On peut aussi carrément mettre une adresse bitcoin et l'enregistrer, puisque les mdp de Chrome ne sont pas moins inintelligibles que ça...
Sinon n'oubliez pas, y'a toujours la méthode XKCD :
Topic: [Guide] Sécurité des comptes Bitcointalk (Read 1199 times)
Je le souligne ici pour ceux qui ne l'auraient pas encore remarqué, on sait jamais : Chrome propose maintenant automatiquement ses mots de passe générés lorsqu'on veut changer son mot de passe bitcointalk. Bien sûr il l'enregistre (vérifier bien que ça soit le cas avant de déconnecter quand même) puisqu'ils sont quasi impossible à se rappeler(grosse entropie).
On peut aussi carrément mettre une adresse bitcoin et l'enregistrer, puisque les mdp de Chrome ne sont pas moins inintelligibles que ça...
Sinon n'oubliez pas, y'a toujours la méthode XKCD :
On peut aussi carrément mettre une adresse bitcoin et l'enregistrer, puisque les mdp de Chrome ne sont pas moins inintelligibles que ça...
Sinon n'oubliez pas, y'a toujours la méthode XKCD :
Clé Titan reçue et installée. Un petit retour/tuto ici : https://bitcointalksearch.org/topic/guidesecurite-securisation-gmail-avec-google-titan-5174312
Tu parles de quoi quand tu dis protection automatique du forum ?
Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.
Non je parlais de la protection qui contre automatiquement ce type d'attaque.Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.
Par exemple: [url=https://yahoo.fr]https://bitcointalksearch.org/topic/another-xlm-fork-stellar-shark-asking-private-key-on-their-wallet-5154525[/url] va afficher
https://yahoo.fr
et non https://bitcointalksearch.org/topic/another-xlm-fork-stellar-shark-asking-private-key-on-their-wallet-5154525 comme ça le ferait normalement.
L'attaque homographique permet de court-circuiter cette protection là.
Tu parles de quoi quand tu dis protection automatique du forum ?
Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.
Si c'est un lien vers le forum il se mettra en vert quand tu passes dessus, sinon en bleu. Et ca ca fonctionne toujours. Y compris dans ce cas.
En Meta un utilisateur rapporte comment il a failli se faire hacker son compte :
Le hacker a utilisé la technique des fake links par attaque homographique dont parle F2b dans l'OP.
En utilisant un compte préalablement hacké (ou acheté), il a envoyé un MP à la victime en lui disant qu'il lui avait répondu sur le thread en lien.
alors qu'il s'agissait en fait d'un lien caché, avec un "r" en alphabet cyrillique(".oгg" sic) pour shunter la protection automatique du forum.
[url=http://XXXXX.com.tr/]https://bitcointalk.oгg/index.php?topic=5154525.0#msg51488782[/url]
Ce lien l'a alors amené à une fausse de page de login oú il était indiqué que sa session venait d'expirer et l'invitait à saisir son login...
https://bitcointalksearch.org/topic/how-scammer-tried-to-hack-my-bitcointalk-and-how-to-protect-yourself-5173531
Le hacker a utilisé la technique des fake links par attaque homographique dont parle F2b dans l'OP.
En utilisant un compte préalablement hacké (ou acheté), il a envoyé un MP à la victime en lui disant qu'il lui avait répondu sur le thread en lien.
alors qu'il s'agissait en fait d'un lien caché, avec un "r" en alphabet cyrillique(".oгg" sic) pour shunter la protection automatique du forum.
[url=http://XXXXX.com.tr/]https://bitcointalk.oгg/index.php?topic=5154525.0#msg51488782[/url]
Ce lien l'a alors amené à une fausse de page de login oú il était indiqué que sa session venait d'expirer et l'invitait à saisir son login...
https://bitcointalksearch.org/topic/how-scammer-tried-to-hack-my-bitcointalk-and-how-to-protect-yourself-5173531
@Saint-LoupMoi,
Docker
[…]
Docker
[…]
Je sais (à peu près) ce qu'est Docker, merci
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?
Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.
Bon allez, fin du p'tit HS.
@Saint-LoupMoi,
Docker
[…]
Docker
[…]
Je sais (à peu près) ce qu'est Docker, merci
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?
Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.
Deux jours que ma titan est expédiée et n'a pas bougé de toronto
. Je veuxxxxx @Saint-LoupMoi,
Docker
[…]
Docker
[…]
Je sais (à peu près) ce qu'est Docker, merci
C'est juste que je ne voyais pas trop ce qu'ils comptent faire. En fait ils prévoient juste de créer une image epochtalk avec tout ce qu'il faut dedans ?
ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.
Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.
On sait pas vraiment comment fonctionne le Google 2FA.
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.
L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.
Comme tu dis le code pin généré est visiblement simplement le resultat d'une opération entre le timestamp et la clé privée.
Le serveur pourrait donc théoriquement la réaliser de son côté puis la comparer avec le code fourni, si il connait l'algo, puisqu'il connaît cette clé privée.
Moi en fait ça me fait un peu penser aux dice games "provably fair".
Gràce à quelques opérations ils te sortent un nombre à 4 chiffres à partir des seeds client et serveur et d'un nonce.
ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.
Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.
On sait pas vraiment comment fonctionne le Google 2FA.
Je n'ai jamais eu à l'implémenter, mais j'imagine que le site ou le 2FA est requis va fournir aux serveurs de Google le code entré.
L'algorithme qui génère ce code est basé sur le temps, et à mon avis le serveur de Google renvoie l'info si le client a fourni le bon code et peut se co, ou pas.
Arf mon clavier cerveau a fourché...
@Saint-Loup,
Merci de penser à moi, mais ce n'est pas moi qui parlait de Docker ici, c'est F2b
@Saint-Loup,
Docker c'est une solution de container.
L'idée c'est que quel que soit on os/ton hw, tu peux installer docker et lancer une image docker, qui va permettre d'utiliser le service clé en main.
Ca facilite grandement l'administration de certains services, vu que tu n'as pas du tout à te soucier de dépendances, ou d'installations compliquées.
La fonction s'adresse donc aux personnes voulant déployer un forum epochtalk, et non à l'utilisateur final.
Docker c'est une solution de container.
L'idée c'est que quel que soit on os/ton hw, tu peux installer docker et lancer une image docker, qui va permettre d'utiliser le service clé en main.
Ca facilite grandement l'administration de certains services, vu que tu n'as pas du tout à te soucier de dépendances, ou d'installations compliquées.
La fonction s'adresse donc aux personnes voulant déployer un forum epochtalk, et non à l'utilisateur final.
Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum.
Le 2FA sur Epochtalk est dans la catégorie "Planned features", d'après la roadmap disponible sur le site, au même titre que le Trust, les emojis, la fonction Ignore, et quelques autres trucs plus obscurs. (À mon avis ils essaient déjà de faire tourner le forum avec les fonctions de base correctement avant d'
ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.
Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.
ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.
Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.
Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs
Après le 2fa reste une option, activable ou non sur la plupart des sites le proposant.
il faudrait gérer les pertes de clefs des utilisateurs
Là oui, effectivement ça pourrait engendrer la création d'un pool de 'support technique' dédié à ces problèmes, la galère quoi.
@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.
Adresse compromise = compte compromis. Sans parler des échanges.
Adresse compromise = compte compromis. Sans parler des échanges.
Site non à jour, failles découvertes, ... Je pense que c'est plus emmerdant.
@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.
Adresse compromise = compte compromis. Sans parler des échanges.
Adresse compromise = compte compromis. Sans parler des échanges.
Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.
Je ne pense pas que ça soit qu'une question de complexité technique sinon ils l'auraient implémenté sur la nouvelle version du forum. Il doit y avoir d'autres considérations derrière tout ça, peut-être que les admins ne veulent pas que ça soit trop lourd pour les utilisateurs, ou peut-être que ça consomme trop de ressources materielles, ou humaines(il faudrait gérer les pertes de clefs des utilisateurs) Alors qu'après tout ça ne reste qu'un forum, on y stocke ni cryptos, ni documents, donc bon...
D'ailleurs connait on la raison pour laquelle le 2fa n'existe pas sur ce forum ? Ca augmenterait encore un peu le niveau de sécurité, non ?
A moins que des points précis puissent donner lieu à une quelconque hésitation, auquel cas je suis curieux de les connaitre
A moins que des points précis puissent donner lieu à une quelconque hésitation, auquel cas je suis curieux de les connaitre
Chaque chose a un prix.
Oui, ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.
Et puis, comme Halab le souligne, ce n'était absolument pas prévu avec cette mouture de forum donc il faut l'implémenter de manière safe, et c'est super critique.
Ceci étant dit, je pense qu'intégrer les solutions de 2FA qui ont été crées par les hardwares wallets (U2F) serait peut être une bonne chose ?
Pas forcément besoin de Google Authenticator ou autres applies des GAFAM
Ok, sachant que le message date de 2014, et vu le talent de certains utilisateurs de ce forum, si ça n'a pas été fait c'est effectivement que cela doit être complexe. Ty pour les précisions.
Jump to: