Sécurité crypto : mots de passe et authentification

Cette diffusion en direct couvre les pratiques de sécurité essentielles pour les détenteurs de cryptomonnaie, des fondamentaux de la gestion des mots de passe à l'authentification multifacteur. Andreas Antonopoulos passe en revue les principes permettant d'équilibrer sécurité et facilité d'utilisation, explique pourquoi les gestionnaires de mots de passe sont essentiels, présente le concept de phrase secrète XKCD et détaille la hiérarchie des méthodes d'authentification à deux facteurs.

Cette transcription est une copie accessible de la transcription originale de la vidéo (opens in a new tab) publiée par aantonop. Elle a été légèrement modifiée pour en faciliter la lecture.

Fondamentaux de la sécurité et équilibre des risques (3:05)

(bip) - Bonjour à tous et bienvenue dans ce direct du samedi. Ce direct bonus a pour sujet les mots de passe, les gestionnaires de mots de passe, l'authentification, l'authentification multifacteur et tout ce qui touche à la sécurité de vos comptes. Nous avons déjà beaucoup de questions en attente, mais je ne vais pas nécessairement me laisser guider principalement par les questions pour celui-ci, car je souhaite expliquer certains sujets difficiles. Et il pourrait être plus judicieux pour moi de parler d'un sujet un peu plus longtemps que d'habitude, ou peut-être un peu moins, et de tracer mon propre chemin à travers ces sujets. Ils sont un peu délicats. La sécurité est un sujet délicat. Donc, plutôt que d'essayer de trouver la question parfaite, je pourrais ne pas le faire. D'un autre côté, j'ai d'excellentes questions pour commencer. Donc, tout d'abord, merci à tous de vous être joints à nous. C'est un plaisir

comme toujours de passer mes samedis matins à travailler avec vous sur des sujets nouveaux et intéressants liés à Bitcoin et aux blockchains ouvertes. Maintenant, quel est le rapport entre les mots de passe et l'authentification multifacteur, et Bitcoin et les blockchains ouvertes ? Eh bien, vous savez, pour maintenir la sécurité de vos cryptomonnaies, vous devez maintenir la sécurité de tous vos comptes. Ce qui est très intéressant avec les cryptomonnaies, c'est que pour beaucoup de gens, c'est la première fois qu'ils doivent réfléchir attentivement à la sécurité de leur identité en ligne et de leurs appareils connectés. Parce que maintenant, il y a de l'argent en jeu, ce qui en fait une cible beaucoup plus alléchante. Par le passé, les gens n'étaient pas très motivés pour protéger leur propre sécurité, car lorsque vous perdez votre confidentialité, lorsque vos informations sont piratées, vous ne le ressentez pas vraiment tout de suite. Et cela a beaucoup de mauvaises conséquences, mais ces conséquences ne sont pas directement

visibles et ne se font pas immédiatement sentir. Si quelqu'un s'introduit et vole quelques centaines de dollars, quelques milliers de dollars ou pire, des dizaines de milliers sur vos appareils numériques, vous le ressentez, et vous le ressentez immédiatement. Et vous pouvez le relier de manière tangible, enfin de manière intangible pour être précis. Vous pouvez le relier de manière intangible, mais très, très visiblement à votre sécurité. C'est donc l'une de ces choses qui, malheureusement, est une leçon qui ne s'apprend vraiment qu'à travers une expérience douloureuse. Je peux donc passer beaucoup de temps à expliquer aux débutants comment et pourquoi sécuriser leurs comptes. Jusqu'à ce qu'ils installent un portefeuille à chaud de cryptomonnaie sur l'un de leurs appareils, puis perdent l'argent qui se trouve dans ce portefeuille à chaud. Il est très difficile de comprendre, ou d'être motivé par ce dont je parle. Maintenant, l'autre chose qui est vraiment importante à comprendre dans toute cette conversation, c'est que la sécurité

est un équilibre. Tout est une question d'équilibre. C'est de la gestion des risques. La sécurité à 100 % n'existe pas. La sécurité parfaite n'existe pas. Et vous ne pouvez pas vous protéger contre toutes les menaces. Vous devez déterminer à quelles menaces vous êtes confronté. Vous devez déterminer contre combien de ces menaces vous pouvez réellement vous protéger et combien d'efforts vous allez consacrer à vous protéger contre ces menaces, en fonction de ce que vous protégez réellement. Vous devez également découvrir à quel moment la solution que vous construisez, les systèmes que vous utilisez deviennent si complexes qu'ils deviennent un risque de sécurité en eux-mêmes. Et nous voyons souvent des débutants, en particulier dans l'espace des cryptomonnaies, créer des solutions beaucoup trop complexes. Et puis nous nous retrouvons du mauvais côté de l'équilibre entre sécurité et résilience. Où le mécanisme de sécurisation de votre cryptomonnaie est si complexe qu'en fait, vous finissez

par la perdre parce que vous utilisez quelque chose qui n'est pas standard, parce que vous oubliez un mot de passe, parce que personne ne sait exactement ce que vous avez fait et que vous n'êtes pas disponible pour les aider. La sécurité ne peut donc pas être atteinte à cent pour cent et tout est une question d'équilibre. Et la simplicité est souvent un élément clé de la sécurité. Des solutions de sécurité simples que vous pouvez appliquer dans le cadre de vos compétences techniques, et que vous pouvez appliquer de manière cohérente. Et dont vous pouvez vous remettre si vous rencontrez des problèmes, valent mieux que des solutions de sécurité complexes qui vous obligent à dépasser votre niveau de compétence, vous placent en territoire inconnu et augmentent la probabilité que vous fassiez une erreur. C'est souvent quelque chose sur lequel vous entendez beaucoup de mauvais conseils. Les gens vous conseilleront de mettre en œuvre ce qui semble être un système de sécurité très, très complexe. Et parce que c'est si complexe, cela semble sécurisé. On a l'impression qu'il y a un

Garder la sécurité simple (8:40)

il se passe beaucoup de choses, donc cela doit être très sophistiqué et sérieux. Et dans de nombreux cas, vous finirez par dépasser vos capacités techniques et par perdre de l'argent, non pas à cause d'un vol, mais d'une erreur que vous commettez parce que vous opérez au-delà de votre niveau de compétence. Alors gardons les choses simples. Basons-nous sur les standards. Utilisons les meilleures pratiques, des outils courants et utilisons-les de manière cohérente. Ainsi, nous pourrons être très en sécurité. Nous allons passer directement à, nous allons passer directement à la première question. Il y a 220 personnes sur le stream jusqu'à présent. Merci de m'avoir fait des retours sur la vidéo et l'audio. C'est toujours bon à savoir. Pour votre information, nous avons eu une petite coupure d'électricité plus tôt aujourd'hui à cet endroit, et si nous perdons l'électricité, vous le saurez car le stream s'arrêtera. Et il faut un minimum de cinq minutes pour que le routeur internet et le wifi

redémarrent. Je pourrai peut-être revenir, même s'il ne s'agit que d'une seconde de coupure de courant, je vais devoir attendre cinq minutes avant de pouvoir revenir. Si je ne peux pas revenir, nous vous le ferons savoir dans le chat. Alors s'il vous plaît, soyez patients et j'espère que nous ne serons pas coupés. Mais vous savez que c'est l'un des risques que nous devons gérer aujourd'hui. Passons à notre première question du jour. La première question vient d'un anonyme et choisir le mot anonyme pour poser votre question est le premier et un bon mécanisme de sécurité. Quelle est la meilleure façon de gérer de nombreux mots de passe uniques et forts si je suis dyslexique et que je ne suis pas doué pour retenir les mots de passe longs ? C'est une excellente question. C'est une excellente question car elle aborde un problème plus large, qui est la difficulté de se souvenir des choses. Et nous pensons tous que nous pouvons nous souvenir mieux que

ce que nous pouvons réellement. Et certains d'entre nous ont des difficultés avec la mémoire, la lecture, l'écriture ou toute autre compétence qui nous aide à mémoriser les mots de passe. Et savent peut-être qu'ils ne peuvent pas très bien s'en souvenir. Donc, l'anonyme pose cette question du point de vue de quelqu'un qui souffre de dyslexie, mais cela s'applique également à tout le monde. À tous ceux qui ont une mémoire humaine faillible. Les humains sont vraiment mauvais pour se souvenir sur de longues périodes, en particulier des choses qui ne sont pas mémorables parce qu'elles ne sont pas rattachées à des images, des expériences ou des émotions. Se souvenir de choses qui n'ont aucun lien avec nos vies est presque impossible car notre cerveau est très doué pour éliminer les informations qui ne sont pas pertinentes. Si vous n'avez pas d'émotion, d'expérience ou d'image liée à ce que vous essayez de retenir, le cerveau se dira que ce n'est plus pertinent pour son algorithme de mise en cache et l'abandonnera. Et beaucoup

de gens oublient leurs mots de passe précisément à cause de cela. Je vais donc utiliser quelques ressources ici pour répondre à cette question plus largement et aider les gens à acquérir des bases sur les principes fondamentaux des mots de passe. Pour cela, je vais utiliser des supports visuels. Je n'utilise généralement pas de supports visuels, mais je pense qu'ils seront utiles dans ce cas précis. Voyons comment ça se passe. Très bien, la première chose dont nous allons parler, ce sont les systèmes de gestion de mots de passe. Pendant des décennies, nous avons formé les utilisateurs à créer des mots de passe alphanumériques longs et aléatoires contenant une large gamme de caractères. Ce sont des mots de passe dont les humains ne peuvent pas se souvenir. Ce sont des mots de passe qui encouragent en fait les mauvais comportements. Ils encouragent un comportement où vous finissez par utiliser le même modèle sournois, Satoshi Nakamoto avec les O remplacés par des zéros, la première lettre du deuxième mot en majuscule et le T remplacé

par un sept et le symbole dièse à la fin. Et maintenant, vous avez des chiffres, des minuscules, des majuscules et des lettres. Mais si vous devez l'utiliser sur plus d'un site, vous faites une petite modification. Ensuite, vous devrez peut-être ajouter un chiffre à la fin. Et puis vous vous retrouvez avec ce problème de mémoire vraiment délicat, qui est que les sites vous poussent à créer des variations, mais la variation vous empêche de vous en souvenir réellement, surtout avec un mot de passe de cette complexité. Et donc vous finissez par réutiliser votre mot de passe sur de nombreux sites. C'est ce que fait presque tout le monde. Et c'est très, très mauvais pour la sécurité. Maintenant, l'une des meilleures ressources pour comprendre comment résoudre ce problème est en fait une bande dessinée. Ce que je vais donc faire, c'est vous donner deux conseils. Le premier est de ne pas essayer de créer vos propres mots de passe,

Gestionnaires de mots de passe (13:50)

utilisez un gestionnaire de mots de passe. Un gestionnaire de mots de passe est un logiciel qui génère des mots de passe aléatoires pour vous et s'en souvient à votre place. Ces systèmes résolvent deux problèmes : la mémoire humaine est faillible et le caractère aléatoire humain est encore pire. Nous sommes très mauvais pour créer de l'aléatoire. Nous sommes très mauvais pour nous souvenir et nous sommes doublement mauvais pour nous souvenir de l'aléatoire. Vous ne pouvez donc pas résoudre ce problème en étant plus discipliné, plus intelligent ou plus prudent. Vous ne pouvez pas le résoudre en collant des post-its sur votre écran et en faisant, vous savez, toutes les choses que vous voyez ici, n'est-ce pas ? Ce que l'on voit tout le temps dans les bureaux. Écrire un mot de passe n'est pas une mauvaise idée. Si l'endroit où vous l'écrivez est réellement sécurisé. La forme la plus basique de gestionnaire de mots de passe est donc un petit carnet, un carnet de mots de passe. Et, vous savez, même si je dirais que ce n'est pas très moderne, ce n'est

pas très avancé technologiquement, et cela ne résout pas le problème de la génération de mots de passe aléatoires. C'est honnêtement la solution qu'utilisent mes parents. Car s'ils les écrivent, ils peuvent avoir plus de variété dans leurs mots de passe. Et s'ils gardent ce petit carnet dans un endroit sûr, comme par exemple à la maison, dans un tiroir fermé à clé ou quelque chose comme ça, c'est un mécanisme plutôt durable. Maintenant, la plupart d'entre vous sont probablement plus sophistiqués techniquement que mes parents. Parlons donc d'une meilleure solution pour vous. Une meilleure solution consiste donc à télécharger un logiciel pour le faire à votre place. Il existe toute une gamme de gestionnaires de mots de passe. Et la bonne nouvelle, c'est que pour les fonctionnalités de base, ils sont gratuits. Vous pouvez utiliser un produit tel que last password ou last pass, one password, bit warden, et toute une variété d'autres, key pass, et cetera, et cetera. Or, ceux-ci vont

avoir un tas de fonctionnalités différentes et vous devrez déterminer de quelles fonctionnalités vous avez réellement besoin. Mon conseil est de commencer par déterminer sur quel type d'appareils vous devez l'utiliser, car l'un des grands avantages de l'utilisation d'un gestionnaire de mots de passe est en fait que vous pouvez avoir tous vos mots de passe synchronisés sur tous vos appareils. Donc, si vous utilisez Windows, Android et iOS, bof, c'est probablement facile. Tous les gestionnaires de mots de passe vont prendre en charge toutes ces plateformes et tout ira bien pour vous. Vous voulez également qu'il soit pris en charge par les navigateurs que vous utilisez. Donc Chrome, Firefox, Edge, Opera, Brave, ou tout ce que vous utilisez comme extension, afin de pouvoir remplir et soumettre automatiquement les mots de passe dans les formulaires web. Je pense que vous avez tous vu ma caméra vidéo indiquer que la carte est pleine. En plein milieu du stream, c'était

utile. Oui, ma carte SD vient de se remplir, donc je n'enregistre plus sur la caméra. Oups. Oh, eh bien, peu importe. Continuons. Donc, l'une des façons de choisir un gestionnaire de mots de passe est de déterminer quels appareils vous devez prendre en charge. Et si vous avez des appareils un peu bizarres, cela devient un peu plus délicat. Donc, par exemple, j'utilise Linux sur mon ordinateur de bureau. J'utilise Linux sur mon ordinateur de bureau depuis très longtemps. Et, vous savez, je pense que cette année est vraiment l'année de Linux sur les ordinateurs de bureau. Ça va arriver, les amis. Non, ce n'est pas vrai. Mais en tout cas, je l'utilise, ça marche pour moi, mais ce n'est pas largement pris en charge. Donc, tous les gestionnaires de mots de passe ne fonctionnent pas ou ne fonctionnent pas bien sur les ordinateurs de bureau Linux. Heureusement, la plupart des gestionnaires de mots de passe fonctionnent dans le navigateur sous forme d'extension, ce qui les rend pour la plupart multiplateformes. Donc pour moi, un

