Sécurité des comptes

From Nxt Wiki
Jump to: navigation, search
This page is a translated version of the page Account Security and the translation is 100% complete.

Other languages:
Bahasa Indonesia • ‎Deutsch • ‎English • ‎Nederlands • ‎Türkçe • ‎català • ‎español • ‎français • ‎italiano • ‎polski • ‎português do Brasil • ‎Ελληνικά • ‎русский • ‎українська • ‎中文 • ‎中文(简体)‎

La sûreté et la sécurité de votre compte Nxt est très importante. Il est crucial que vous compreniez ces principes AVANT de créer un compte Nxt.

1 Sécurisez votre téléchargement

Lorsque l'équipe de développement sort une nouvelle version du logiciel client, elle publie également une somme de contrôle SHA256 du fichier correspondant. Cette somme de contrôle est un fichier texte représentant la signature digitale du fichier à télécharger. Cette somme est différente à chaque nouvelle version du logiciel et est calculé par les développeurs travaillant sur le logiciel Nxt. La simple modification d'un octet dans le code du logiciel, donnerait une somme de contrôle tout à fait différente. Puisque Nxt est un projet open-source, il est très simple pour des hackers malveillants de proposer en téléchargement des contrefaçons du logiciel en y incluant des portes dérobées et autres failles.

Une fois le fichier du logiciel client téléchargé, vous devriez lancer un utilitaire calculant la somme de contrôle SHA256 de ce fichier et vérifier que cette somme correspond à celle postée par l'équipe de développement. La version récente du logiciel client et sa somme de contrôle se trouve en bas de la page this Bitcointalk.org forum post.

Si vous n'avez jamais calculé de somme de contrôle SHA256 auparavant, voici comment faire :

  1. Sur Windows, utiliser un calculateur en ligne est la méthode la plus simple : http://hash.online-convert.com/sha256-generator
  2. Sur Mac OS X, une somme SHA-256 peut être calculée dans le Terminal via la commande openssl (le Terminal se trouve dans le répertoire /Applications/Utilities). La commande openssl devrait être de la forme : openssl sha256 [FILE_NAME]
  3. Sur GNU/Linux, le logiciel sha256sum est inclus dans la plupart des distributions. Dans un terminal, la commande sha256sum devrait être de la forme : sha256sum [FILE_NAME]

2 Mauvais mots de passe

Puisque tous les comptes Nxt sont stockés sur le réseau, il est en théorie possible à quiconque d'accéder à votre compte par "brute force". Les hackers possèdent des logiciels capables de tester un grand nombre de mots de passe, espérant trouver celui qui fonctionne leur donnant ainsi accès à votre compte. Leur travail est facilité par l'existence de rainbow tables, qui n'est autre qu'une liste de mots de passe déjà cassés et couramment utilisés par les utilisateurs.

Les hommes ont des habitudes. Nous utilisons le même mot de passe et les mêmes méthodes de génération de mots de passe. La grande majorité des gens ne choisissent pas de bons de mots de passe et pire encore un grand nombre d'entre nous utilise les mêmes. Si vous utilisez un mot de passe présent dans la liste 10,000 most common passwords, "vous allez être volé".

3 Accès au système

Un mot de passe ne peut être cassé s'il n'existe aucun moyen d'accéder à ce que le mot de passe protège : si vous conservez votre ordinateur dans un endroit sécurisé, non relié à internet, le mot de passe de votre compte Windows pourrait être des plus simples possibles. En effet, à moins qu'une personne pénètre dans cet endroit sécurisé, personne ne pourrait même essayer d’accéder à votre compte Windows.

Nxt fonctionne différemment car le système est accessible de n'importe où. Il utilise un portefeuille décentralisé, ce qui signifie que les comptes sont stockés sur le réseau. Quiconque utilisant le client Nxt peut, de n'importe où, entrer n'importe quel mot de passe et potentiellement accéder à votre compte. "Donc vous feriez mieux de choisir un très bon mot de passe ou sinon vous serez volé".

Nous vous recommandons de ne "jamais" vous connecter à votre compte sur noeud publique (un serveur accessible depuis internet).

4 Logiciels malveillants

Internet est plein de logiciels malveillants prêts à infecter votre ordinateur , lire vos fichiers, enregistrer vos frappes sur le clavier, etc. Si vous avez choisi un très bon mot de passe mais que vous le conserviez dans un fichier texte sur votre bureau ou dans un email que vous vous êtes envoyé, "vous allez être volé".

4.1 Nous nous répétons, mais il est primordial que vous saisissiez l'enjeu. La sécurité est le point le plus important auquel vous devez penser lorsque vous créez un compte Nxt.

5 De bons mot de passe

Les mots de passe forts répondent à plusieurs critères :

  • ils sont purement aléatoires. Ils ne contiennent aucun mot existant au monde. Les astuces du genre remplacer un i par un 1, un e par un 3, ou ajouter un ! à la fin ne compte pas : tout le monde fait ça. Si votre mot de passe n'est pas purement aléatoire, "vous serez volé".
  • ils sont longs. Le SANS Institute a publié un spreadsheet qui calcule la difficulté d'une attaque par brute force en fonction de la longueur d'un mot de passe, en fonction de certaines hypothèses. Certaines études montrent que les mots de passe deviennent plus sûre dès 15 caractères. Le client Nxt vous avertira si votre mot de passe est inférieur à 30 caractères. Nous vous recommandons un mot de passe de 50 à 70 caractères purement aléatoires. Si votre mot de passe est inférieur à 30 caractères, "vous serez volé".

6 Créer de bons mots de passe

Les ordinateurs sont largement meilleurs que les humains dans la génération de mots de passe aléatoires, mais étant basé sur la logique, ils ne sont pas non plus extra-ordinaires. Heureusement, des outils peuvent nous aider :

  • Defuse.ca's offline password generator est un logiciel téléchargeable pour Windows et Linux capable de générer des mots de passe très aléatoires et aux chiffrements forts.
  • Mac OS intègre un générateur de mots de passe capable de générer des mots de passe forts jusqu'à 30 caractères. Si vous l'utilisez, assurez-vous d'avoir le type "aléatoire".
  • Il existe de nombreux autres générateurs de mots de passe en ligne. Ils sont généralement écrits en javascript et utilisent la faible fonction Math.random() pour générer des nombres pseudo-aléatoires. Sinon, ils peuvent aussi générer les mots de passe côté serveur, vous devez donc faire confiance au fournisseur du service. Dans le pire des cas, ils ne chiffrent même pas le contenu via SSL. Ils sont médiocres, corruptibles et nous souhaitons vous insuffler un sain sentiment de paranoïa. Utilisez ces générateurs en ligne à vos risques et périls.

7 Stockage des mots de passe

Posséder le meilleur des mots de passe est génial, sauf si vous ne pouvez l'utiliser ou le sauvegarder. Heureusement ils existent des outils pour ça.

  • Des outils de stockage de mots de passe gratuits tels que KeePass vous permettent de créer des fichiers chiffrés dans vos ordinateurs, utilisables comme des coffres forts pour vos mots de passe. Le fichier KeepPass lui-même, est protégé par un mot de passe, et cette surcouche de sécurité rend son violation très difficile. Vous pouvez donc sauvegarder votre mot de passe Nxt avec KeePass et en cas de besoin, dévérouiller le fichier KeePass pour en extraire le mot de passe.
  • D'autres logiciels commerciaux de gestions de mots de passe existents, tel que 1Password. Recherchez par vous même et utilisez celui qui vous convient le mieux. De nombreux logiciels inclus également des générateurs de mot de passe. Cela peut valoir l'investissement.
  • Sauvegarde à froid. Vous pouvez également écrire votre mot de passe sur un morceau de papier et le conserver dans un coffre. Cela peut avoir du sens pour des comptes avec lesquels vous ne prévoyez pas de transactions quotidiennes...mais si vous souhaitez conserver vos mots de passes de manière sécurisée c'est une bonne option.