais avec une clef UFA et t'en servir avec Binance ? ( par exemple) Tu ne peux pas ?

Tu peux le croire, et tu es libre de le croire.
Je fais partie de ces personnes qui sont absolument convaincus qu'une mauvaise sécurité n'est pas de la sécurité !
Et qu'il faut ABSOLUMENT l'éviter.

Un autre exemple de sécurité à éviter : une clé GPG, ou communication SSH mal configurée.
Tu trouveras quantité de tutoriels qui t'expliquent comment créer facilement l'une ou l'autre, en faisant complètement l'impasse sur les informations essentielles de configuration "sécurisée" de l'une ou de l'autre.
Quand tu es newbie, tu fais malheureusement confiance... et tu te fais leurrer, tu crois être sécurisé, mais tu ne l'es pas !

Tu achètes une autre clé et tu "l'authentifies"... Faut bien comprendre que c'est ni plus ni moins un système d'authentification fort (voire très fort) pour permettre la "communication sécurisée" d'information sensible.
Cela ne garde pas de données - et ne dois pas en garder. (là c'est mon avis ...)
Cela ne fait qu'ASSURER l'authentification de la communication entre deux "systèmes", ta clé et le service utilisé.

Tu changes de clé ? tu fais le nécessaire pour la faire reconnaître par le système de double authentification, ni + ni moins.
Le principe est l'équivalent de la gestion de clé TLS pour le chiffrement de la communication entre un serveur web et un client web.
En tant qu'administrateur web, quand la "clé" est changée, tu changes de certificats, le serveur doit indiquer la nouvelle "clé", le nouveau certificat, sinon pas d'accès !
Généralement tout se passe bien - c'est totalement transparent, normalement, pour l'utilisateur web...

C'est le même principe qu'utiliser une clé USB pour verrouiller, déverrouiller une partition chiffrée. À la différence près que pour une partition chiffrée, tu pers ta clé, à la fois la clé physique, que la passphrase... là, tu n'as plus accès à tes données. Il te faut mettre en "sécurité" ta passphrase liée au chiffrement de la partition... pour pouvoir la réutiliser sur toute nouvelle clé USB qui pourrait te servir pour cet usage, facilitant l'usage.

PS : je mets entre guillemets certains mots, c'est surtout pour indiquer qu'il ne faut pas le prendre au sens littéral, mais dans le concept qui se cache derrière

Je savais que pour les SMS c'était possible, vu que rien n'est crypté et autres.
Y a même des chercheurs qui ont réussi à avoir des SMS car le portable était hors de connexion. Donc tu mets hors service le portable de la cible tu as ses SMS.

Mais bon comme d'hab, faut mieux mettre la protection 2FA de google que de rien mettre.
Ca limite les gens qui peuvent voler tes comptes.

Le UFA je connais pas trop, mais si tu paumes ta clef USB ça se passe comment ?

Une fois la honte partagée ça va mieux et ça fait du bien d'en parler lol 

Le système 2FA n'est absolument pas sûr - c'est certes un système de double authentification, mais par SMS - et c'est là où c'est bizarre, où l'on se dit mais attend le SMS je le reçois par SMS, ou parfois par mail - mais d'autant les deux peuvent être aisément "capturés". Et, en effet, il existe une faille dans le protocole de communication téléphonique qui n'est pas du tout corrigée - apparemment - qui permet à un cracker - et, non pas hacker - de "voler" la réception du SMS de confirmation.
Bref, contrairement, à ce que l'on croît, et ce que certains veulent faire croire, la double authentification 2FA est... à fuir assurément, et n'importe réellement aucune sécurité.
Et si tu ne me crois pas - ce qui serait normal - fais des recherches sur internet, pour comprendre cette histoire de faille 2FA - SMS.
Tu as moins de probabilité de faire "pirater" ton mail, même si existentiel... là, de l'intérêt d'utiliser le chiffrement GPG, voire des plate-formes qui chiffrent tes mails (tel protonmail, msgsafe.io, et certainement bien d'autres...).
L'autre problème est que la "seule" 2FA réellement fonctionnelle est celle de Google. Et comme ça vient d'eux beaucoup se disent : "oh, beh, pas de problème, alors..." - sauf qu'on en connaît les limites...
La faille téléphonique n'est pas de la faute à Google - ne pas se tromper... mais cela n'en reste pas moins que cette faille est sérieuse, existentielle, donc, de fait le protocole 2FA n'est pas fiable.

