Mnémonique de 12 mots

bonjour
Je réagis à cette phrase :
« mot de passe de 12 mots générés automatiquement, à copier-coller pour les sauvegarder »
et je suis perplexe :
pourquoi compliquer les choses ?
J’utilise mon téléphone portable et mon ordinateur pour certifier ou faire des échanges. Avec ce nouveau système il faudra soit avoir un téléphone portable capable d’enregistrer cette phrase soit se contenter d’un ordinateur.
Or il est très possible de trouver avec un logiciel ou une autre technique le document qui contient la phrase sur un téléphone portable. Ce n’est pas à la portée de tout le monde mais c’est possible.
En revanche trouver des mdp et identifiant complexes c’est impossible ( sauf si on peut passer des millions d’années dessus ).
J’ajoute que même un « code pin court, plus facile à mémoriser, qui suffira pour accéder à tous nos comptes tant que l’on restera sur le même appareil. » ne rendra pas les choses plus sûres ou plus pratiques.
Que deviennent les personnes sans téléphones portables ou sans ordinateurs ( ou sans les 2 ) ?
En outre, la technique de la phrase va en rebuter beaucoup. La monnaie libre deviendra-t-elle un monde fermé de personnes suffisamment à l’aise avec cette technique ?
bref, s’il est encore possible de changer, je serai ravie.
bonne journée

2 « J'aime »

En quoi est-ce plus compliquer de copier-coller 12 mots que de noter un identifiant et un mot de passe ?

bonjour @Maaltir

as-tu lu tout mon message ?

Oui, j’ai tout lu, et je ne vois pas de réponse à ma question.

Un Mnémonique de 12 mots est la base de toutes les blockchain sécurisée. Il suffit de taper sur le web pourquoi le mnemonic est important dans une blockchain et tu auras pleins d’explications pertinentes
De plus c’est la base de Substrate (DUNITERV2) et Polkadot

La G1 étant une cryptomonnaie, sans téléphone ou sans ordinateur c’est effectivement impossible à utiliser. Il est toujours possible d’utiliser un portable ou un ordi d’un ami

J’entends ton besoin, et merci pour le partage, mais je pense que la réalité est bien différente : la G1 est née comme cryptomonnaie et elle continue ainsi.
Avec DUNITERV2 plus sécurisée, plus performante, plus accessible… :pray:

Un copié-collé c’est rapide sauf :
Si je veux utiliser le portable d’une autre personne pour faire un virement, je dois réécrire la phrase.
Si je n’ai pas d’ordinateur, je dois réécrire la phrase chaque fois que j’utilise un nouvel ordinateur ou un téléphone portable.
Si je veux utiliser mon téléphone portable et mon ordinateur, je dois enregistrer la phrase sur les deux.
En revanche, avec mes identifiant et mot de passe, il me suffit de les avoir en tête et de les écrire.
En outre, c’est moi qui les ai choisis donc c’est facile de m’en souvenir, pas besoin de papier ou autre truc, je peux utiliser le téléphone portable de truc, l’ordinateur de machin…
Une phrase que je n’ai pas choisie, je risque de l’oublier. Si elle est dans une autre langue que le français, je l’oublierai !

Et puis du point de vue sécurité, je préfère l’ancienne technique nettement plus sûre ( voir mon message précédent ).

1 « J'aime »

L’être humain est capable de retenir 12 mots, même s’il ne les a pas choisi, c’est à peine plus compliqué que de retenir un n° de tel. L’exemple évident est l’apprentissage de textes de poésies, écrits par d’autres, souvent à une autre époque, que l’on est capable de restituer des années plus tard et qui contiennent bien plus que 12 mots. Il suffit d’un peu de bonne volonté et de se dire que c’est à la portée de tout le monde. D’ailleurs on ne parlerait pas de mnémonique si ce n’était pas relatif à notre capacité de mémoriser…

Quant à la sécurité d’un mot de passe, tôt ou tard, le plus complexe sera inévitablement vulnérable face aux calculateurs de plus en plus puissants.

Oui pour les poèmes bien sûr !
Cependant, quand nous parlons de phrases de 12 mots, parlons-nous de phrases en français et ayant un sens ou des mots successifs sans lien entre eux, voire en anglais ou une autre langue ?
En outre le copié-collé est toujours source de fragilité face aux attaques.
Un moyen sûr c’est notre mémoire sans documents téléchargés sur notre téléphone portable ou notre ordinateur.
En outre la monnaie libre doit-elle être excessivement protégée quitte à faire en sorte qu’elle reste un moyen d’échange entre gens très qualifiés ? et donc pour une élite ?

Bon ok, ça vous énerve de devoir taper plein de mots qui ont été choisi au hasard pour vous connecter, je le comprend et même moi je trouve ça chiant.
Ça vous énerve encore plus avec des mots anglais, bon je le comprend très bien.

