Hive Account Recovery - Guide de l'utilisateur

in #hive4 years ago

La vie n'est pas toujours un long fleuve tranquille et vous pourriez un jour être confronté au fait que la sécurité de votre compte que votre compte Hive soit compromiss: vos clés privées ont été divulguées ou volées et votre compte et vos fonds sont en danger, s'ils ne sont pas déjà envolés.

Heureusement, chaque compte de la blockchain Hive est lié à un compte de récupération qui peut réinitialiser la clé propriétaire (Owner Key) du compte compromis, ce qui permet à son propriétaire d'origine de le mettre à jour avec un nouveau mot de passe et de nouvelles clés.

Este post está traducido al español - aquí
An English version of this post is available - here

Comment fonctionne le processus de récupération?

  1. Vous générez un nouveau mot de passe et un jeu de paires de clés privées et publiques.
  2. Vous demandez au compte de récupération d'initier le processus de récupération en lui fournissant une nouvelle clé propriétaire publique (Public Owner Key).
  3. Le compte de récupération initie la modification de vos informations d'identification
  4. Vous avez 24 heures pour confirmer la modification.

Bien que cela semble très simple, des problèmes peuvent survenir tout au long de ce processus.

Le compte de récupération - une pierre angulaire de confiance

Qu'est-ce que le compte de récupération (Recovery Account) ?

Le compte de récupération est un autre compte Hive capable d'initier la procédure de récupération de votre compte au cas ou votre compte a été compromis. C'est la seule entité (souvent une personne) qui est capable de vous aider.

Quel est le rôle du compte de récupération ?

Le devoir du propriétaire du compte de récupération est de s'assurer que quiconque demande la récupération de compte est bien le véritable propriétaire du compte à récupérer avant de lancer la procédure de récupération de compte.

Que faire si le compte de récupération ne lance pas le processus de récupération ?

Vous êtes foutu! Ce compte est le seul à pouvoir lancer le processus de récupération.

Comme vous pourrez le voir plus loin, si le compte de récupération n'effectue l'étape 3 du processus de récupération, il est impossible de finaliser le processus de réinitialisation de votre clé de propriétaire.

Pourquoi le titulaire du compte de récupération ne lancerait-il pas le processus de récupération ?

Il peut y avoir de nombreuses raisons à cela:

  1. Son propriétaire pourrait ne pas être en mesure de vérifier que vous êtes le véritable propriétaire du compte à récupérer
  2. Son propriétaire ne répond peut-être pas (il est inaccessible ou peut même être mort)
  3. Son propriétaire peut vous rançonner pour effectuer la tâche
  4. Vous avez trompé le propriétaire avec sa femme ou son mari et maintenant il/elle se venge en refusant de se conformer à votre demande.

… et bien d'autres raisons.

Blague à part, je pense que les cas 1 et 2 sont les plus probables, le point 2 est celui avec le facteur de risque le plus élevé.

De nombreux comptes de la blockchain Hive ont été créés par Steemit, inc et ont toujours @steem comme compte de récupération. Pas sûr que beaucoup d'entre nous leur font encore confiance en tant que compte de récupération.

C'est également un problème pour les comptes créés par des utilisateurs qui ont généré des tickets de creation de compte à l'aide de leurs Resource Credits et qui les utilisent pour créer des comptes pour d'autres.
Lorsqu'ils créent un compte en utilisant leurs tickets disponibles, ils sont définis par défaut comme "compte de récupération". Une responsabilité peut-être qu'ils ne savaient pas qu'ils avaient, qu'ils n'avaient pas demandé et qu'ils ne voulaient pas. Certains peuvent devenir inactifs au fil du temps ou être inaccessibles lorsque quelqu'un en a besoin pour récupérer son compte.

Alors, vous avez un problème.

Comment atténuer ces risques ?

Le choix de votre compte de récupération est donc d'une importance capitale. Vous avez besoin d'une personne de confiance mais, plus encore, fiable qui:

  • est capable de vous identifier avec certitude.
  • vous pouvez atteindre à tout moment dans le futur.

Changer votre compte de récupération de @steem à @hive.io ne résoudra pas notre problème. Notamment parce que @hive.io n'est pas une seule entité à laquelle on peut pleinement «faire confiance» même si la majorité des personnes impliquées dans son développement sont des personnes de confiance. Il n'est pas non plus «fiable» car aucune structure n'a été mise en place pour assurer ce service et sa disponibilité 24h/24 et 7j/7.

AVERTISSEMENT: Le compte @hive n'est sous le contrôle d'aucun utilisateur de confiance connu.
NE remplacez PAS aveuglément le compte de récupération @steem par @hive !

C'est là que Hive Recovery entre en jeu.