Choisir un gestionnaire de mots de passe sur plusieurs appareils (18:22)

Un gestionnaire de mots de passe doit fonctionner sur Android, Windows, Linux, Chrome, Firefox, iOS, et cetera, et cetera. Ainsi, je peux l'installer sur tous mes appareils et donc pouvoir accéder à tous mes mots de passe sur tous mes appareils. Très bien. Donc, pour répondre à la question posée par un anonyme, quelle est la meilleure façon de gérer de nombreux mots de passe uniques et forts si je suis dyslexique et que je ne suis pas doué pour retenir de longs mots de passe ? La meilleure façon est d'utiliser un gestionnaire de mots de passe, qui génère aléatoirement des mots de passe uniques et forts pour vous. Et, une fois que vous avez choisi un gestionnaire de mots de passe, vous définissez un seul mot de passe et ce mot de passe unique est celui de votre gestionnaire de mots de passe. Je suggérerais également d'utiliser un mécanisme d'authentification à deux facteurs afin que quelqu'un ne puisse pas simplement se connecter et télécharger votre fichier de mots de passe en utilisant ce seul mot de passe. Vous avez besoin d'un deuxième facteur d'authentification. Nous en parlerons

dans la deuxième partie de cette vidéo aujourd'hui. Nous avons également une question de suivi du public, qui est : comment puis-je faire confiance à ce logiciel ? Eh bien, la réponse simple est que vous recherchez un logiciel qui est soit largement utilisé, examiné et audité par des professionnels de la sécurité, soit open source, soit tout cela à la fois. Et je pense que tous ceux que j'ai mentionnés précédemment remplissent ces critères. Revenons maintenant à ce que j'ai mentionné plus tôt, à savoir, rappelez-vous quand j'ai dit que la sécurité n'était pas garantie à cent pour cent et qu'elle était une question d'équilibre et d'atténuation des risques. Mettons donc maintenant ces deux risques sur la table. Risque un : puis-je faire confiance au gestionnaire de mots de passe ? Et que se passe-t-il si le gestionnaire de mots de passe que je télécharge est compromis ou peut l'être, ou s'il contient un bug qui n'est pas remarqué par les millions d'autres utilisateurs et professionnels de la sécurité qui

l'examinent ? Risque deux : puis-je faire confiance à mon cerveau ? Eh bien, présenté de cette façon, il devient clair que le problème ici est que n'importe quel gestionnaire de mots de passe vaut mieux que pas de gestionnaire du tout. C'est le même genre de gestion des risques que nous faisons lorsque nous parlons d'un portefeuille matériel par rapport à un portefeuille logiciel dans le domaine de la cryptomonnaie. Puis-je faire confiance au fabricant de portefeuilles matériels ? Eh bien, dans une certaine mesure, pas à cent pour cent. Il y a certains risques. Comment ces risques se comparent-ils au fait de ne pas avoir de portefeuille matériel ? Et encore une fois, la réponse est que n'importe quel portefeuille matériel vaut mieux que pas de portefeuille matériel du tout. Quels sont donc les risques que vous pouvez réellement gérer ? Il est important, lorsque vous vous procurez ce gestionnaire de mots de passe, de vous assurer que vous avez le bon logiciel. Que vous ne le téléchargez pas simplement depuis un site web aléatoire, avec un coupon Groupon, pour quelque chose qui était gratuit de toute façon, et

que vous ne vous retrouviez pas avec un cheval de Troie sur votre système. Mais pour en revenir au sujet, n'importe quel gestionnaire de mots de passe vaut mieux que pas de gestionnaire du tout. Vous ne devriez donc pas essayer de générer vous-même des mots de passe uniques. Si un site web vous demande un mot de passe alphanumérique de huit caractères ou plus, vous faites comme moi. Vous cliquez sur le petit bouton qui dit générer un mot de passe sécurisé. Vous réglez la longueur sur 31 caractères, 75 caractères, 213 caractères. J'aime jouer avec les sites web pour voir jusqu'à quelle longueur je peux aller avant qu'ils ne commencent à crier que c'est trop long. Après toutes ces années où les gestionnaires de mots de passe et les systèmes m'ont crié que ce n'était pas assez long. Que ce n'était pas assez complexe. Je veux voir les sites web commencer à crier que c'est trop long. Que c'est trop complexe. Allez, mec, qu'est-ce que tu fais ? Ma base de données ne peut pas contenir ça. Générez donc un mot de passe aléatoire et fort. Maintenant, puis-je me souvenir de ce mot de passe ?

Bien sûr que non. J'ai 800 mots de passe dans mes gestionnaires de mots de passe, tous font plus de 20 caractères, sont complètement alphanumériques et aléatoires avec des symboles, des majuscules, des minuscules et des chiffres. Il m'est impossible de me souvenir de l'un d'entre eux, et encore moins des 800, mais je me souviens de mon mot de passe maître. Très bien, voyons quelles autres questions nous avons. Et passons à notre question suivante, qui me donnera l'occasion d'aborder le prochain sujet dont je veux parler. Un anonyme demande : existe-t-il des normes de sécurité minimales viables pour les mots de passe ou les phrases secrètes, car lorsque j'utilise un générateur de mots de passe forts, cela ne fonctionne pas pour beaucoup de choses. Oui. Les sites web ont des attentes ridicules en matière de mots de passe, et ce sont souvent de mauvaises attentes. Ils encouragent par exemple des informations contradictoires. Laissez-moi vous donner un exemple. Il doit comporter plus de huit caractères, être alphanumérique avec des symboles et des chiffres, mais nous avons désactivé le collage dans le formulaire. Quoi

Mauvaises politiques de mots de passe (24:02)

faites-vous ? Que faites-vous ? Pourquoi me demandez-vous de choisir un mot de passe complexe alors que je vais évidemment utiliser le générateur, pour ensuite m'empêcher de le coller. Ou m'empêcher de le coller dans la partie confirmation du formulaire ? Êtes-vous fous ? Que faites-vous ? Arrêtez de faire ça. Ou ces autres mots de passe qui exigent de huit à 12 caractères. Vraiment ? Vous voulez que je le rende complexe, mais pas trop complexe. Donc je ne peux pas mettre 13 caractères, ça n'a aucun sens. Ou les combinaisons bizarres de symboles. Oh oui, nous acceptons les symboles, mais seulement le dièse, le point d'exclamation et l'astérisque. L'apostrophe et l'arobase ne sont pas acceptés car cela perturberait notre regex. Toutes ces politiques de mots de passe sont vraiment, vraiment mauvaises. Ou changer vos politiques de mots de passe tous les mois, mais ne réutiliser aucun de ceux du mois précédent et les garder

bizarrement complexes comme ça. Ce sont toutes des politiques de mots de passe étranges et vous en rencontrerez beaucoup. En fin de compte, vous ne pouvez pas vous attendre à ce que différents sites web gérés par différentes entreprises, avec des équipes et des politiques de sécurité variées, ainsi que des niveaux de sensibilisation à la sécurité différents, trouvent une bonne politique qui fonctionne pour la plupart de leurs utilisateurs. Gardez à l'esprit qu'ils essaient de s'adapter à des utilisateurs allant de celui qui essaie d'entrer un mot de passe aléatoire de 37 caractères généré par son gestionnaire de mots de passe, à celui qui tape un, deux, trois, quatre, cinq, six, sept, huit. Ce qui est apparemment le mot de passe le plus courant sur Internet, ou mot de passe un, deux, trois, quatre, qui est je crois le deuxième mot de passe le plus courant sur Internet. Donc, trouver une politique qui fonctionne pour toutes ces personnes, c'est très, très difficile pour les sites de gérer cela. Donc ce que je fais,

c'est que je continue d'essayer. Je vais proposer un mot de passe généré aléatoirement du genre que j'aime, vous savez, 37 caractères et tous les symboles. Et puis le site web va se plaindre et dire, je n'aime pas vraiment les astérisques, pourquoi me faites-vous ça ? Donc je vais désactiver certains symboles ou il dira que c'est trop long, alors je le raccourcirai. Ou il dira, en fait j'ai aussi besoin d'au moins deux majuscules, mais ça ne peut pas commencer par un chiffre. Et je me dis, Argh, allez. Je vais juste continuer à bidouiller jusqu'à ce que j'obtienne quelque chose qui fonctionne. Mais peu importe ce que j'obtiens, il y aura deux garanties. Il sera long et complexe, et il sera généré de manière complètement aléatoire, sans dépendre du cerveau humain pour le générer à ma place ou s'en souvenir. Et j'utilise le maximum de complexité possible. Très bien, donc un anonyme

nous pose la question suivante, ce qui me permet de poursuivre ce récit. Peut-être une question bête, mais le gestionnaire de mots de passe n'est-il pas situé dans le cloud et pourrait donc être facilement une cible pour les pirates ? Excellente question, anonyme. Voici comment fonctionnent ces dispositifs. Une sauvegarde de votre base de données de mots de passe est stockée dans le cloud. Cependant, cette sauvegarde est chiffrée, et elle est chiffrée de bout en bout. Ce qui signifie qu'elle est chiffrée sur votre machine locale. Elle est envoyée chiffrée vers le cloud, et elle est déchiffrée à nouveau, uniquement sur votre machine locale. La façon dont elle est chiffrée et déchiffrée utilise votre mot de passe maître. Et ce mot de passe maître lui-même passe par ce qu'on appelle un étireur (stretcher). Et ce que fait un étireur, c'est qu'il utilise un algorithme d'étirement de mot de passe si vous voulez, en fait c'est un algorithme de hachage. Ce qu'il fait, c'est qu'il prend les mots ou les caractères que vous tapez comme mot de passe maître,

et ensuite il le fait passer par des milliers de cycles de hachage. Or, cela prend du temps et le résultat est un mot de passe qui ne peut pas être forcé par force brute. Parce que disons que j'ai tapé un mot de passe et que je l'ai chiffré ou haché une fois, puis que je l'ai envoyé au serveur. Super, eh bien, c'est sujet à une attaque difficile, ou plutôt assez facile, qu'on appelle une table arc-en-ciel (rainbow table). Ce qui se passerait ensuite, c'est que l'attaquant prendrait tous les mots de passe les plus courants que vous pouvez imaginer, les hacherait et produirait une base de données des mots de passe hachés qui peut être utilisée pour cette attaque. Maintenant, si d'un autre côté, ou je peux juste continuer à essayer différents mots de passe encore et encore et encore, jusqu'à ce que je trouve le bon. Une attaque par force brute typique. Mais si chaque mot de passe est haché 25 000 fois ou 50 000 fois, ou cent mille fois, à chaque fois que je

Comment les bases de données de mots de passe sont chiffrées (29:19)

le taper sur mon ordinateur prend deux à trois secondes. Ce qui n'est pas un gros problème pour moi. Deux à trois secondes la première fois que je me connecte à mon navigateur ou à mon ordinateur pour démarrer mes gestionnaires de mots de passe, deux à trois secondes. Mais si vous devez ajouter deux à trois secondes à chaque fois que vous tapez un mot de passe, eh bien, cela ruine complètement l'approche de la force brute. Cela rend également impossible la génération de cette base de données de hashs de mots de passe précalculés, car il faudrait tellement de temps pour essayer ne serait-ce que quelques milliers de combinaisons. Et si votre mot de passe maître est suffisamment complexe, il faut bien plus que quelques milliers de combinaisons de mots de passe pour le produire. Ainsi, la base de données de mots de passe est généralement chiffrée avec un algorithme de chiffrement assez simple basé sur des standards. AES256 est probablement le plus couramment utilisé pour cela, mais c'est quelque chose comme

ça. C'est un algorithme de chiffrement symétrique qui utilise une seule clé, une clé privée pour chiffrer les données et déchiffrer les données. La même clé est utilisée pour le chiffrement et le déchiffrement, c'est pourquoi on l'appelle un algorithme de chiffrement symétrique. Et cette clé est produite en hachant de manière répétée votre phrase secrète maîtresse. Donc, tant que vous n'entrez votre phrase secrète maîtresse que sur l'appareil local, et que cet appareil est de confiance, vous obtenez un haut niveau de sécurité. Oui, la base de données de mots de passe est dans le cloud, mais elle est chiffrée et personne ne peut l'ouvrir à moins d'avoir votre phrase secrète maîtresse, que vous ne tapez jamais sur autre chose que l'un de vos propres appareils. Il y a quelques problèmes là-bas, bien sûr. Car si vous avez un enregistreur de frappe de mots de passe sur votre appareil local, il peut vous surprendre en train de taper la phrase secrète maîtresse. Mais fait intéressant, cela ne va pas