Là, où c'est possible, il vaut mieux préférer la double authentification, de type UFA - autrement dit par matériel de type clé USB qui "reçoit" un code que tu valideras. Cela nécessite encore une fois d'investir quelques euros, dans ce genre de clés de chiffrement. Certaines sites proposent cette double authentification, par exemple, gandi.net et sa nouvelle interface d'administration... Il faut espérer que cette technique se généralise.

Bref, dans tout ce que je dis là, j'écris, je peux assurément me tromper... moi qui ne suis qu'un petit techos IT, néanmoins sensible aux questions de sécurité IT.

Si google trouve une fail et ce dit c'est trop chère à colmaté, on laisse comme ça.
Toi tu n'est pas au courant, car si tu le savait tu fermes tout et tu va ailleurs.
Sauf que quand un hacker à trouver cette faille et l'utilise bah c'est toi qui est dans la merde .

Un hacker arrive à détourné le système 2FA de google, ( je sais pas comment, mais s'il arrive ) il peut ce connecté à beaucoup de sites.


C'est un peu comme ta banque, l'exemple basique, quand tu demandes à ta conseillère de te rappeler et elle ne le fait pas.
Tu est dépendant de la banque.
La dans le principe tu remets ta sécurité à Google et le géant est en Amérique. Ce qui donne qu'il doit ( je sais plus maintenant ) donner les infos au gouvernement américan, ...

Si tu pouvais expliquer davantage, ce serait bien.

bisou

sauf quand on contrôle ses propres domaines ... et donc la console de gestion des emails créées ... et donc l'accès strict à eux (aux emails).

je ne place aucune confiance dans le 2FA ... c'est un procédé qui demande à un tiers de certifier.

Pourrais-tu expliquer sans trop de détails comment tu as fait ?

En fait tu as craqué le mdp du mail et demandé à la plate-forme un nouveau mdp en fait, c'est bien ça ?

1. tu peux consulter le lexique à 2FA : https://bitcointalksearch.org/topic/lexique-crypto-pour-tous-informatique-crypto-trade-et-tutti-quanti-2302417

2. Pareil avec ton adresse mail : dans sécurité, tu vas dans l'option 2FA pour n'ouvrir ton adresse mail que via google authenticator installé sur ton téléphone.

Arf j'ai honte mais j'ai buy aussi des cryptokitties au lancement avec des frais de malade, pensant faire un investissement hold, bref ne jamais suivre comme un mouton les idées lumineuses de certains visionnaires en herbe!! d'ailleurs j'ai de jolies chatons à vendre si jamais..

L'épingler sera impossible, le modo est en congés 

Oh que si c'est important.
Pour exemple hier juste en connaissant l'adresse email d'un pote j'ai pu récupérer son compte binance et coinbase, car pas de 2FA sur aucun compte.
Evidemment le pote  il était avec moi, je suis pas un escroc  
Perso mon adresse email est crypté et en plus elle est protégé par un 2FA.

genre moi

Je rajoute :
 - Perdre sa clé privé ou sa phrase memnonic.

Et oui y en a plein qui ont perdu le coin de cette façon.

Merci pour les conseils ! Très bonne idée ce post

5. Ne pas sécuriser son adresse mail et ne pas utiliser la 2fa (google authenticator par exemple)

La 2fa si j'ai bien compris c'est un double identification pour ouvrir son wallet c'est bien ça ?

L'adresse mail sécurisée je ne comprends pas. Aucune clé ne transite par le mail. C'est quoi l'erreur à ne pas faire stp ?

Du coup ca serait bien de regrouper toute les idées dans le post d’entête non ?!
L’éditer et mettre toute les idées qui paraissent bonne et même l'eplingler comme reference

Les avis des autres sont souvent très intéressants, pour ma part ce sont tous les avis que je mélange pour faire le point ensuite. J'avais acheté du antshares grâce à des avis avisés justement ...

Thank you à nos homologues anglophones