Je vais essayer de vous expliquer pourquoi c’est une nécessité :

J’avais fais un sondage sur le groupe de juniste de mon département et m’étais rendu compte qu’un pourcentage important ont des mots de passes faibles voir très faibles.

Hors vu que ce sont des comptes membres qui peuvent certifier si ces comptes mal sécurisés sont piratés ils peuvent alors certifier plein de faux comptes et si l’attaque est bien orchestrée avec suffisamment de comptes ils peuvent potentiellement créer une infinité de faux comptes membres qui à leur tour cocrérait des DU sans limite et prendrait le contrôle de la toile de confiance en évinçant les junistes petit à petit.

En fait si on veut faire les choses bien et empêcher des personnes mal intentionnées via les nouvelles possibilités offertes par l’IA et toute cette puissance de calcul qui explose de nous faire du tort, on ne peut pas laisser les gens décider eux même de leur mot de passe. Car ça vulnérabiliserait l’ensemble de la G1.

Les gens en général sont nuls, voire archinuls avec la sécurité informatique. Ils s’en contrefichent en fait tant que ça ne vient pas leur causer du tort. Ensuite ils viennent se plaindre :

Donc la ils auront le choix entre un mot de passe sécurisé et un mot de passe sécurisé basta.

Et oui, on est tous pénalisé par ça mais il suffit d’un pourcentage assez faible de personnes malhonnêtes dans notre société pour que nous ayons tous des clés de voitures, clé de maison, codes de cartes de paiements, mots de passes qui nous compliquent la vie au quotidien et nous font perdre du temps et de l’argent… :upside_down_face:

1 « J'aime »

En fait, je fais partie des personnes qui n’auront aucun mal à utiliser ce genre de « phrase » et comme toi je sais qu’il y a des membres avec des mdp un peu lègers…
En revanche, je sais que ce système rendra les choses moins agréables pour certaines personnes.

bonjour,
quelques réflexions qui vont dans le sens de @Poesy

  • un copier/coller laisse des traces (une ami s’est connectée sur mon smrtphone et quand j’ai voulu entrer sur mon compte c’est sin ID et mtp qui s’affichait),
  • pour aller sur mon compte bancaire j’ai un ID de 9 chiffres et un mtp de 8 chiffres; dois-je comprendre que mon compte est vulnérable?
  • penser que les gens sont nuls n’est-ce pas réducteur? Ne peut-on penser que ce sont ceux qui ne donnent pas les informations minimales qui sont nuls (comme par exemple expliquer la licence, expliquer comment sécuriser un compte,… prendre le temps d’expliquer au lieu de penser qu’il est préférable d’imposer)

Ne sombrons nous pas dans une paranoïa numérique en pensant que la june serait susceptibles d’attaques de l’IA (avant les 20 prochaines années :thinking:)

bonjour,
ce que je crains c’est que beaucoup de personnes trouvent ce système compliqué à mettre en place et qu’on reste entre « gens très qualifiés ».
Pour la petite histoire, une amie s’est fait pirater et a perdu 11 000€ environ.
Comment est-ce possible ? Je n’ai aucune certitude mais elle avait, sur son téléphone portable, un document très « sécurisé » avec ses mdp, il suffisait d’un copié-collé et le tour était joué. J’ai vu les mdp : très très compliqués à trouver ! 15 caractères minimum, une majuscule et une minuscule minimum, des chiffres, un symbole minimum, bref, la totale !
En revanche, si elle avait fait confiance à sa mémoire, ce vol aurait-il été possible ?

1 « J'aime »

Oui je suis d’accord avec vous qu’il vaut mieux éviter les copier coller qui laissent des traces.

Le mot de passe à 8 chiffres plus votre identifiant bancaire à 9 chiffres seraient ridiculement insuffisant à eux seul pour sécuriser votre compte bancaire.

On voit sur ce tableaux que 17 chiffres tiennent 4 semaines en brute force en 2020 ce qui veut dire moins longtemps encore aujourd’hui en 2024. Ce qui signifie qu’en 4 semaines le pirate via une attaque brute force aurait accès aux comptes de tous les clients de la banque sans exception.

Il y a donc un truc, et oui, la différence est qu’il s’agit d’un service centralisé qui est beaucoup plus facile à sécuriser.
Dans ce cas précis je suis persuadé qu’il n’est pas possible de faire plus que quelque tentatives erronées avant de se connecter sinon votre banque détectera une potentielle attaque et figera les tentatives de connexion pendant une certaine durée. (Vous pouvez vous amuser à tester pour voir !) Ce moyen simple empêche ce type d’attaque brute force.

De plus une fois sur votre compte pour faire des opérations vraiment significative comme un virement il vous faut très probablement confirmer avec un code reçu par SMS ou email, (parfois les deux) et souvent en plus téléphoner au conseiller bancaire pour des sommes importantes.
Donc dans ce dispositif de sécurité le mot de passe n’est qu’un élément parmi d’autre.