être suffisant pour un attaquant si vous avez une authentification à deux facteurs, et la raison pour laquelle ce ne sera pas suffisant pour un attaquant est qu'il peut capturer votre phrase secrète maîtresse, mais il ne peut pas télécharger la base de données chiffrée depuis le cloud sans l'authentification à deux facteurs, qui, espérons-le, est liée à votre machine, ou à autre chose. Et ils n'ont pas ce deuxième facteur ; nous reparlerons de l'authentification à deux facteurs dans un instant. Nous construisons des couches. Je ne sais pas si vous voyez ce que nous faisons ici, mais oui, nous examinons chacun des problèmes qui peuvent survenir et nous ajoutons des couches de sécurité. La sécurité n'est pas une chose unique qui arrête tout. La sécurité consiste à mettre des barrières sur le chemin d'un attaquant. Et oui, vous pourriez briser cette barrière, mais juste derrière se trouve une autre barrière. Et puis si vous brisez cette barrière, juste derrière, il y a

une autre barrière. Et si je rends les barrières suffisamment solides, mais aussi nombreuses, des couches et des couches et des couches de sécurité, et que je m'assure également que les compétences dont vous avez besoin pour briser une couche sont différentes des compétences dont vous avez besoin pour briser une autre couche. Et que je m'assure que les outils et les budgets dont vous avez besoin pour briser une couche sont différents de l'autre. Alors, la probabilité que vous traversiez toutes ces couches, sans que je m'en aperçoive, sans que j'y mette un terme et que vous réussissiez, ou même que vous le fassiez à grande échelle contre de très nombreuses victimes, est très, très, très réduite. Et c'est là tout l'enjeu. Très bien, je vais boire une petite gorgée de café ici et discuter un peu avec vous sur les chats pendant que je pars à la pêche à d'autres questions que, oui, d'autres questions que vous pourriez vouloir poser. Laissez-moi afficher une

petite page, je remercie tous les mécènes qui rendent possible pour moi de créer ce genre de matériel éducatif pendant que je bois du café dans mon nouveau mug qui dit « rules without rulers » (des règles sans dirigeants). L'une de mes conférences les plus populaires récemment. Il est accompagné d'un petit Bitcoin orange. Oh mon Dieu, arrêtez de nous faire de la publicité, nous allons acheter vos produits dérivés. Continuez simplement avec le bon contenu. Dans une seconde. Et nous sommes de retour. D'accord, je peux mettre ça de côté là. Je vais le tourner pour que ça rende bien. Voilà. Très bien. J'étais donc en train de parcourir les questions pour essayer d'en trouver une qui me permettrait de poursuivre ce petit récit de la manière la plus concise possible. Alors maintenant, parlons des phrases secrètes et pour cela, je vais me faire aider par Bruce qui demande : que pensez-vous de l'utilisation de mots de passe forts comme phrases secrètes de portefeuille.

Phrases secrètes de portefeuille et BIP-39 (35:02)

Et ce dont Bruce parle ici, c'est de la phrase secrète optionnelle qui est disponible pour ceux qui utilisent une phrase mnémonique BIP-39. Elle est également connue sous le nom de 25e mot, car les phrases mnémoniques comptent 24 mots. Et théoriquement, si vous ajoutez un 25e mot... mais je ne vais pas parler d'ajouter un 25e mot, nous allons plutôt l'appeler par son vrai nom, à savoir une phrase secrète optionnelle, qui peut d'ailleurs comporter plus d'un mot. C'est donc une phrase secrète de portefeuille. C'est une phrase secrète optionnelle supplémentaire que vous ajoutez à votre phrase mnémonique pour que celle-ci dispose d'un second facteur. Ainsi, si quelqu'un vole les 24 mots qui sont écrits sur un bout de papier dans votre bureau par exemple, il ne peut pas immédiatement prendre votre argent car il y a une phrase secrète de portefeuille. Maintenant, rappelez-vous quand nous parlions du mot de passe unique, le mot de passe maître qui est

utilisé dans un gestionnaire de mots de passe. Et nous avons dit que celui-ci est haché de manière répétée, ce qui empêche les attaques par force brute. Eh bien, c'est exactement la même chose qui est faite avec la phrase secrète optionnelle et la phrase mnémonique dans le standard BIP-39. Un algorithme d'étirement de mot de passe appelé PBKDF2 est utilisé pour l'étirer avec SHA-512 en appliquant 2000 cycles de SHA-512. C'est un peu un compromis, c'est un compromis dans le standard BIP-39 car le standard BIP-39, le standard de phrase mnémonique pour les portefeuilles, doit pouvoir fonctionner sur des portefeuilles matériels, qui sont de petits appareils USB d'environ cette taille et qui n'ont pas beaucoup de puissance de calcul. Donc, exécuter 2000 cycles de SHA-512 prend en réalité quelques secondes. Deux, trois secondes. Ce que cela signifie, c'est que malheureusement ce n'est pas une très bonne protection, elle est adéquate, mais elle peut être attaquée par force

brute si vous avez un ordinateur beaucoup plus puissant. Donc, si vous utilisez un GPU, par exemple, ou encore mieux, un ASIC conçu pour SHA-512 ou un appareil FPGA pour SHA-512, alors vous pouvez en fait effectuer 2000 cycles en une fraction de seconde. Et par conséquent, vous pouvez essayer des centaines, peut-être des milliers de mots de passe ou de phrases secrètes par seconde, sur la même graine. Ce qui vous permettra d'attaquer une phrase mnémonique BIP-39 avec une phrase secrète optionnelle, avec la bonne quantité de matériel et de budget. Mais encore une fois, ce n'est pas trivial. Nous parlons donc de couches de sécurité. Parlons donc des phrases secrètes. Nous utilisons le terme phrase secrète au lieu de mot de passe pour indiquer qu'il ne s'agit pas d'un seul mot. C'est en fait une phrase. Tout comme une phrase mnémonique est une phrase. C'est une série de mots, séparés par des espaces. Et cela la rend beaucoup plus facile à retenir, ainsi qu'à

écrire et à lire, même si elle est légèrement dégradée, et de pouvoir la déchiffrer. Il s'avère que les humains sont vraiment, vraiment doués pour la reconnaissance de formes. Donc, si vous écrivez avec votre propre écriture une série de mots en minuscules, vous pouvez la lire, même si les deux tiers du mot sont effacés, ou vous pouvez faire une très bonne supposition. Et si les mots ont une certaine signification pour vous, ou si vous pouvez créer une image mentale avec ces mots, vous pouvez en fait retenir une phrase beaucoup mieux que vous ne pouvez retenir un mot de passe généré de manière aléatoire composé de lettres majuscules et minuscules et de chiffres. Mais pour expliquer cela un peu mieux, je vais demander l'aide de Randall Munroe. Vous m'avez peut-être déjà entendu parler de Randall Munroe par le passé. Randall Munroe est un dessinateur qui réalise une bande dessinée appelée

XKCD. Et XKCD est une bande dessinée qui illustre différents concepts techniques, mais aussi des critiques sociales hilarantes et toutes sortes d'idées fantastiques. Ce sont des idées vraiment, vraiment intelligentes, présentées de manière vraiment, vraiment excellente. Et vous savez, c'est l'une de ces situations où il y a un XKCD, il y a un dessin XKCD pour presque n'importe quel concept que vous voulez bien expliquer. Je vais donc en utiliser un dont beaucoup d'entre vous ont probablement déjà entendu parler, et qui est connu sous le nom de « correct horse battery staple ». Et si cela vous semble être du charabia, restez dans le coin une seconde. Très bien, jetons un coup d'œil à celui-ci, sur notre écran ici. Donc celui-ci s'appelle, celui-ci s'appelle mots de passe. Après 20 ans d'efforts, nous avons réussi à habituer tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs. Et si vous regardez ici en haut à

Le concept de phrase secrète de XKCD (40:47)

dans le coin supérieur gauche, il s'agit d'un mot de passe typique que l'on vous demande sur un site web. Il s'agit donc de majuscules, de minuscules, de chiffres et de symboles dans un certain ordre. Ce que vous voyez ici est la chose typique que font les utilisateurs pour les générer et s'en souvenir : ils essaient de déformer un mot. Il s'agit donc du mot Troubadour. Un musicien itinérant qui chante les exploits des héros. Je crois que c'est ce que signifie Troubadour. Un Troubadour et un trois. Dans ce cas, vous voyez donc quelque chose qui a l'air aléatoire, mais qui n'est pas vraiment aléatoire. Or, cette chose particulière peut être analysée d'un point de vue informatique. D'un point de vue mathématique, d'un point de vue de la théorie de l'information, pour voir à quel point cette chose est aléatoire. Ou quelle quantité de caractère aléatoire ce genre de chose contient. Donc, dans ce cas particulier, nous avons environ 28 bits d'entropie. Cela signifie que cette

quantité de complexité pourrait être exprimée par un nombre binaire de 28 chiffres binaires, deux puissance 28. Ce qui, si vous étiez capable de deviner à raison de mille essais par seconde, vous prendrait trois jours à trouver par force brute. Il s'agit donc essentiellement d'un service web ou de quelque chose de similaire où vous tentez plusieurs essais par seconde. Si vous avez une base de données que vous avez volée sur un site web, vous pouvez bien sûr appliquer beaucoup plus de mille essais par seconde sur un ordinateur moyen. Mais dans tous les cas, c'est en fait facile à deviner pour les ordinateurs. Et c'est facile à deviner pour les ordinateurs car 28 bits d'entropie ne suffisent pas, mais même s'il est facile pour les ordinateurs de deviner et de forcer simplement en essayant toutes les combinaisons possibles de lettres majuscules et minuscules dans cette séquence, c'est en fait très difficile à retenir pour les humains. Et juste

en dessous, Randal Monroe nous montre une approche différente, qui consiste à utiliser des mots anglais simples, séparés par des espaces. Il s'agit d'une phrase secrète mnémonique, et non d'un mot de passe. Et dans ce cas, le simple fait de choisir quatre mots au hasard, juste quatre. Quatre mots au hasard produisent en fait, si l'on suppose qu'ils proviennent d'un grand dictionnaire, peut-être un dictionnaire de langue anglaise, qui comprend cent mille mots. Vous obtenez alors environ 44 bits d'entropie. 44 bits d'entropie vous donnent 550 ans à raison de mille essais par seconde. Et 55 ans à 10 000 essais par seconde. Cinq ans à 100 000 essais par seconde. C'est en fait difficile à forcer et ce ne sont que quatre mots. Mais le plus important, c'est que c'est facile à retenir pour les humains. C'est pourquoi nous utilisons des phrases mnémoniques dans le bit 39. Donc, si vous pensez à « correct horse battery staple », vous pouvez créer ceci, même s'il s'agit de mots

aléatoires, vous pouvez créer cette image mentale étrange qui vous donne une base d'association. Et l'association est la façon dont fonctionne la mémoire chez les humains. Vous avez donc ce petit dessin qui est fait ici. C'est un « battery staple » (agrafe de batterie), correct. C'est donc un cheval qui dit que c'est un « battery staple » et quelqu'un qui dit correct, c'est un « battery staple », un « correct horse battery staple ». Et si vous dites simplement ces quatre mots à un geek, il saura immédiatement de quoi vous parlez, car cette phrase est si facile à retenir que des millions de personnes sur Internet l'ont mémorisée avec succès à partir de cette seule bande dessinée et de cet exemple. Donc, avec des choses énormes, Xkcd.org est l'endroit où vous pouvez aller voir cette série de bandes dessinées. Un travail fantastique. XKCD. Mais je pense que cela vous aide à comprendre l'idée. Il s'agit donc d'une phrase secrète, et c'est une bien meilleure façon de produire un