Hive Recovery est un service qui fonctionne sans interruption et est complètement autonome. Le service fourni par @hive.recovery comprend deux composants:

A. Le front-end

La page Web Hive Recovery est une page HTML qui reflète clairement les 3 étapes associées au processus de récupération de compte Hive:

  1. Vous définissez @hive.recovery comme votre partenaire de confiance pour la récupération de compte.
  2. Si votre compte est compromis, vous demandez à @hive.recovery de lancer le processus de récupération.
  3. Une fois que @hive.recovery l'a fait, vous confirmez et finalisez le processus.

B. Le back-end

Le back-end est un service JavaScript fonctionnant 24h/24 et 7j/7 sur un serveur qui, suite à votre demande , vérifiera l'identité du demandeur et lancera le processus de récupération.

Utilisation de Hive Recovery

Naviguez vers https://tools.hivechain.app/recovery

La première chose à faire est de saisir votre nom d'utilisateur et d'appuyer sur Entrée ou de cliquer sur le bouton de vérification du compte. Si le nom du compte est valide, en fonction de l'état actuel de votre compte et des étapes du processus de récupération que vous avez déjà effectuées, les boutons s'allumeront et vous permettront de cliquer dessus.

Étape 1 - Modification de votre compte de récupération

Cette étape vous permettra de définir @hive.recovery comme compte de récupération et de sécuriser votre (futur) processus de récupération.

Après avoir cliqué sur le bouton "Change Recovery Account", le formulaire suivant s'affichera:

Remplissez le formulaire avec les informations suivantes:

  1. votre mot de passe principal (voir ci-dessous pourquoi il est demandé)
  2. votre adresse e-mail. Ceci est facultatif mais ajoutera plus de sécurité au processus de récupération (plus d'informations à ce sujet plus loin dans ce post)
  3. une phrase secrète que vous et vous seul connaîtrez (un générateur de phrase secrète en ligne très cool peut être trouvé ici)

Stockez votre phrase secrète en lieu sûr ! (séparément du mot de passe et des clés de votre compte)

Vous en aurez besoin plus tard si jamais vous avez besoin de récupérer votre compte !

Une fois prêt, confirmez que vous avez une copie de votre phrase de passe et cliquez sur le bouton "Submit"

Que va-t-il se passer?

Lorsque vous cliquez sur le bouton Sumbit, la page Web

  • encryptera votre nom de compte et votre adresse e-mail (si fournie) en utilisant votre phrase secrète (appelons le résultat de ce cryptage E1).
  • encryptera à nouveau E1 en utilisant à la fois votre clé mémo (Memo Key) et la clé mémo @hive.recovery (appelont le résultat de ce cryptage E2)
  • effectuera un micro-transfert de 0.001 HIVE de votre compte vers @hive.recovery avec le mémo crypté (E2)
  • changera votre compte de récupération en @hive.recovery

Les deux opérations (le «transfert» et le «changement de compte de récupération») sont effectuées de manière «atomique», ce qui signifie que si l'une des opérations venait à échouer, aucune d'entre elles ne serait enregistrée sur la blockchain.

Si tout se passe bien, vous verrez une notification confirmant le changement de compte.

Reveal spoiler

Pourquoi avez-vous besoin de mon mot de passe principal ?

Votre mot de passe principal est utilisé pour récupérer

  • votre clé propriétaire privé (Private Owner Key): cette clé est nécessaire pour émettre l'opération change_recovery_account sur la blockchain. D'une pierre deux coup, elle servira également à envoyer l'opération de (micro) transfert.
  • votre clé mémo privée: cette clé sera utilisée pour crypter la mémo du transfert mentionné ci-dessus.

Votre mot de passe principal ou vos clés privées ne seront PAS stockés ou envoyés sur Internet par le processus de configuration de récupération de compte!

Après avoir configuré @hive.recovery comme compte de récupération, vous devez attendre 30 jours avant que @hive.recovery devienne votre compte de récupération et avant de pouvoir lancer une récupération. Cela permet de garantir que quelqu'un qui accède à votre compte ne peut pas mettre à jour les informations de récupération à son avantage, puis lancer le processus de récupération et vous bloquer.

Cela sera indiqué par le bouton "Change Recovery Account" qui est devenu jaune et indique le nombre de jours qu'il vous reste à attendre.

Une fois la période de d'attente terminée, le bouton deviendra vert.

Cela indique que @hive.recovery est désormais votre compte de récupération.

Étape 2 - Démarrez le processus de récupération

Bien sûr, pour effectuer cette étape, vous devez d'abord avoir définis @hive.recovery comme étant votre compte de récupération.

Ajoutez à cela que vous ne pouvez lancer une demande de récupération de votre compte que si votre clé de propriétaire a été modifiée au cours des 30 derniers jours. Ceci sera clairement indiqué sur la page par un bouton jaune «Request Recovery» et un texte explicatif.