Mais la june n’a pas ce luxe d’être centralisé pour sa sécurité, elle est décentralisé donc il n’est pas possible de limiter à quelques tentatives et de bloquer les tentatives ultérieures pour se prémunir d’une attaque bruteforce. Pas de SMS ni de mail de confirmation non plus, pas de conseiller pour valider les grosses opérations.
Le mot de passe est la seule et unique sécurité.

Oui bon, ok, je ne dis jamais à quelqu’un qu’il est nul personnellement en fait pour la raison que vous dites, j’essaie plutôt de le tirer vers le haut en l’aidant à comprendre, mais dire que tout les junistes sont globalement nul en sécurité informatique me parait moins gênant et surtout factuellement vrai.
Après ça peut changer si ils s’y intéressent et qu’ils se forment on est bien d’accord.

C’est important de leur prévoir un système qui les protège, pas un truc avec plein de pièges ou ils vont se faire plumer par des hackeurs en herbes.

J’ai déjà fait des présentations pour faire découvrir la june et souvent sur les gmarchés je répond aux questions informatiques etc. Donc j’essaie de tirer vers le haut mais faut être réaliste tout le monde n’a pas besoin d’être expert en sécurité informatique pour une utilisation normale et heureusement.

Je précise que je n’ai participé à aucun développement informatique de la june, je suis un simple juniste « de base ».

J’ai répondu à Poésy pour essayer de lui faire comprendre les enjeux d’un point de vu sécurité informatique pour qu’elle comprenne que le but n’est pas d’embêter pour le plaisir les utilisateurs mais que c’est nécessaire d’avoir des comptes sécurisés et que la solution retenue n’est pas du tout scandaleuse.

Je comprend très bien pourquoi les développeurs ont pris ce choix la du mnémonique à 12 mots qui est un choix de la raison et de la responsabilité, c’est d’ailleurs relativement standard comme choix dans l’industrie de la cryptomonnaie. Pour le coup si ils avaient laissés des mots de passes comme actuellement sur césium, la oui on aurait put se plaindre !

De ce que je comprend les informaticiens qui gère la june sont déjà débordés donc non ils n’ont pas le temps d’expliquer des choses aussi simple.

Pour les personnes qui souhaitent approfondir ce sujet de la sécurité informatique et se former pour petit à petit devenir super fort (et pas des gros nul comme maintenant :sweat_smile: :wink: :heart:) je vous conseille le site de Korben qui est une référence en la matière :

PS : Je me suis amusé à calculer la résistance d’un mnémonique de 12 mots en bruteforce basé sur un dictionnaire de 2048 mots ça donne 2048¹²=5.4445179e+39 possibilités.
Dans le tableaux ci dessus 50 millions de combinaisons sont testées par seconde donc il faudrait 1.0889036e+32 secondes pour tester toute les combinaisons ce qui représente 3.4528906e+24 années ce qui représente environ 3 millions de milliards de milliards d’années pour tester toutes les combinaisons avec un ordinateur actuel.
Cette durée est à comparer aux 25 secondes que requiert un ordinateur actuel pour trouver un mot de passe à 12 chiffres !

Donc en gros avec les mnémoniques à 12 mots ont sera tranquille jusqu’à l’arrivée des ordinateurs quantiques pas cher qui permettront de résoudre la factorisation de très grands nombre en produit de facteurs premiers rapidement.
C’est sur cette impossibilité de résoudre ces factorisations en facteurs de nombres premiers en un temps raisonnable que sont basées toutes les cryptomonnaies avec le principe des clés privés et clés publiques. Donc l’arrivée d’ordinateurs quantiques pas cher signera la fin des cryptomonnaies dans leurs formes actuelles, en effet elles ne vaudront plus rien puisque ceux qui auront de tels ordinateurs pourront se servir sur les comptes. Mais ça va on a encore du temps devant nous… :sweat_smile:

2 « J'aime »

+1 @Poesy

La monnaie libre dans son implémentation actuelle est déjà trop compliquée pour le juniste moyen. Ajouter des sécurités à l’infini finira par faire fuire le peu de gens qui reste. Quel gachis!

1 « J'aime »

salut @kalimheros
tu as résumé en quelques mots ce que je pense. :grin:

Pour Phanthom (Solana) et Metamask ( Ethereum, Avalanche, …) le mnemonique n’est utilisé qu’à l’installation de l’appli, ensuite on entre avec un code pin ou un mot de passe.
Est-ce que ce sera le cas pour Cezium?
La sécurité de la blockchain ne dépend pas, il mesemble de l’accès à un compte !
Un utilisateur qui choisi un mot de passe faible risque de compromettre son portefeuille , mais c’est sa responsabilité.
On pourrait mettre un mot de passe pour l’accès à l’appli et utiliser le mnémonique uniquement pour l’installation ou la certification d’un autre compte ?

Oui, Pareil pour Cesium2 ou Gecko … installation de l’appli sur un support (ordi-tel) ou qd tu change de support