Utiliser des phrases secrètes pour les portefeuilles et le chiffrement (45:27)

mot de passe maître pour votre gestionnaire de mots de passe, ainsi qu'une phrase secrète facultative pour votre portefeuille. Vous pouvez donc réellement créer une phrase secrète facultative pour vos portefeuilles avec cela. C'est vraiment difficile à attaquer par force brute, même avec un GPU ou un FPGA. Même si vous pouvez effectuer 2000 cycles de SHA-512, il vous faudra des mois, voire des années, avant que quelqu'un puisse forcer une combinaison d'à peine quatre ou cinq mots. Si vous passez à six mots, vous obtenez un mécanisme très robuste. Bien sûr, vous ne vous contenteriez pas de cela. Supposons donc que vous ayez une phrase mnémonique BIP-39, et que vous souhaitiez ajouter une phrase secrète facultative en vous disant : d'accord, je vais choisir quatre mots au hasard dans un dictionnaire. Ce sera alors ma phrase secrète facultative, que je pourrai mémoriser et retenir. Et je vais également les sauvegarder dans un emplacement secondaire, car bien que je puisse m'en souvenir, que se passe-t-il s'il m'arrive quelque chose ? Est-ce que je veux que mon héritage disparaisse dans le néant parce que personne ne peut trouver la phrase secrète facultative que j'ai utilisée ? Non, évidemment que non. Je vais donc devoir sauvegarder la phrase secrète aussi, je vais sauvegarder la phrase mnémonique, la graine. Et je vais également sauvegarder la phrase secrète facultative et les conserver dans deux endroits différents. Je vais aussi faire en sorte que si quelqu'un jette un œil à ma graine, je sache qu'il a pu la voir afin de savoir qu'il faut déplacer mon argent avant qu'il ne puisse tester toutes les combinaisons possibles d'une phrase secrète à l'aide d'un ordinateur puissant. La façon dont je procède est très, très basique. C'est un sac en plastique, un sac en plastique à témoin d'effraction. Vous pouvez les acheter par paquets de cent auprès de détaillants en ligne partout. Ils sont utilisés pour les dons en espèces lors de jeux de loto, dans les églises et ce genre de choses. Ils servent à empêcher les employés de voler. Et ils sont opaques, et une fois que vous les scellez, la seule façon de les ouvrir sans que cela soit évident est de les déchirer ou de les couper, ce qui laissera une marque. Vous ne pouvez pas les congeler, les chauffer ou les ouvrir et les resceller sans laisser de trace. Ainsi, si vous placez votre phrase mnémonique et votre phrase secrète facultative dans un sac à témoin d'effraction de ce type, et que quelqu'un y jette un coup d'œil, vous saurez qu'il l'a fait. Donc, si vous vérifiez vos lieux de stockage tous les deux ou trois mois, vous avez une bonne base de sécurité. Très bien, je vais conclure. Nous allons continuer pendant encore 45 minutes environ, car j'ai encore beaucoup de choses à dire, notamment sur l'authentification à deux facteurs. Mais je voulais que vous compreniez comment nous appliquons ce concept de phrase secrète. Donc, dans le segment suivant, je vais vous expliquer comment générer une phrase secrète de manière sécurisée. Passons à une tempête d'emojis et s'il vous plaît, j'appelle tous les membres de la communauté YouTube à démontrer à tout le monde l'incroyable pouvoir créatif et expressif des emojis personnalisés de ma chaîne en exécutant une tempête d'emojis, c'est parti. Très bien, je suis de retour. Vous voulez donc créer une phrase secrète. Et vous savez que cette phrase secrète est probablement meilleure si elle se présente sous la forme de ce que nous connaissons comme une phrase secrète XKCD, « correct horse battery staple ». Une série de mots anglais choisis au hasard, pour lesquels vous pouvez créer une association mentale, une image qui les accompagne. Vous allez utiliser cette phrase secrète, peut-être pour votre mot de passe maître, pour votre gestionnaire de mots de passe, que vous devrez taper

Générer des phrases secrètes en toute sécurité (50:25)

de nombreuses fois par jour sur différents appareils. J'utilise des phrases secrètes similaires à d'autres fins, et je ne répète pas la même phrase secrète. Mais j'ai découvert que je peux en retenir trois ou quatre avant que cela ne devienne compliqué. J'aurai donc besoin d'une phrase secrète de ce type comme phrase secrète optionnelle pour un portefeuille BIP 39. J'aurai également besoin d'une telle phrase secrète pour le chiffrement du disque dur de mon ordinateur portable. Je préfère utiliser un disque dur chiffré. Et avant de démarrer mon ordinateur portable ou n'importe lequel de mes appareils, en réalité, vous devez entrer une phrase secrète. Et cette phrase secrète est également de cette forme. C'est une phrase secrète mnémonique. Elle utilise une série de mots anglais, séparés par des espaces. Par souci de cohérence, je tape toujours mes phrases secrètes mnémoniques entièrement en minuscules avec de simples espaces entre les mots. Donc mot en minuscules, espace, mot en minuscules, espace, mot en minuscules, entrée. Et elles peuvent

faire entre quatre et huit mots de long. Vous devez décider du niveau de sécurité dont vous avez besoin, et cela dépend de l'endroit où vous l'utilisez. Combien de cycles de hachage sont utilisés dans la génération de la clé de chiffrement qui dérive de cette phrase secrète et quel est le niveau de menace auquel vous êtes confronté pour ces choses. Mais quatre devrait probablement être le nombre minimum de mots que vous utilisez et huit serait probablement le nombre maximum avant que vous ne commenciez à oublier des choses et à vous embrouiller. Surtout pour une phrase secrète que vous n'utilisez pas très souvent. Plus vous utilisez une phrase secrète souvent, plus vous la tapez souvent, plus vous pouvez la faire longue. Car alors vous serez forcé de vous en souvenir par la pratique. Je peux donc utiliser une phrase secrète légèrement plus longue sur mon gestionnaire de mots de passe parce que je la tape tous les jours. J'utiliserai une phrase secrète légèrement plus courte,

par exemple, comme phrase secrète optionnelle sur un portefeuille, et une phrase secrète encore un peu plus courte comme phrase secrète optionnelle sur mes appareils, pour le démarrage chiffré de mon disque dur, parce que je ne la tape disons qu'une fois par mois et qu'il peut m'être plus facile de l'oublier. Alors, comment choisissons-nous ces mots ? Il y a plusieurs façons de le faire, mais vous voulez qu'ils soient aléatoires. Vous ne voulez pas que ce soit une chanson. Les paroles de, je ne sais pas. J'allais dire une chanson, mais je pense que cela créerait trop de controverse. Donc je vais passer cela complètement. Vous ne voulez pas que ce soit le cri de ralliement de votre équipe de football. Vous ne voulez pas que ce soit le slogan de votre État. Vous ne voulez pas que ce soit une phrase de Star Trek. Pourquoi ? Parce que toutes ces phrases existent dans des dictionnaires que

les pirates ont collectés. Tout ce qui pourrait donner un résultat si vous le tapiez dans Google en tant que phrase, ce que bien sûr, vous n'allez pas taper dans Google car cela brise la sécurité, vous ne devriez jamais l'utiliser. Vous ne devriez jamais utiliser une phrase qui a déjà été dite, ou qui est susceptible d'être dite un jour par quelqu'un. À la place, vous voulez choisir des mots aléatoires, puis essayer de créer une image mentale ou une association qui a du sens pour vous. Et cela peut être très étrange et bizarre tant que cela a du sens pour vous et que vous pouvez répéter cette image dans votre tête et faire un peu de pratique. C'est une bonne façon de faire. Alors, comment choisissez-vous des mots aléatoires ? Eh bien, il y a plusieurs façons de le faire. Vous pourriez ouvrir un dictionnaire à différentes pages et poser votre doigt sans regarder, ce n'est pas très

bon. Vous risquez de passer la plupart de votre temps à choisir le tiers central des pages du dictionnaire et le tiers central de la page avec votre doigt. Mais c'est en fait suffisant parce que le dictionnaire contient beaucoup de mots. Un beau, grand et gros dictionnaire. Vous allez donc obtenir un caractère aléatoire suffisant. C'est donc un moyen facile que vous pouvez utiliser directement chez vous sans aucun effort supplémentaire. Si vous voulez aller un peu plus loin, vous pouvez utiliser une technique appelée diceware. D-I-C-E-W-A-R-E. Et diceware est un mécanisme où vous avez une liste de mots que vous pouvez télécharger. Vous pouvez télécharger la liste d'index diceware, le site web que vous trouverez est... Vous pouvez trouver cela sur Google assez facilement. Le premier qui apparaît, qui est diceware.D-M-U-T-H dmuth.org est le bon. Et si vous utilisez ce site web, vous pouvez télécharger la liste. Maintenant, ce qui est

La méthode diceware (55:27)

Ce qui est intéressant avec cette liste, c'est qu'elle est indexée par des nombres dont les chiffres sont compris entre un et six, ce qui vous permet ensuite d'utiliser des dés, de simples dés, des dés ordinaires. Vous lancez les dés cinq fois et vous créez un nombre à cinq chiffres où tous les chiffres sont compris entre un et six, puis vous cherchez le mot qui correspond à cet indice dans la liste diceware, vous le notez et vous obtenez un caractère aléatoire. Vous avez un caractère aléatoire conçu pour être utilisé avec de simples dés, ce qui est pratique. Si vous avez des dés qui traînent, vous pouvez facilement le faire. Ce n'est pas numérique, vous téléchargez la liste sur votre propre ordinateur et vous choisissez simplement des mots de cette liste au hasard. Encore une fois, c'est un excellent moyen de générer l'une de ces phrases secrètes aléatoires. Et bien sûr, vous pouvez également utiliser un programme sur votre ordinateur. Le problème, bien sûr, est

que s'il y a déjà un logiciel malveillant de type cheval de Troie ou un enregistreur de frappe sur votre ordinateur, cela peut causer une certaine difficulté. J'utilise un programme appelé XKCD pass, qui produit en fait des phrases secrètes compatibles avec XKCD. J'en génère tout un tas. Et puis j'en choisis une au hasard dans cette très, très longue liste. Et je ne laisse aucune indication sur mon ordinateur quant à celle que je choisis. Je fais simplement défiler, défiler et défiler une très longue liste. Cela rend la capture beaucoup plus difficile de cette façon. Encore une fois, il s'agit de couches de sécurité. Ce n'est pas parfait. Il y a beaucoup de difficultés et de failles dans tout ce processus. Très bien. Nous avons donc maintenant parlé de la sécurité des mots de passe, et nous avons combiné un certain nombre de sujets. Nous avons parlé de la complexité des mots de passe. Nous avons parlé de la superposition des couches de sécurité. Nous avons parlé des faiblesses de la mémoire humaine et du caractère aléatoire humain. Nous avons parlé des raisons pour lesquelles

l'utilisation d'un logiciel est préférable à la non-utilisation d'un logiciel, même si vous ne pouvez pas faire confiance au logiciel à cent pour cent. Nous avons parlé de la façon de générer votre phrase secrète principale et du type de phrase secrète principale que vous devriez utiliser, que vous pouvez ensuite utiliser pour générer à partir de votre gestionnaire de mots de passe, vos mots de passe de session ou de site qui sont complexes, alphanumériques et aléatoires, impossibles à retenir, et laisser votre gestionnaire de mots de passe s'en souvenir. Le sujet suivant est donc l'authentification à deux facteurs. Alors, qu'est-ce que l'authentification à deux facteurs ? L'authentification à deux facteurs, c'est lorsque vous utilisez deux moyens différents pour vous authentifier. L'authentification signifie donc fondamentalement prouver que vous êtes bien la personne que vous prétendez être. Et l'authentification à deux facteurs signifie utiliser deux mécanismes distincts pour prouver que vous êtes bien la personne que vous prétendez être. Et en sécurité informatique, nous décrivons les authentifications multifacteurs et les facteurs d'authentification comme l'une de ces trois choses. Les trois facteurs possibles que vous

pouvez avoir sont quelque chose que vous savez, un mot de passe étant un exemple de quelque chose que vous savez. Vous le mémorisez, par conséquent, vous le savez. L'authentification basée sur les connaissances est également une forme de ce facteur « quelque chose que vous savez », comme : où êtes-vous né ? Quelle est la marque de votre premier batteur électrique ? Qui est la première personne que vous avez embrassée à l'école ? Quel que soit le sujet. Maintenant, évidemment, quelque chose que vous savez est un facteur, et c'est un bon facteur. Seulement si, premièrement, vous pouvez vous en souvenir et que personne d'autre ne peut le deviner facilement. Et c'est donc là qu'intervient toute la complexité dont nous avons parlé avec les mots de passe. Une deuxième forme d'authentification. Un facteur d'authentification est quelque chose que vous êtes. Et « quelque chose que vous êtes » fait généralement référence à une donnée biométrique, une mesure immuable de votre être physique qui ne peut pas être falsifiée. Donc une empreinte digitale, un scan de l'iris, le son de votre voix lorsque vous

répétez la phrase que vous êtes censé répéter. Votre démarche, votre taille, votre visage pour la reconnaissance faciale, toutes ces choses sont des facteurs biométriques. Donc, quelque chose que vous êtes. Les facteurs biométriques ont des avantages et des inconvénients. Ils peuvent être utilisés en complément d'un autre facteur. Bien sûr, le gros inconvénient d'une donnée biométrique est que si elle est copiée ou perdue, elle ne peut pas être remplacée. Donc si, par exemple, mes empreintes digitales fuient, et que tout le monde a accès à mes empreintes digitales et peut les recréer avec du latex comme vous l'avez vu dans tous ces films d'espionnage, alors je ne peux pas changer mes empreintes digitales. Et par conséquent, cette donnée biométrique ne m'est plus d'aucune utilité. Et nous avons vu que les données biométriques sont assez difficiles à appliquer, mais très utiles comme second facteur, jamais comme facteur principal. Je n'utiliserais jamais une donnée biométrique comme seul moyen de m'authentifier, disons pour mon