Si en revanche votre clé propriétaire (Owner Key) a été modifiée au cours des 30 derniers jours, le bouton sera affiché en rouge.

Imaginons que votre compte a été malheureusement compromis et qu'il est maintenant temps de le récupérer. Cliquez sur le bouton «Request Recovery» pour afficher le formulaire suivant:

Remplissez le formulaire avec:

  1. La phrase secrète que vous avez utilisée pour configurer votre compte de récupération (étape 1).
  2. La clé de propriétaire publique (Public Owner Key) en provenance d'un nouveau mot de passe et jeu de clés que vous aurez préalablement généré pour votre compte.

Si vous n'avez pas encore généré un nouveau mot de passe et jeu de clés, vous pouvez le faire en cliquant sur le bouton "Generate new Password and Keys". Une nouvelle boîte de dialogue s'affichera avec un nouveau mot de passe généré aléatoirement et les clés associées.

Confirmez que vous avez enregistré vos nouveaux identifiants et cliquez sur «Continue». Votre nouvelle clé propriétaire publique (Public Owner Key) sera copiée automatiquement dans le champ de saisie approprié.

Une fois les deux champs de saisie remplis, vous pourrez cliquer sur le bouton «Generate email». Cela lancera votre client de messagerie par défaut et générera un nouvel e-mail prêt à être envoyé avec les champs «à», «objet» et «corps» pré-remplis.

Si votre client de messagerie ne s'ouvre pas, vous pouvez envoyer un e-mail manuellement à recovery[at]hivechain.app et copier le texte de demande de récupération dans le corps de votre e-mail. Le sujet n’a pas d’importance. Vous pouvez y mettre ce que vous voulez.

Reveal spoiler

Si vous avez fourni une adresse e-mail à votre mémo lors de la configuration du compte de récupération, vous devez envoyer l'e-mail à partir de la même adresse e-mail!

Lors de la réception de votre e-mail, @hive.recovery analysera le texte envoyé et:

  • vérifiera qu'il est bien le compte de récupération du compte mentionné
  • recherchera le micro-transfert avec le mémo crypté
  • vérifiera qu'il est capable déchiffrer le mémo en utilisant la phrase secrète fournie
  • vérifiera si le nom du compte dans l'e-mail correspond au nom du compte dans le mémo déchiffré
  • si une adresse e-mail a été fournie à l'étape A, vérifiez si l'adresse e-mail utilisée pour envoyer la charge utile est la même que l'adresse e-mail dans le mémo déchiffré.

Si tous ces tests réussissent, @hive.recovery lancera alors le processus de récupération. Si toutes les informations que vous avez fournies sont correctes, ceci devraient avoir lieu dans les minutes qui suivent.

La dernière chose à faire est de confirmer votre demande de récupération dans les 24 heures.

Étape 3 - Confirmer la récupération

C'est la toute dernière étape. Vous êtes maintenant aux commandes pour finaliser le processus de récupération. Maintenant que vous avez demandé la récupération de votre compte et que @hive.recovery a indiqué à la blockchain que vous souhaitiez le faire, vous devez confirmer votre demande pour terminer le processus.

Cliquez sur le bouton "Confirm Account Recovery" pour afficher le formulaire suivant:

Remplissez le formulaire avec les informations suivantes:

  1. Une clé propriétaire privée (Private Owner Key) récente
  2. votre nouveau mot de passe (voir ci-dessous pourquoi il est demandé)

Qu'est-ce qu'une «clé privée récente» ?

Ce n'est PAS celle que vous avez généré à l'étape 2 !
Il s'agit d'une clé propriétaire privé (Private Owner Key) de votre compte utilisée avant sa dernière modification et cette dernière modification ne doit pas remonter à plus de 30 jours!

Note importante:

  • Si la dernière modification date de plus de 30 jours, vous ne pouvez PAS récupérer votre compte (comme mentionné à l'étape 2) !
  • Si vous ne possédez pas de clé propriétaire privé valide, vous ne pouvez PAS récupérer votre compte!
  • Si l'une des conditions ci-dessus est remplie, la partie est terminée pour vous. Vous pouvez pleurer, vous pouvez mendier, vous pouvez demander grâce. Il n'y plus a rien à faire !

Lorsque vous avez rempli le formulaire avec une clé propriétaire privée valide et votre nouveau mot de passe, cliquez sur le bouton Soumettre la confirmation.

Que va-t-il se passer?

La page Web fera deux choses:

  • elle enverra votre confirmation de récupération à la blockchaine, ce qui vous vous rendra effectivement le contrôle de votre compte.
  • elle utilisera votre mot de passe pour dériver vos autres clés publiques et mettra à jour votre compte avec ces informations afin que vous n'ayez pas besoin de le faire vous-même.

