Account Recovery - À propos de la confiance et de la non-confiance

in #hive4 years ago (edited)

Il y a quelques jours, lors du Hive Meetup organisé par la communauté hispanophone ce week-end, j'ai présenté les Hive Account Recovery Services que j'ai créé.

An English version of this post is available - here

Au cours de la session de questions-réponses qui a suivi, quelqu'un a posé la question suivante:

Definir @blocktrades ou @arcange comme compte de récupération (Recovery Account) est-il un bon choix?

Au début, j'ai répondu par "Oui, ça pourrait être un bon choix" pour nuancer ensuite ma réponse ... "Bien entendu, il faut faire confiance à @blocktrades (ce qui est vrai pour moi) ou à @arcange (ce qui est également vrai pour moi) ".

Mais plus tard, je suis revenu sur ma réponse en disant "Non, vous ne devriez PAS faire ça!"

Pourquoi ce changement d'avis ?

Il semble qu'au début, je me sois laissé emporté par mes émotions et mon expérience personnelle. Laissez-moi vous expliquer.

Il faut admettre que lorsque quelqu'un vous témoigne sa confiance et vous demande d'être son compte de récupération, cela flatte un peu votre ego. On veut alors également honorer cette confiance et y répondre de la même manière.

J'ai donc fait à la hâte la transposition suivante: cette personne me fait confiance, je fais confiance à @blocktrades, donc ils peuvent aussi faire confiance à @blocktrades.

Pourtant j'avais l'impression d'entendre ma petite voix me dire "Hmmm, tu es certain que c'est la bonne réponse". Au début, j'ai imaginé qu'elle me chuchotait cela parce que je ne voulais pas assumer cette responsabilité et que je considérais @hive.recovery comme un bien meilleur candidat. Après tout, c'est pour ça que j'ai créé un tel service et je venais de le présenter à l'audience.

Ce n'est qu'après un petit moment que le franc est tombé et pourquoi j'avais une telle réticence.

Les facteurs clés du processus de récupération

Embrouillé par le biais décrit ci-dessus, j'avais complètement négligé deux facteurs importants dans le choix de votre partenaire de récupération:

1. Identification inverse

Votre compte de récupération doit pouvoir vous identifier formellement!

Prenons le cas de @blocktrades et du fait que je pourrais le choisir comme compte de récupération.

Au-delà de lui faire confiance pour avoir les compétences techniques et être prêt à m'aider à récupérer mon compte si celui-ci venait à être compromis, je lui fais également confiance que, s'il devait recevoir une demande de récupération de mon compte, avant d'exécuter une telle demande:

  1. il essaiera de vérifier si c'est bien moi, @arcange, qui fait cette demande.
  2. il a la capacité de m'identifier sans aucun doute.

Les deux lignes ci-dessus doivent absolument guider le choix de votre compte de récupération!

Dan (@blocktrades) me connaît personnellement. Nous nous sommes rencontrés physiquement (c'est-à-dire dans le monde «réel», n'allez pas imaginer autre chose 😜) et je pourrais par exemple lui rappeler certains éléments de conversation que nous avons eu ensemble et que seuls nous deux connaissons. Je pense qu'il me posera également d'autres questions. Par conséquent, je sais qu'il pourra m'identifier avec certitude.

Dans le cas des personnes posant la question lors du meetup, je n'avais** aucune information** à leur sujet: ni leur nom, ni leur lieu de résidence, ni même leur apparence. Rien!

2. Communication

Autre point sur lequel vous devez être particulièrement attentif dans le choix de votre partenaire: vous devez savoir comment le contacter.

Il est absolument inutile de choisir une personne en qui vous avez confiance si vous n'avez pas son consentement, si vous ne savez pas comment lui envoyer votre demande de récupération de compte et si vous n'êtes pas sûr qu'elle vous répondra. dans un certain délai (aussi court que possible).

Pourquoi est-ce des facteurs clés?

L'idéal pour un hacker est de prendre le contrôle total d'un compte afin de:

  • Videz votre portefeuille de ses jetons liquides.
  • initier un powerdown pour mettre la main sur vos Hive Power.
  • initier un transfer de votre épargne (savings) pour rendre vos jetons liquides.
  • utilisez votre compte pour arnaquer d'autres utilisateurs.

1. Identification inverse

Imaginez que vous soyez assez intelligent pour ne pas divulguer votre mot de passe ou vos clés, mais qu'un pirate informatique remarque que vous venez de les changer. Il pourrait alors contacter votre compte de récupération, faire semblant d'être vous et dire "Hé, mon compte vient d'être piraté, peux-tu m'aider à le récupérer?"

Si votre partenaire de récupération n'est pas prudent et fonce tête baissée sans vérification prélable, il se pourrait alors que ce soit lui qui donne le contrôle de votre compte.

L'usurpation d'identité est si facile à faire nos jour. L'identification inverse est un must et tout titulaire de compte de récupération fiable doit refuser catégoriquement d'initier le processus de récupération s'il n'est pas en mesure d'identifier le demandeur à 100%!

C'est ce que j'attends de mon compte de récupération afin de protéger mon compte!

2. Communication

Vous devez être en mesure de communiquer rapidement avec votre partenaire de récupération.

  • Un transfert de votre épargne (savings) ne prend que 3 jours.
  • Vous et votre partenaire de récupération ne disposez que de 30 jours pour terminer le processus de récupération.
  • Chaque semaine qui passe, un 13ème de vos Hive Power devient disponible pour le hacker.

Si vous ne savez pas comment contacter votre partenaire de récupération ou s'il ne répond pas, vous êtes dans la merde. Et après 30 jours, ce sera "Game Over". Vous aurez définitivement perdu votre compte!

Conlusion

Comme vous pouvez maintenant le voir, choisir ou être un compte de récupération est quelque chose d'important auquel il faut réfléchir un peu, de la part des deux parties.

Choisir un compte de récupération

  • Choisissez quelqu'un de votre entourage en qui vous avez confiance, qui peut vous identifier formellement.
  • Demandez-lui son accord avant d'effectuer le changement
  • Votre choix n'est pas définitif. Si votre partenaire disparaît ou ne mérite plus votre confiance, modifiez votre compte de récupération.
  • Si vous ne savez pas qui choisir, utilisez les services de @hive.recovery.

** Être un compte de récupération **

  • Soyez conscient de la responsabilité que vous endossez.
  • Si vous acceptez de le faire, mettez en place un protocole d'identification.
  • Faites attention le jour où vous devez agir. Les escrocs sont malins et intelligents.
  • N'hésitez pas à refuser et à parler de @hive.recovery à celui qui vous fait la demande.

J'espère que ces quelques informations et conseils vous aideront à mieux comprendre le processus de récupération de compte et ses subtilités, et vous permettront de faire le bon choix.

Prenez soin mutuellement de vos comptes!


Decouvrez mes apps et services


Votez pour moi comme witness