Authentification biométrique (1:00:44)

téléphone. Parce que comme vous l'avez vu et comme tout enfant de huit ans le sait, si vous approchez l'iPhone de maman de son doigt pendant qu'elle dort sur le canapé, vous pouvez aller acheter des choses sur Amazon. Vous pouvez être votre propre Père Noël. Tant que vous avez accès au pouce de maman ou au visage de papa en tenant l'appareil de reconnaissance faciale devant le visage de papa. Pendant que papa ronfle bruyamment après tout ce travail à la soirée barbecue. La biométrie seule n'est pas suffisante, mais elle constitue un très bon deuxième facteur. Le dernier facteur est quelque chose que vous avez, quelque chose que vous possédez. Et ce facteur biométrique est généralement intégré dans un appareil supplémentaire. C'est un appareil qui constitue un facteur de sécurité que vous détenez. Une clé est un facteur d'authentification basé sur quelque chose que vous possédez. Une clé numérique, une clé privée, ou même une clé physique

pour ouvrir votre porte. Et de plus en plus de nos jours, nous avons des deuxièmes facteurs basés sur quelque chose que vous possédez, qui prennent la forme de périphériques USB. En fait, j'en ai un branché en permanence sur mon ordinateur portable. Beaucoup d'entre vous m'ont probablement déjà entendu en parler. Il s'agit d'une YubiKey, et cette YubiKey est un appareil si petit que lorsque je l'insère dans le port USB de mon ordinateur portable, la seule chose qui dépasse est une petite languette métallique sensible au toucher. Lorsque j'essaie de l'utiliser, je dois la toucher. Et quand je la touche, je l'active et elle envoie un code depuis mon ordinateur. Désormais, vous ne pouvez pas vous connecter à mon ordinateur ni à de nombreux autres services que j'utilise sans tapoter sur le côté de mon ordinateur pour vous authentifier. Maintenant, si vous volez ma base de données ou ma phrase secrète principale, ou

si vous devinez mon mot de passe, vous ne pourrez toujours pas déchiffrer ou ouvrir ces appareils, ni accéder à mes différents comptes, car vous n'avez pas cet objet. C'est moi qui l'ai. Et bien sûr, c'est un facteur de sécurité supplémentaire. À lui seul, ce n'est pas suffisant, car si quelqu'un parvenait à voler mon ordinateur portable, il aurait cet objet, mais heureusement, il n'aurait pas mon mot de passe, qui est l'autre facteur. Donc, en général, lorsque nous parlons d'authentification multifacteur, nous reconnaissons qu'aucun facteur d'authentification n'est suffisant à lui seul. Tous les facteurs d'authentification ont des modes de défaillance. Mais si vous utilisez l'authentification multifacteur et que vos facteurs d'authentification sont variés, alors le mode de défaillance d'un facteur d'authentification laisse l'autre comme protection. Vous avez donc des couches de sécurité. Vous savez, dans tous les films d'espionnage, quand ils coupent le doigt du

méchant, qu'ils l'approchent du lecteur d'empreintes digitales et qu'ils l'utilisent pour ouvrir la porte, eh bien, aucune porte ne fonctionne comme ça. Toutes nécessitent également un code PIN, précisément pour que si vous volez le code PIN, vous n'ayez pas le doigt. Et si vous volez le doigt en le coupant, vous ne connaissez pas le code PIN. Il faut les deux. Aucun fabricant d'un tel appareil ne ferait en sorte qu'on puisse l'ouvrir avec un seul des deux. Et en fait, lorsque les gens configurent leur téléphone pour qu'il ne s'ouvre qu'avec la biométrie, c'est incroyablement dangereux, et vous devez vous assurer d'avoir un mécanisme supplémentaire. Excellente question de suivi dans le chat : que se passe-t-il si je perds ma YubiKey, ma clé de sécurité ? Eh bien, j'en ai en fait plusieurs. J'en ai trois. Et j'en ai une stockée dans un endroit hors site comme mon ultime sauvegarde de dernier recours.

J'en ai une deuxième que je ne laisse pas branchée sur mon ordinateur portable et que je prends avec moi. C'est souvent quelque chose que vous verrez les professionnels de la sécurité porter sur un cordon autour du cou, ou attaché comme un porte-clés. Ces appareils sont assez robustes et sont souvent conçus pour être attachés à un porte-clés. Vous pouvez donc les emporter avec vos clés, ce qui est logique. Modèle de sécurité similaire, ils sont presque indestructibles. Vous pouvez rouler dessus avec un camion et ils fonctionnent toujours. J'ai donc enregistré ces trois clés de sécurité, de sorte que n'importe laquelle fonctionnera et je devrais perdre les trois avant de perdre l'accès. Mais toutes les trois se trouvent dans des endroits difficiles d'accès. Et le risque principal, la menace principale que j'essaie de contrer ici, c'est la compromission à distance. Oui, si vous vous introduisez par effraction dans ma maison, mon bureau

Clés de sécurité et YubiKeys (1:05:51)

ou dans un lieu secret numéro cinq, et que vous êtes la femme de chambre malveillante qui s'introduit dans ma chambre d'hôtel ou autre, vous pouvez trouver ces appareils, mais vous n'avez probablement pas mon mot de passe. Si vous piratez mes systèmes et obtenez mon mot de passe, vous n'avez pas l'appareil. Si vous essayez d'utiliser le mot de passe pour vous connecter à l'un de mes appareils, je ne tapoterai pas sur le côté de l'ordinateur pour vous donner accès. Et très honnêtement, vous savez que lorsque je laisse mon ordinateur sans surveillance, je retire la YubiKey et je l'emporte avec moi. Donc encore une fois, c'est une question de couches de sécurité. L'authentification à deux facteurs signifie donc utiliser au moins deux facteurs pour vous authentifier auprès de n'importe quel service ou appareil. Et il s'agit de quelque chose que vous savez, de quelque chose que vous possédez et de quelque chose que vous êtes. N'importe lequel de ces trois éléments peut être utilisé comme deuxième facteur. Et bien sûr, vous pouvez

utiliser l'authentification à trois facteurs, si vous le souhaitez, bien que ce soit plutôt inhabituel, cela devient lourd et complexe à ce stade. Difficile à récupérer, et il est facile de se retrouver bloqué. Donc deux est généralement le nombre magique, et c'est pourquoi nous l'appelons 2FA, l'authentification à deux facteurs. D'autres l'appellent MFA pour authentification à facteurs multiples ou authentification multifacteur. C'est exactement la même chose. Il existe une autre norme, qui est une norme pour un format universel de clés de sécurité comme la petite YubiKey que je vous ai montrée, qui est utilisée dans l'industrie. Elle a été créée par un organisme de normalisation appelé la FIDO Alliance, et elle s'appelle U2F, Universal Two Factor (deux facteurs universels). Si vous remarquez sur la diapositive de mon code, il y a un lien pour apprendre U2F, Universal Two Factor. U, le chiffre deux, la lettre F, U2F. C'est simplement une norme pour un appareil multifacteur matériel qui peut être branché, connecté ou

transmettre via Bluetooth ou NFC à un appareil auprès duquel vous essayez de vous authentifier. Très bien, passons donc à une question. Pas celle-là. Où est-elle ? Peut-être maintenant ? D'accord, une seconde. Il semble que la question ne soit pas mise en évidence. Je ne sais pas pourquoi. Donnez-moi une seconde, s'il vous plaît. Je vais régler ça. Je dois rafraîchir mon navigateur. Espérons qu'il ne me demande pas un mot de passe complexe. D'accord, il semble y avoir une sorte de... oh attendez, une seconde. Quelque chose s'est mal passé avec mon Slido, donc je ne peux pas vraiment voir les questions mises en évidence. Je ne sais pas pourquoi cela se produit. Je n'ai jamais vu ça avant. Oh, il y a un sondage. Apparemment, il y a un sondage actif qui m'empêche maintenant de voir les questions. Je ne sais pas pourquoi. Pardonnez-moi. Oh, ça y est. Ça s'est réparé tout seul. Désolé pour les difficultés techniques, les amis. Pourquoi un

message texte est-il une authentification à deux facteurs faible, est-ce mieux que rien ? Donc, beaucoup de banques utilisent les SMS, comme quelqu'un d'autre l'a souligné, elles utilisent les SMS comme authentification à deux facteurs. Alors pourquoi un SMS est-il une authentification à deux facteurs faible ? Très bien. Alors, quel type de facteur est un SMS ? Voyons si nous pouvons le découvrir. Est-ce quelque chose que vous savez ? Non, vous ne le savez pas sur le moment. Il semble qu'il y ait une sorte de sondage en cours qui nous interrompt. Désolé. Le Slido a commencé par un sondage pour une raison quelconque. C'est bizarre. Très bien. Le SMS est-il un bon deuxième facteur ? Quel type de facteur est-ce ? Est-ce quelque chose que vous savez ? Non, parce que vous ne le savez pas, quand il vous est envoyé sous forme de SMS, vous ne le savez pas, vous le découvrez. Ce n'est donc pas quelque chose que vous savez. Est-ce

Pourquoi les SMS constituent une authentification à deux facteurs faible (1:11:00)

Quelque chose que vous êtes ? Non, ce n'est pas quelque chose que vous êtes. Est-ce quelque chose que vous possédez ? En quelque sorte. Vous pourriez penser, d'accord, c'est quelque chose que je possède, je possède le téléphone qui reçoit le SMS. Mais le SMS n'est pas envoyé à un téléphone, il est envoyé à un numéro de téléphone. Possédez-vous le numéro de téléphone ? Et la réponse est qu'en réalité, le numéro de téléphone est la carte SIM, ou plutôt le compte auquel la carte SIM de votre téléphone est connectée, et qui possède ce compte ? Et la réponse est Vodafone, Verizon, AT&T, T-Mobile ou n'importe qui d'autre. Le problème avec l'authentification à deux facteurs par SMS est donc que vous ne possédez pas le numéro de téléphone. C'est l'opérateur téléphonique qui le possède. Et l'opérateur téléphonique a une sécurité déplorable. C'est tout, c'est vraiment aussi simple que ça. Il vous suffit donc d'appeler le service client de l'opérateur téléphonique,

de passer le son d'un bébé qui pleure en fond sonore, de faire semblant de parler à une baby-sitter frustrée pendant que le bébé hurle. Et que votre mari ou votre femme vous crie dessus en arrière-plan. Et que vous craquez nerveusement et passez une très mauvaise journée. Et les personnes très serviables et très empathiques du service client contourneront tous les contrôles de sécurité parce que vous ne savez pas quel mot de passe votre conjoint a défini sur le compte, et que c'est vraiment une urgence et que vous devez absolument le joindre. Et ils se feront un plaisir de transférer le numéro vers votre nouveau téléphone qui doit être activé tout de suite, parce que c'est une urgence. Maintenant, si cela ressemble à une attaque théorique, il y a en fait une démonstration fantastique qui se déroule à la Def Con, à la Black Hat et dans d'autres conférences de hackers, où ils réalisent ce qu'on appelle des attaques d'ingénierie sociale. Et

l'une des meilleures est une vidéo où un hacker très, très doué en ingénierie sociale a démontré à un journaliste à quelle vitesse il pouvait prendre le contrôle de son numéro de téléphone en appelant un opérateur téléphonique, en diffusant l'enregistrement d'un bébé qui hurle en fond sonore et en implorant leur aide dans ce cas d'urgence. Et littéralement moins de 10 minutes plus tard, il avait pris le contrôle du numéro de téléphone, puis l'avait utilisé pour réinitialiser son compte de messagerie, et ensuite pour réinitialiser tous ses autres comptes, compromettant ainsi toute son identité numérique en moins de 15 minutes. C'est pourquoi les SMS constituent une forme faible d'authentification à deux facteurs. Et il est vraiment important que vous ne l'utilisiez pas si vous pouvez l'éviter. Mais pour répondre à la question anonyme, est-ce mieux que rien ? C'est mieux que rien. C'est mieux que rien si

vous pouvez éviter de l'utiliser sur des comptes où vous avez de meilleures options. Donc, pour tous les comptes où vous pouvez utiliser autre chose que des SMS, faites-le. L'autre chose est de réfléchir très attentivement au choix de votre opérateur téléphonique. Ainsi, de nombreux professionnels de la sécurité utilisent des opérateurs téléphoniques qui n'ont pas de service client humain susceptible de subir une ingénierie sociale, et où les comptes eux-mêmes sont protégés par une authentification à deux facteurs forte. Par exemple, le projet Fi de Google, F-I, qui est un opérateur de réseau virtuel, n'a pas d'humains à qui vous pouvez parler. Et vous vous connectez, accédez et configurez ce compte téléphonique via un compte Google que vous pouvez sécuriser avec une authentification à deux facteurs forte, comme un jeton universel à deux facteurs. Cela signifie que votre numéro ne peut pas être transféré, ce qui signifie que vous pouvez ensuite utiliser ce numéro de manière plus sûre pour sécuriser les SMS servant à

l'authentification à deux facteurs, comme pour votre banque qui a une sécurité déplorable. Donc, en termes d'entreprises les plus nulles en matière de sécurité : les banques, les opérateurs téléphoniques, et ensuite les véritables fournisseurs de services qui ont des équipes de sécurité décentes. Tout est donc une question de couches de sécurité. Si vous n'avez pas d'autre choix que d'utiliser le SMS comme deuxième facteur d'authentification, alors je vous dirai qu'il y a certains services que j'utilise où je n'ai pas d'autre choix que d'utiliser un SMS. Assurez-vous alors que ce SMS arrive sur un compte qui est bien sécurisé. Même avec votre opérateur téléphonique, vous pouvez mettre un code PIN sur votre compte. Vous pouvez désactiver la possibilité de transférer le numéro. Vous pouvez faire toutes sortes de choses pour renforcer ce compte. Mais si vous le pouvez, il est encore mieux de transférer votre numéro vers un opérateur de réseau virtuel ou un fournisseur de services qui n'a pas d'humains pouvant

Sécuriser votre numéro de téléphone (1:16:25)