La page confirmera alors si tout s'est bien passé.

Hourra, vous avez terminé et vous avez récupéré votre compte!

Reveal spoiler

Pourquoi avez-vous besoin de mon nouveau mot de passe ?

Votre mot de passe principal est utilisé pour récupérer

  • votre clé de propriétaire privé: cette clé est obligatoire pour émettre l'opération recover_account sur la blockchain.
  • il sera également utilisé pour calculer toutes vos clés publiques Active, Posting et Memo pour envoyer une opération account_update à la blockchain et lui dire que vous avez de nouvelles clés privées.

Votre mot de passe principal ou vos clés privées ne seront PAS stockés ou envoyés sur Internet par le processus de configuration de récupération de compte!

Dans quelle mesure ce service est-il sécurisé?

Considérant que votre compte est sécurisé au moment de l'étape A, vous êtes le seul à pouvoir effectuer le micro-transfert en utilisant votre clé active (Active Key) et crypter les informations à l'aide de votre clé mémo (Memo Key). Si un pirate informatique modifie votre mot de passe, vos clés changeront également. De cette façon, @hive.recovery peut vous identifier avec certitude lorsque vous lui envoyez votre demande de récupération.

N'oubliez pas non plus qu'un processus de double cryptage est utilisé:

  1. cryptage de vos données à l'aide de votre phrase secrète -> E1
  2. cryptage de E1 à l'aide des clés mémo -> E2

Avec ce processus de double chiffrement en place, seuls vous et @hive.recovery peuvent accéder à E2 et lire E1, mais @hive.recovery ne peut pas déchiffrer E1 car il n'a pas votre phrase secrète. Personne, y compris@ hive.recovery, ne pourra jamais lire le contenu de E1 tant que vous n'aurez pas fourni la phrase secrète pour le déchiffrer.

Même si un acteur malveillant trouvait votre phrase secrète, il ne pourra pas de toute façon pas accéder à E1 car il aura besoin de votre clé mémo privée (Private memo Key) pour déchiffrer E2 en premier.

Un attaquant aurait besoin d'obtenir votre phrase secrète et votre clé mémo (et éventuellement votre adresse e-mail ainsi que son contrôle) pour pouvoir vous exclure du processus de récupération.

D'un autre côté, si ceux-ci que vous communiquez à @hive.recovery sont corrrects et que @ hive.recovery peut déchiffrer E1 et que les informations que E1 contient correspondent, il peut alors vous identifier avec certitude et lancer en toute sécurité le processus de récupération pour vous.

Un peu sur la confidentialité

Le seul élément privé que vous communiquez à @hive.recovery est une adresse e-mail. Pour des raisons évidentes, cette adresse e-mail ne peut pas être temporaire. On peut donc valablement considérer que vous pourriez potentiellement être identifié avec cette adresse e-mail.

Cependant, n'oubliez pas que ces informations sont chiffrées à l'aide de votre phrase secrète. Donc, personne qui ne possède cette phrase secrète n'y a accès, ce qui est également le cas de @hive.recovery et de l'opérateur du service Hive Recovery (@arcange). @hive.recovery ne pourra y accéder qu'à partir du moment où vous lancez une procédure de récupération.

Pour les plus paranoïaques d'entre vous qui ne feraient toujours pas confiance à se service et son opérateur, ce qui est parfaitement légitime, vous pouvez ne pas utiliser cette option. Elle n'est fournie que pour ajouter un niveau de sécurité supplémentaire.

Faites vos propres recherches

  • La page Web est hébergée sur https://tools.hivechain.app/recovery
    Ne l'exécutez pas à partir d'un autre site Web non approuvé.
    Vous pouvez la télécharger et l'exécuter localement.
    Faites votre propre analyse préalable.
  • Le code source du front-end et du back-end est disponible sur Github.

Support

Le support pour de ce service est fournie sur le serveur Discord de Hivechain.app. Utilisez le canal dédié Account Recovery.


Hive Recovery est un service créé et géré par @arcange

Découvrez ses applications et services


Votez pour lui comme witness

Sort:  

Merci d'avoir fait ce guide très complet aussi en français 👍 Je pense qu'il sera utile à beaucoup 😉


@mintrawa: Witness FR - Génération X - Geek 🤓 Gamer 🎮 voyageur ⛩️
Ne loupez pas le Hive Power UP Day! plus d'info ici

Congratulations @hive.recovery! You received a personal badge!

Happy Hive Birthday! You are on the Hive blockchain for 1 year!

You can view your badges on your board and compare yourself to others in the Ranking

Check out the last post from @hivebuzz:

Feedback from the April 1st Hive Power Up Day