Quel est le risque d'avoir son compte membre piraté en suivant le sujet la marche à suivre pour devenir utilisateurtrice de la G1

Dans le sujet : 02 : La marche à suivre pour devenir utilisateur/trice de la Ğ1 ( dite “June” )

Il explique comment transformer son compte en membre et notamment y mettre un mot de passe sécurisé. https://forum.duniter.org/t/recommandations-de-securite-v3-a-lire-avant-de-creer-votre-compte-g1/1829 Ou on y trouve cette liste de mot ou signe, que l’on choisi de manière aléatoire avec des dés. Seulement, n’importe qui peut avoir accès à cette liste, et donc avoir la possibilité de pirater facilement tous les comptes qui seraient créer à partir de cette liste ? Pour ma part, je conseille l’utilisation d’un dictionnaire que l’on ouvre à une page au hasard pour choisir ces 10 mots, auquel on rajoute majuscules, signes, et chiffres de manière aléatoire. Par avance, merci de votre avis

Vous parlez bien de la liste de mots préétablie dans laquelle on peut piocher des mots au hasard pour constituer des identifiants secrets ?

L’utilisation de cette liste est équivalente à celle d’un dictionnaire, puisque le dictionnaire est public aussi. Le nombre de suites de N mots tirés au hasard dans une liste de L mots est L^N (L à la puissance N).

Si on prend 6 mots dans un dictionnaire de 5000 mots, on a 5000^6 ≈ 10^22 (22 zéros) possibilités.

Sauf que l’adversaire ne sait pas quel dictionnaire on a utilisé, ni combien il y a de mots, ni même si on a suivi cette méthode. Le nombre de possibilités est donc encore plus élevé. De plus, il y a deux identifiants, donc si on a pris 6 mots pour chaque, on se retrouve avec 5000^12 ≈ 10^44 possibilités.

Le réseau bitcoin calcule actuellement environ 1,5×10^20 hashes par seconde. Or, un hash de ce type est beaucoup plus rapide à calculer qu’une clé publique Scrypt (l’algorithme utilisé dans la Ğ1). Donc même avec des millions d’ordinateurs très puissants, casser un tel mot de passe pourrait prendre des millions d’années.

Mon ordinateur personnel (Intel core i5, 7e génération) plafonne à 170 tentatives par seconde, ce qui est ridicule. (voir ğ1force, outil pour bruteforcer la Ğ1)

Pour ce qui est d’ajouter des majuscules, symboles et chiffres, ça augmente un peu le nombre de possibilités. Cependant si on veut pouvoir s’en souvenir, il faut limiter ces insertions à des choses comme o -> 0 ou e -> 3. Même comme ça on ne se souvient pas forcément de quelle lettre a été remplacée. Il faut donc être sûr de son coup.

À chaque fois que je parle de mot de passe je la place :

1 J'aime

Dans la liste, il y a des mots, et des signes … donc pas facile à retenir. Et il n’y a moins mots proposés que dans un dictionnaire. Le pirate ne peut-il pas faire tourner sa recherche avec seulements les mots et signes proposer dans la liste ? Ce qui rends la tache plus rapide ?

1 J'aime

Effectivement, dans ce cas mieux vaut utiliser un dictionnaire…

On peut aussi décliner cette méthode avec d’autres livres, ou même avec la fonction « article aléatoire » de Wikipédia et du Wiktionnaire.

1 J'aime

Oui tout à fait, peut importe le livre, reel ou virtuel. Alors ne serait-ce-pas mieux de proposer cela aux débutants qui viennent s’inscrire, et qui sont vite amenés à lire le sujet : 02 : La marche à suivre pour devenir utilisateur/trice de la Ğ1 ( dite “June” ) Si oui, le sujet n’est pas modifiable. Qui pourrait le faire ?

2 J'aimes