être victime d'ingénierie sociale pour transférer votre numéro. Et cela nécessite une authentification forte sur les facteurs qui contrôlent votre numéro de téléphone. Et si vous pouvez l'éviter. Évitez-le particulièrement s'il s'agit du deuxième facteur pour vous connecter à votre plateforme d'échange, où vous stockez des millions de dollars en cryptomonnaie. Et bien sûr, je fais un peu allusion ici à un expert en cryptomonnaie assez tristement célèbre, qui a en fait stocké des millions de dollars de cryptomonnaie sur un portefeuille d'échange, sur un portefeuille à chaud qui est dépositaire, donc pas vos pièces, avec une authentification à deux facteurs par SMS qui était hébergée par AT&T et qui poursuit actuellement AT&T pour la perte de quelque chose comme, je ne sais pas, 50 millions, cent millions de dollars, un chiffre ridicule de ce genre. Honnêtement, c'est le genre d'affaire judiciaire où, en tant que témoin expert, je monterais à la barre et je rirais pendant 30 minutes au nez

du plaignant. Quand ils ont dit que c'était la faute de quelqu'un d'autre s'ils avaient mis des millions de dollars sur une plateforme d'échange sécurisée par un SMS, une authentification à deux facteurs chez AT&T. Je n'aurais pas beaucoup de sympathie pour cela. Très bien. Parlons donc de l'authentification à deux facteurs qui fonctionne réellement. J'ai parlé de la clé de sécurité, qui est un élément matériel, mais il existe aussi un autre mécanisme très courant, que vous avez tous déjà utilisé, qui consiste à avoir un numéro à six chiffres. Neeraj m'a posé une question très utile spécifiquement sur ce sujet. Bonjour Andreas, comment fonctionnent Google ou Microsoft Authenticator ? Existe-t-il un système décentralisé qui peut les remplacer ? Neeraj, ce sont des systèmes décentralisés. Bien que l'application soit créée par une entité centralisée, l'application est en fait assez basique. Et par conséquent, elle est en fait décentralisée. Les secrets qui sont stockés sur ces authentificateurs

ne sont stockés que sur votre appareil local. Il y a quelques variations, bien sûr. Certaines de ces applications, comme par exemple Offi, vous permettent de sauvegarder et de transférer les secrets qui sont à la base de votre authentification à deux facteurs vers un autre appareil. Ce qui les rend pratiques, mais dangereuses. Si vous avez activé la prise en charge de plusieurs appareils dans Offi ou d'autres systèmes qui prennent en charge les sauvegardes, vous devez la laisser désactivée et ne l'activer que lorsque vous effectuez un transfert vers un autre téléphone ou un autre appareil, comme par exemple lorsque vous changez de smartphone et que vous devez déplacer tous ces comptes vers un nouvel appareil. Google Authenticator a en fait introduit la sauvegarde et le transfert dans sa dernière version. Je ne sais pas comment cela fonctionne, mais si cela fonctionne de cette manière, assurez-vous de l'avoir désactivé par défaut. De sorte que seul cet appareil local

puisse utiliser ces codes de sécurité. Sinon, ce n'est pas vraiment du double facteur, n'est-ce pas ? Ce n'est pas quelque chose que vous possédez. C'est un mot de passe de secours. C'est quelque chose que vous connaissez, et qui peut être facilement volé, ou c'est lié à votre numéro de téléphone. Auquel cas, nous en revenons à la sécurité par SMS dont nous parlions plus tôt. Quelqu'un transfère votre carte SIM, il s'empare de votre numéro. Il installe le logiciel d'authentification sur le smartphone. Il télécharge ensuite la sauvegarde et la transfère sur cet appareil. Et il a toutes vos authentifications à deux facteurs qui n'étaient pas vraiment des authentifications à deux facteurs. C'est donc le mode de défaillance, mais parlons d'abord de la façon dont cette chose fonctionne. Alors, comment fonctionnent Google ou Microsoft Authenticator ? Tout d'abord, nommons cette chose. Il s'agit d'un mécanisme appelé mot de passe à usage unique (OTP). Les mots de passe à usage unique existent depuis des décennies et ont été utilisés, eh bien, laissez-moi me corriger. Les mots de passe à usage unique numériques

sur les appareils portables existent depuis des décennies. Les mots de passe à usage unique en eux-mêmes existent en fait depuis des milliers d'années. Le concept général ici est que si vous générez une séquence de nombres aléatoires et que les deux parties à une communication ont une copie de cette séquence, ou peuvent générer cette séquence et que personne d'autre ne le peut. Alors il n'y a rien à voler ou à deviner. Les masques jetables sont une méthode de chiffrement inviolable tant que vous pouvez générer ces secrets et ne pas vous les faire voler. Et les mots de passe à usage unique qui sont numériques, des codes à six chiffres, sont très, très difficiles à voler. Tant que vous pouvez garder secrets les secrets racines qui les génèrent. Or, Google et Microsoft Authenticator sont une sous-classe particulière de mots de passe à usage unique appelés mots de passe à usage unique basés sur le temps. Et si vous voulez trouver une application qui prend en charge la norme de mot de passe à usage unique basé sur le temps, vous utilisez l'acronyme

Mots de passe à usage unique basés sur le temps (1:21:56)

T-O-T-P. Donc OTP pour mot de passe à usage unique (one-time password) et T-OTP pour mot de passe à usage unique basé sur le temps (time-based one-time password). Et basé sur le temps signifie simplement que le code est lié à l'heure actuelle et change toutes les 30 secondes. Ces systèmes utilisent donc un secret et une horloge, qui doit être plus ou moins correctement synchronisée avec l'heure actuelle, pour générer le code spécifique au moment précis où vous souhaitez l'utiliser. Et comme il s'agit d'une fenêtre de temps de 30 secondes, vous pouvez avoir un léger décalage et vous avez le temps de le voir sur votre écran et de le saisir sur le site web. Maintenant, parce que le site web auquel vous vous connectez ou l'appareil auquel vous vous connectez possède le même secret et que l'horloge est plus ou moins synchronisée. Il peut déterminer quel code vous êtes censé saisir. Il vérifie généralement celui d'avant et celui d'après pour savoir si vous êtes un peu décalé,

comme juste au-delà de 30 secondes. Il les acceptera. Ensuite, vous voyez sur votre écran le code actuel, et vous verrez un petit compte à rebours. Et après 30 secondes, il change et vous avez un nouveau numéro à six chiffres. La façon dont cela fonctionne est d'utiliser une clé privée. Et à partir de cette clé privée, il utilise une fonction de dérivation, qui peut prendre diverses formes. Je ne sais pas quelle est l'utilisation standard pour le T-OTP. Je suppose qu'il s'agit d'une sorte de mécanisme de hash avec le temps. Et avec cette fonction de dérivation, il produit de nouveaux codes numériques toutes les 30 secondes. Et vous pouvez calculer à partir de la séquence, pardon, à partir des secrets et de l'heure actuelle, le code correct pour l'heure actuelle. Le secret lui-même se trouve dans le code QR que le service que vous essayez d'utiliser affiche la première fois. Donc, lorsque vous allez utiliser l'un de

ces appareils, et ils sont tous compatibles, donc que vous utilisiez Google Authenticator, Microsoft Authenticator, Authy, Duo ou n'importe quel autre, et la plupart des gestionnaires de mots de passe intègrent également l'un de ces services T-OTP. Tout ce que vous avez à faire est de scanner un code QR à partir du site web ou du service sur lequel vous essayez d'ajouter l'authentification à double facteur. Et ce code QR contient un secret. Ce secret est une chaîne alphanumérique générée de manière aléatoire qui est liée à vos comptes. Et que le site web génère aléatoirement pour vous. Il se présente sous la forme d'un code QR. Vous le scannez avec votre appareil Google Authenticator, votre appareil Google Authenticator l'enregistre comme étant le secret, puis commence à générer des codes pour l'heure actuelle. Vous saisissez ensuite l'un de ces codes sur le site web. Il peut confirmer que vous l'avez bien saisi en effectuant un suivi et en disant, oui, c'est le code que j'attendais

dans cette fenêtre de 30 secondes. Et maintenant, vous avez mis en place l'authentification à double facteur. La difficulté avec ceux-ci est bien sûr la sauvegarde. Et il y a plusieurs façons de faire une sauvegarde. Une façon de faire une sauvegarde, qui est en fait probablement la façon la plus sécurisée de le faire honnêtement, est une impression physique. Donc, lorsque vous avez ce code QR sur votre écran, cliquez sur imprimer. Je dis des impressions physiques, car vous pourriez être enclin à faire autre chose, c'est-à-dire en prendre une photo. Et bien sûr, pour en prendre une photo, vous allez utiliser votre smartphone. Le problème est que cette photo va être stockée dans le cloud. À ce moment-là, elle n'est plus uniquement sur l'appareil dans Google Authenticator, dans l'authentificateur T-OTP. Et à ce stade, ce n'est plus un second facteur sécurisé. Faire des sauvegardes dans le

cloud de vos secrets d'authentification à double facteur est une mauvaise idée. Il est en fait préférable d'utiliser la fonction de sauvegarde que le logiciel à double facteur pourrait avoir, qui est au moins chiffrée avec un mot de passe de votre choix. Où mettez-vous ce mot de passe dans votre gestionnaire de mots de passe ? Nous tournons en rond ici si vous voyez ce que je veux dire, et parfois cela peut devenir confus. Donc, imprimez le code QR si vous voulez faire une sauvegarde ou ne le faites pas avec la plupart des services, si vous perdez votre jeton ou application d'authentification à double facteur, vous pouvez leur demander de le réinitialiser. Et ils vous feront passer par un véritable parcours du combattant, brandir des pièces d'identité et faire des selfies et confirmer par de multiples autres mécanismes comme des e-mails et des appels téléphoniques et des choses comme ça. Beaucoup de ces services vous donneront également une série de codes de secours, qui sont des codes numériques précalculés que vous pouvez saisir au lieu de ceux générés dynamiquement

La hiérarchie de l'authentification à deux facteurs (1:26:44)

générés qui sont statiques. Et ceux-ci sont prévus au cas où vous perdriez votre appareil d'authentification. Et où les stockez-vous ? C'est dans votre gestionnaire de mots de passe que vous les stockez. Ainsi, l'authentification à deux facteurs avec une application de mot de passe à usage unique basé sur le temps est un mécanisme fort, efficace et simple à utiliser que vous pouvez ajouter à tous vos comptes dès aujourd'hui. Examinons maintenant la hiérarchie de la sécurité. Clé de sécurité universelle à deux facteurs, basée sur un chiffrement très, très fort. Si vous en enregistrez plusieurs et les conservez dans des endroits sécurisés, elles sont très difficiles à compromettre. Très facile à sauvegarder, c'est un objet physique. Vous la sauvegardez en gardant un autre objet physique à proximité. C'est impossible à copier et impossible à voler sans que vous vous en rendiez compte. Le deuxième niveau concerne les mots de passe à usage unique basés sur le temps que vous utilisez en scannant un code QR et une application comme celle dont a parlé Neeraj. Ils vous donnent un code à six chiffres

toutes les 30 secondes. Encore une fois, cela fait de votre téléphone le deuxième facteur que vous possédez, et ceux-ci sont un peu difficiles à sauvegarder. Et si votre téléphone est volé, ils pourraient être faciles à compromettre. J'aime mettre une empreinte digitale sur l'application d'authentification à deux facteurs elle-même afin que vous ne puissiez pas voir les codes numériques sans utiliser les empreintes digitales. Or, il s'agit essentiellement d'un troisième facteur en plus du deuxième facteur, ce qui me protège au cas où quelqu'un volerait mon téléphone alors qu'il est déverrouillé à ce moment-là et qu'il pourrait accéder à mon application à deux facteurs, sauf qu'il ne le peut pas. Et enfin, le niveau le plus bas est l'authentification à deux facteurs par SMS, qui bien sûr n'est pas sécurisée, à moins que vous n'ayez aucune autre option, auquel cas c'est mieux que de ne rien avoir. Voilà donc les différents niveaux de l'authentification à deux facteurs. Voyons quelles autres questions nous avons pendant que

je fais une courte pause ici. Et je vais diffuser une vidéo de mes mécènes, qui vous explique pourquoi vous devriez soutenir mon travail en ligne. Donc, ce que nous faisons aujourd'hui, et ce que j'essaie toujours de faire, c'est de vous fournir du matériel éducatif de haute qualité sur Bitcoin et les blockchains ouvertes d'une manière neutre, sans sponsors, sans recommandations, sans me vendre aux annonceurs ou être redevable aux intérêts des entreprises. Personne ne paie pour cela à part vous. Et donc, si vous aimez cet enseignement, si vous avez bénéficié de cet enseignement, ou même si vous voulez simplement rendre la pareille et aider les autres à obtenir cet enseignement et m'aider, moi et mon équipe, à continuer à le faire, à le faire mieux et plus largement, alors s'il vous plaît, envisagez de me soutenir avec une souscription YouTube ou, encore mieux, un abonnement mensuel de mécène. Et selon les mots de mes mécènes, voici pourquoi.

• Je suis un mécène d'Andreas parce que je suis tombé sur ses vidéos en ligne et c'est comme ça que j'ai découvert Bitcoin. C'est donc comme ça que j'ai été initié à Bitcoin. - Je sors ce soir à un événement social organisé par Andreas, dans le cadre de son soutien aux mécènes payants. Je viens de prendre quelques verres dans le centre de Londres, donc ça a été une soirée vraiment amusante. J'ai pu rencontrer beaucoup de personnes partageant les mêmes idées. - Nous devrions soutenir le travail qu'Andreas accomplit. Il fait tellement pour amener de nouvelles personnes vers Bitcoin et vers l'éducation sur Bitcoin. - C'est un excellent professeur. Il peut expliquer des sujets très complexes d'une manière facile à comprendre. Il est très honnête et très précis. Ils peuvent être préparés et intellectuellement honnêtes. Je pense que c'est sa meilleure caractéristique. - Il apporte une telle clarté à un sujet vraiment complexe qu'est Bitcoin et l'industrie qui l'entoure. - Il a

été une très, très bonne source d'inspiration pour moi et chaque Bitcoin que je lui donne sera très bien utilisé pour nous aider à comprendre Bitcoin. Et je pense que cela améliorera le monde à un moment donné. - En tant que mécène, j'ai l'occasion de rencontrer Andreas et c'est pourquoi j'adore être un mécène et je vais continuer à l'être. - Je pense que c'est tout simplement une bonne chose. Si vous êtes intéressé par l'apprentissage de nouvelles choses et que vous souhaitez également soutenir la communauté Bitcoin, alors vous devez devenir un mécène. - Être un mécène vous fait vous sentir spécial. Vous pouvez assister à ses sessions de questions-réponses en direct. Vous pouvez le rencontrer lors de happy hours. C'est vraiment génial, ça vaut totalement le coup. Je suis très, très enthousiaste à l'idée d'être un mécène. - J'aimerais qu'il puisse produire son contenu formidable et précieux dans un avenir sans publicité et juste

Q&A : portabilité des numéros de téléphone et sécurité des applications (1:31:37)

avec l'aide de ses mécènes. Et c'est pourquoi je le soutiens sur Patreon. (musique douce) - Très bien, avant de passer à la question suivante, j'ai quelques excellents suivis dans le chat. Que mon producteur a gentiment publiés pour moi. Nous avons donc tout d'abord un suivi de Lucia : n'importe quel numéro de téléphone peut-il être porté vers un service client sans intervention humaine ? Cela dépend du pays dans lequel vous êtes enregistré. Différents pays ont différentes lois concernant la portabilité entre les fournisseurs de télécommunications. Mais honnêtement, la plupart des pays européens et certainement l'Amérique du Nord, je sais que c'est le cas aux États-Unis et au Canada, exigent que les opérateurs honorent les demandes de portabilité. Et cela signifie qu'avec la bonne procédure, vous pouvez déplacer votre numéro sans le perdre et passer à un nouvel opérateur. Et ensuite, vous pourriez aller chez un opérateur qui est un opérateur sans service

client, sans personnel. Google Fi est celui dont j'ai le plus entendu parler à ce sujet. Il y en a peut-être beaucoup d'autres qui sont tout aussi sécurisés contre les attaques de portage de numéro. J'ai un faible pour cela, bien que cela présente certains risques pour la confidentialité pour des raisons évidentes. La deuxième question vient de Ben et Ben demande comment savoir que votre application ne divulgue pas la clé secrète. Ben, vous ne pouvez pas savoir que votre application ne divulgue pas la clé secrète. Vous ne pouvez utiliser que des applications qui sont utilisées par beaucoup de personnes dans un environnement de sécurité, auditées, révisées, peut-être open source dont le code a été audité, qui ont été créées par des entreprises fiables. Qui prennent la sécurité au sérieux, qui ont un long historique de ne pas casser les choses. Cela nécessite de faire confiance à une contrepartie. Cependant, presque tout ce dont j'ai parlé nécessite de faire confiance à une contrepartie. La question est donc de savoir quelle part de confiance

vous accordez à la contrepartie et qui est cette contrepartie ? Et quelle est l'alternative ? Et si l'alternative est de ne pas utiliser d'application et d'essayer de se fier à sa mémoire, alors en fait l'alternative est pire. Et c'est l'équilibre délicat que vous devez trouver en matière de sécurité. De plus en plus, nous voyons de plus en plus d'entreprises tenter de mettre en œuvre divers mécanismes d'authentification décentralisée, d'identité décentralisée (DID), de validation décentralisée, qui sont plus sécurisés. Le multisig sur Bitcoin ou Ethereum par exemple est souvent la base de tels services. Mais pour l'instant, ces services sont relativement immatures, peu déployés et pas encore adaptés à ces types de solutions. Je suis donc très optimiste pour l'avenir dans ce domaine. En attendant, la question que vous devriez vous poser est : vaut-il mieux utiliser un service centralisé qui a fait ses preuves ou ne pas utiliser de service du tout, et essayer de se fier à

sa mémoire ? Et je peux répondre à cela de manière définitive : il vaut mieux utiliser un gestionnaire de mots de passe d'une entreprise de confiance ou qui a fait ses preuves, plutôt que de ne pas utiliser de gestionnaire de mots de passe et d'essayer de se fier à une mémoire faillible, à un caractère aléatoire faillible et à des solutions faites maison qui peuvent dépasser vos compétences techniques. Passons à la question suivante. Elle vient de Trixie : Andreas, j'adore les lunettes. Moi aussi. Merci Trixie. Avec celles-ci, je peux enfin lire ce qu'il y a sur mon ordinateur portable. Il y a deux types de diffusions en direct que je fais. Certaines sont un peu plus improvisées, davantage basées sur des questions. Je n'ai pas besoin de lire beaucoup ce qui se passe sur mon ordinateur portable. J'ai un bel écran de studio là-bas, qui est suffisamment éloigné pour que je puisse le lire avec ma vue qui baisse. Et d'autres, comme celle d'aujourd'hui, sont un peu plus complexes. J'ai besoin de faire beaucoup

Q&R : convertir les SMS bancaires vers une authentification plus forte (1:36:01)

de lecture. J'ai mon ordinateur portable sur la table. Et donc j'ai besoin de ces choses. Mais merci, nous nous égarons. Revenons au cœur de cette question. Je vais recommencer pour notre monteur. Trixie demande : y a-t-il un moyen de convertir ces stupides SMS bancaires vers Authy ou quelque chose de similaire ? Un système de mot de passe à usage unique basé sur le temps. Authy est l'un de ces mots de passe à usage unique basés sur le temps (T-OTP). Non Trixie, il n'y en a pas. À moins que votre banque ne dispose d'un mécanisme prenant en charge autre chose que les SMS, vous ne pouvez pas utiliser de mot de passe à usage unique basé sur le temps. La bonne réponse dans ce cas est d'utiliser les SMS, mais de changer d'opérateur téléphonique pour un opérateur qui exige un mécanisme d'authentification forte, tel qu'un mot de passe à usage unique basé sur le temps, ou encore mieux, une authentification universelle à deux facteurs avec une clé de sécurité, ou un opérateur où vous pouvez configurer ces options. Ainsi, votre numéro ne pourra pas être transféré, car cela nécessite une authentification forte. Et

si votre numéro peut être transféré, alors votre SMS bancaire est beaucoup, beaucoup plus sécurisé. C'était donc une excellente question de Trixie. Voyons quelles autres questions nous avons ici. Je ne vois pas beaucoup d'autres questions, alors, oh, et voilà. Oh, les modérateurs sont maintenant en train de chercher frénétiquement des questions et de me les préparer, afin que nous puissions en trouver d'autres. J'espère que vous appréciez la session d'aujourd'hui. Laissez-moi donc faire un petit récapitulatif de ce que nous avons appris jusqu'à présent. La sécurité n'est jamais à 100 %, la sécurité consiste à gérer des risques réalistes dans les limites de vos compétences techniques avec la solution la plus simple et la plus systématiquement appliquée que vous puissiez trouver, qui est superposée à d'autres solutions pour fournir une série de barrières contre un attaquant déterminé. Si vous gérez bien la sécurité, vous vous familiarisez avec ces mesures. Vous pouvez les appliquer de manière cohérente, et vous

disposez de suffisamment de couches qui correspondent soigneusement à la fois à vos compétences et à votre environnement de menace pour faire en sorte qu'un attaquant n'ait ni le temps, ni les ressources, ni le budget, ni l'intérêt, ni la récompense, en réalité, pour vous attaquer. Et à la place, ils attaquent quelqu'un qui est une cible plus facile, et c'est fondamentalement ça la sécurité. Vous ne pouvez pas être parfait à ce sujet. En fait, vous êtes humain. Donc vous serez, par définition, imparfait. Vous devez être capable de l'exécuter de manière cohérente et selon votre niveau de compétence, ce qui signifie que cela doit être suffisamment simple. Cela ne peut pas être résolu avec un seul outil, une seule technique, pratique ou action, vous devez donc utiliser plusieurs outils, plusieurs techniques, plusieurs actions, superposés les uns aux autres, de préférence des mécanismes de sécurité diversifiés qui exigent des compétences différentes de la part des attaquants, qui protègent contre les différentes menaces afin que vous puissiez les superposer et créer un système complet. Et cela ne vous permettra toujours pas d'atteindre

une sécurité à 100 %, mais, vous savez, si vous le faites de manière cohérente, et si vous le faites délibérément, et si vous l'adaptez bien, à la fois à vos besoins en matière de menaces et à votre niveau de compétences, vous pouvez rejoindre le groupe d'élite de personnes qui peuvent honnêtement dire : je n'ai pas été piraté depuis des années. C'est le mieux que vous puissiez faire, mais c'est généralement plutôt bien. Et cela vous place bien au-dessus de beaucoup d'autres personnes. Un anonyme demande : pourriez-vous partager des inquiétudes ou des suggestions concernant les gestionnaires de mots de passe pour quelqu'un qui n'a pas encore pris le temps de les comparer de près ou d'en essayer. J'ai utilisé de nombreux gestionnaires de mots de passe différents au fil des ans, il y en a certains qui sont très, très couramment utilisés et qui ne sont pas mes préférés. Que j'utilise à contrecœur de temps en temps ou tout le temps, selon l'appareil sur lequel je me trouve. Il y en a certains qui sont tombés en

désuétude ou qui ne sont plus appréciés. Et il y en a de nouveaux qui gagnent en importance. Je ne peux pas vraiment vous dire ce qui vous conviendra le mieux. Je peux vous dire que les deux plus populaires sont probablement un système appelé LastPass et un système appelé 1Password, le chiffre un, suivi du mot password, en un seul mot. 1Password et LastPass sont probablement les plus connus. Au-delà de ça, il existe un certain nombre d'autres systèmes avec des capacités et des éléments différenciateurs variés. L'un des plus récents que je regarde avec intérêt est Bitwarden, car il s'agit d'un système open source multiplateforme et plutôt bien conçu. Mais en fin de compte, tout comme j'ai donné le même conseil pour les fabricants de portefeuilles matériels, par exemple, je vous donnerai le même conseil pour nos gestionnaires de mots de passe. Les différences entre, disons, les trois ou quatre meilleurs,

Q&R : comparer les gestionnaires de mots de passe (1:41:43)

cinq entreprises dans ce domaine où les produits présentent de petites, toutes petites différences. Ils sont tous plutôt bons. Ils sont tous plutôt sécurisés. Ils sont tous plutôt cohérents. La différence entre l'un des quatre ou cinq meilleurs gestionnaires de mots de passe et le fait de ne pas en avoir du tout, ou d'essayer de se fier à sa mémoire, ou encore de tenter de créer sa propre solution, est immense. La question n'est donc pas de savoir lequel de ces outils je devrais utiliser, mais plutôt si je devrais en utiliser un. La réponse est oui, et ne perdez pas trop de temps. Une façon de voir les choses est de se demander ce que les autres membres de votre famille utilisent. Ainsi, vous pourrez facilement partager des mots de passe avec eux. La plupart de ces outils sont des écosystèmes fermés. Donc, si tout le monde dans votre famille a Bitwarden, il vaut mieux que vous utilisiez Bitwarden. Si votre entreprise ou votre employeur en utilise un, alors vous avez probablement

tout intérêt à utiliser le même pour vos besoins personnels, à condition de pouvoir conserver deux comptes séparés, simplement pour éviter d'avoir trop d'applications en cours d'exécution et trop de complexité. Encore une fois, faites simple. La seule question que vous devriez vous poser est de savoir à quelle vitesse vous pouvez mettre en place l'un de ces outils, le sécuriser correctement, puis aller modifier tous les mots de passe sur tous les sites web, en commençant par les plus importants. Un anonyme demande si la configuration initiale de Google Authenticator est une implémentation d'une clé symétrique, contrairement à Bitcoin, qui utilise un chiffrement asymétrique. Oui, c'est le cas. Et je ne sais pas ce qu'est le standard T-OTP car je ne m'y suis jamais penché. Il se pourrait même que ce ne soit pas un chiffrement symétrique. Il pourrait s'agir d'un algorithme d'étirement de mot de passe. En fait, il est probable qu'il s'agisse d'une sorte de séquence basée sur

une dérivation utilisant des hashs. Mais je ne sais pas, je n'ai pas creusé la question. Ce n'est pas asymétrique, ça je peux vous le dire. Ce n'est donc pas un système de clé publique et de clé privée. Qu'est-ce que le chiffrement symétrique ? Qu'est-ce que le chiffrement asymétrique ? C'est une autre question qui a été posée dans le chat. Le chiffrement asymétrique, c'est lorsqu'il y a deux clés formant une paire, que nous appelons une clé privée et une clé publique, et tout ce qui est chiffré par l'une ne peut être déchiffré que par l'autre, et vice versa. Donc, si vous chiffrez quelque chose avec votre clé privée, cela ne peut être déchiffré qu'avec votre clé publique. Et si vous chiffrez quelque chose avec une clé publique, seule la personne possédant la clé privée peut le déchiffrer. Et la combinaison de ces techniques est utilisée pour les signatures numériques. Et elle est utilisée pour le chiffrement et le déchiffrement de données entre deux destinataires. Ce que cela signifie, cependant, c'est

que si vous voulez déchiffrer quelque chose pour moi, vous avez besoin de ma clé publique. Si vous le chiffrez avec ma clé publique, qui est publique et facile à partager, alors je suis le seul à pouvoir le déchiffrer. Si vous voulez le chiffrer pour de nombreuses personnes, vous avez besoin de toutes leurs clés publiques et vous devez le chiffrer séparément avec chacune de leurs clés publiques. Le chiffrement symétrique, c'est lorsque vous avez une seule clé qui sert à la fois au chiffrement et au déchiffrement. Et en fait, jusqu'aux années 1970, le chiffrement symétrique était le seul mécanisme de chiffrement. Le chiffrement asymétrique n'a été inventé, je crois, si je ne me trompe pas, que dans les années 1970. Voilà donc la différence entre symétrique et asymétrique. Laissez-moi voir, je crois que j'en ai une autre ici. Une autre question de suivi de Carlos. Quand utiliserons-nous les signatures Bitcoin pour l'authentification ? Vous pourriez utiliser des signatures Bitcoin pour l'authentification dès aujourd'hui. Le problème est que vous devez faire

attention à la façon de la structurer et comprendre ce que vous prouvez exactement. Une signature Bitcoin, et plus généralement l'utilisation de signatures numériques pour l'authentification, prouve un ensemble de choses très spécifique et très restreint. Supposons que vous me demandiez de signer un message avec ma clé privée Bitcoin et de produire une signature, puis de la partager avec le monde entier. Eh bien, voici quelques éléments que je prouve. Je prouve qu'au moment où la signature a été créée, j'étais en possession de la clé privée. Bien sûr, cela ne signifie pas que je n'ai pas produit cette signature il y a des années. Vous ne savez pas quand la signature a été produite. L'autre chose est que pour utiliser cela dans un système viable, la personne qui demande la signature doit effectuer ce qu'on appelle un défi-réponse (challenge-response). Je ne peux pas simplement dire de signer quelque chose, car si j'obtiens

Q&R : Signatures Bitcoin pour l'authentification (1:47:01)

pour choisir le message, je peux en gros choisir un message que quelqu'un d'autre a signé il y a longtemps, présenter la signature qu'il a appliquée et vous dire que je viens de le faire. Et vous n'avez aucun moyen de savoir si c'est vrai ou non. Donc, à la place, dans ce scénario, vous avez besoin du défi-réponse. Donc ce que je dirais, c'est s'il te plaît, CarlosM, signe un message qui dit : Moi, CarlosM, le 5 décembre, c'est le 5 aujourd'hui ? Je ne sais même pas, le 5 décembre 2020, peu importe, je suis en possession de ma clé privée. Et je signe ce message à la demande d'Andreas. Vous comprenez ce que je veux dire ? Ce que cela fait, c'est que ça l'ancre dans le temps. Vous ne sauriez pas quel est le message jusqu'à ce que je vous demande de signer un message spécifique. Vous le reliez à une activité spécifique. Je vous ai demandé

d'y inclure des informations sur l'heure à laquelle vous l'avez signé et l'identité du signataire. Cela rend les choses beaucoup plus difficiles, mais quand même, je ne sais pas si Carlos a signé cela. Nous avons eu une conversation similaire lorsque nous avons parlé de signer avec des portefeuilles afin de prouver que vous possédez une adresse pour les nouvelles règles de voyage qui sont proposées aux États-Unis et ont déjà été mises en œuvre dans l'UE. Et bien sûr, si Carlos voulait prouver qu'il possédait une adresse et que je lui donnais un message comme celui-là, tout ce qu'il aurait à faire serait de donner ce message à Jimmy, de demander à Jimmy de le signer en disant : c'est Carlos, de le rendre à Carlos, Carlos me le donne, et je pense que cela prouve que Carlos a la clé privée alors qu'en fait c'est Jimmy qui l'a et qu'ils travaillent ensemble. Donc c'est complexe. Ce n'est

pas aussi simple qu'il n'y paraît à première vue. Très bien, voyons voir. Je vais répondre à peut-être une question de plus. Oh, celle-ci est bonne. J'ai vraiment aimé celle-ci. C'est une question de Jeff. Jeff Tezos demande : qu'en est-il des mots de passe que vous devez saisir manuellement avec votre télécommande sur la télévision ou similaire, Amazon, Netflix. À quel point doivent-ils être longs et complexes ? Jeff, j'ai lutté avec ça. Et j'ai ma réponse à cela, que je vais vous donner dans une seconde. Maintenant, imaginez le scénario dont parle Jeff, vous avez utilisé votre gestionnaire de mots de passe pour générer une clé unique alphanumérique de 32 caractères avec des symboles pour votre compte Netflix. Maintenant, vous devez la saisir sur le clavier d'une smart TV Roku, où chaque lettre doit être saisie en déplaçant votre petit curseur sur la bonne lettre du clavier, en appuyant sur entrée,

puis en revenant en arrière et en descendant jusqu'au verrouillage des majuscules, en l'activant, en remontant et en allant sur la lettre majuscule, puis en désactivant le verrouillage des majuscules, puis en allant sur le symbole et en passant au clavier numérique. Oh mon Dieu, ça va prendre des heures, des heures. Et donc oui, dans ces cas-là, la même chose que je dirais dans les cas où votre sécurité n'est pas si critique, vous devez faire quelque chose où vous devez souvent partager cette clé avec d'autres personnes. Un bon exemple serait votre mot de passe wifi, n'est-ce pas ? Donc dans ces cas-là, ce que je ferais, c'est utiliser un simple mot de passe numérique ou alphabétique. Une seule classe de caractères et le rendre un peu plus long. Donc je me fiche que quelqu'un pirate mon Netflix et remarque que je regarde Le Jeu de la dame. Bien sûr, je regarde Le Jeu de la dame. Tout le monde

regarde Le Jeu de la dame. C'est la semaine du Jeu de la dame. Ça n'a pas vraiment d'importance pour moi, bien qu'il y ait quelques considérations de sécurité, comme le fait de pouvoir déterminer où je suis quand je regarde ça. J'ai donc toujours besoin d'un mot de passe. Mais il n'a pas besoin d'être si long car il est peu probable que quelqu'un essaie de le pirater. Le vrai problème est de savoir si je me suis souvenu de réinitialiser la TV Roku quand j'ai quitté le Airbnb. Aha. C'est une bonne question. Alors, que fais-je ? Je choisis généralement un mot de passe numérique ou un mot de passe alphabétique ou en minuscules et je le regroupe par blocs. Donc, un classique que je ferais est 12 chiffres séparés par des signes moins ou des tirets. Cela signifie que je ferai trois groupes de quatre ou quatre groupes de trois chiffres. Donc mon mot de passe sera quelque chose comme neuf trois sept tiret trois un deux tiret trois

Q&R : mots de passe pour les télécommandes de télévision et les appareils à faible sécurité (1:52:10)

trois un tiret quatre un cinq. Je choisis juste des nombres au hasard à ce stade. Pas très aléatoire, d'ailleurs. J'utiliserais un générateur de nombres aléatoires dans mon gestionnaire de mots de passe. Je lui dirais de ne me donner que des chiffres et d'en faire une longueur de 12. Et puis je l'écrirais avec des tirets entre les deux, regroupés en jolis groupes de quatre, car il m'est plus facile de lire cela sur un écran et de le taper sur un clavier. Et généralement, les chiffres et le tiret sont sur le même clavier et ils sont très proches, donc je peux les taper rapidement ou, encore mieux, de nombreuses télécommandes vous permettent d'utiliser la partie numérique du clavier, qui servait à... À l'époque, nous avions des chaînes sur notre télévision et ces chaînes étaient sélectionnées par le numéro de chaîne numérique. Je sais, c'est une technologie époustouflante.

Donc, beaucoup de télécommandes ont un pavé numérique. Cela rend donc encore une fois la saisie d'une phrase secrète beaucoup plus facile. Merci, Jeff. C'était une excellente question. Et une question très pratique sur l'équilibre de la sécurité. Voulez-vous vraiment, vraiment vous donner tout ce mal pour protéger un compte qui n'est pas si sécurisé et où le plus grand risque est que vous oubliiez d'effacer ou de réinitialiser ce mot de passe lorsque vous quittez le Airbnb et que vous le laissiez à d'autres personnes pour le trouver, auquel cas, cela peut être un peu délicat. Une question similaire de Jeff. Oups. Oh non, ce n'est pas Jeff. Désolé, une seconde. Voilà. Est-ce que ça a marché ? Un peu de latence sur mes applications aujourd'hui. À quel point est-il sécurisé de n'utiliser que le code PIN à quatre chiffres, comme ce qui est utilisé sur toutes les cartes bancaires par exemple, demande Mike. Mike, cela dépend, cela

dépend de l'endroit où vous pouvez taper ce code PIN. Donc, la raison pour laquelle un code PIN à quatre chiffres est sécurisé sur les cartes bancaires, c'est parce que vous ne pouvez le taper que sur un appareil de sécurité, tel qu'un clavier de saisie de code PIN ou un distributeur automatique de billets. Ces appareils sont conçus pour vous empêcher d'essayer plus d'un certain nombre de fois. Et s'il s'agit d'appareils supervisés, c'est-à-dire que vous êtes à la station-service, à la caisse d'un supermarché, peu importe, il y a une personne qui se tient là et vous taperiez plus de quelques fois. Ils peuvent vous voir faire cela et ils appelleront la sécurité si vous essayez de taper 4 000 combinaisons différentes. Et quand il s'agit d'un appareil non supervisé où vous pourriez simplement vous asseoir là et essayer pendant des heures et des heures toutes les combinaisons possibles, il se bloquera et avalera votre carte comme vous le savez, avec les distributeurs automatiques. Donc

si je le tape mal quatre fois, ou six fois, ou trois fois, selon la politique de la banque, il fera gloups et avalera ma carte et ne me donnera pas une autre chance d'essayer. Ce n'est donc pas seulement le code PIN, c'est le contexte de la façon dont ce code PIN est utilisé. Où il est saisi, combien de fois vous pouvez essayer et ce qui se passe si vous échouez à ces mécanismes de sécurité en couches. Donc oui, un code PIN à quatre chiffres est suffisamment sécurisé dans le contexte d'appareils à accès contrôlé comme les distributeurs automatiques et les claviers de saisie, où il existe des couches de sécurité supplémentaires telles que l'avalement de votre carte si vous vous trompez, ou le fait de ne pas vous laisser essayer trop de fois. Je pense que c'est bien. Nous avons abordé beaucoup de sujets. Merci beaucoup pour toutes ces excellentes questions. Merci d'avoir laissé de très bons commentaires. Dites-moi ce que vous avez aimé dans

cette session en particulier. C'était un peu différent des autres que nous avons faites. Dites-moi ce que vous aimeriez apprendre d'autre pour vous aider dans ce voyage avec Bitcoin et les blockchains ouvertes. Et n'oubliez pas, nous avons un certain nombre de ces sessions à venir. Laissez-moi vous montrer nos prochains événements à venir, ce sont les Conversations Gênantes des Fêtes, les Conversations Gênantes des Fêtes. C'est le prochain qui arrive. Je vais vous armer des bonnes réponses et aussi d'histoires hilarantes d'autres personnes qui partagent actuellement dans les commentaires sur Patreon et d'autres plateformes, leurs conversations familiales gênantes pendant les fêtes. Principalement sur Bitcoin et les blockchains ouvertes, parfois sur des sujets qui rendent les choses beaucoup plus gênantes et que nous n'aborderons pas dans la diffusion en direct. Ensuite, nous avons notre Q&R à sujet libre de décembre, où vous pouvez poser n'importe quelle question et je pourrais choisir d'y répondre. Et

Conclusion (1:57:25)

puis enfin, nous avons notre événement Extravaganza 2021. Donc, pour savoir quand ces événements ont lieu et en apprendre davantage à leur sujet, veuillez vous abonner à ma chaîne. Activez les notifications en cliquant sur l'icône en forme de cloche, et de cette façon, vous serez les premiers informés de ces nouveaux événements. Merci de m'avoir rejoint aujourd'hui, nous avions plus de 300 personnes sur la chaîne lors de la diffusion en direct aujourd'hui qui se sont jointes à nous pour cette présentation de près de deux heures, mais nous avions beaucoup de choses à couvrir. Maintenant, pendant que je faisais cela, vous avez probablement remarqué que j'ai une pile de livres aux couleurs fantastiques dans différentes teintes. Et bien, vous auriez besoin de la version imprimée de ceux-ci pour profiter des couleurs, mais vous pouvez en fait lire le contenu sous forme d'ebook. Et vous pouvez obtenir cet ebook sur ma boutique antonov.com/shop. Vous pouvez également vous procurer des tasses comme celle-ci. Et

au fait, ce sont des tasses vraiment fantastiques. Elles sont grandes, elles sont lourdes. Elles conservent la chaleur. Elles sont très difficiles à casser. Je le sais, j'ai essayé. Je les ai fait tomber plusieurs fois et elles contiennent beaucoup de café, ce dont nous aurons tous besoin pour survivre à ces conversations de fêtes de fin d'année gênantes. Donc, jusqu'à lundi, pour les deux prochains jours, nous avons nos soldes pour les fêtes, qui vous offrent une réduction de 20 % sur tout. L'une des choses que vous pouvez également acheter est l'atelier pour choisir votre cryptomonnaie. Et la réduction de 20 % s'y applique. Les soldes des fêtes 2020 sont disponibles sur la boutique, allez sur la page d'accueil de la boutique pour trouver le coupon antonov.com/shop. N'oubliez pas de laisser des commentaires ci-dessous pour cette vidéo. Merci beaucoup d'avoir regardé. Passez un excellent week-end. Au revoir tout le monde.