Sécurité Signum
Sécurité Signum
Phrase secrète générée automatiquement par Signum
Les organisations centralisées limitent généralement le nombre de tentatives de connexion effectuées pour les comptes en ligne qu’elles fournissent. S’ils ne le faisaient pas, les courtes phrases de passe qu’ils autorisaient seraient rapidement compromises. Ils ne divulguent généralement pas non plus leur algorithme d’authentification publiquement.
La nature open-source du client Signum permet des tentatives de connexion illimitées. Les programmes peuvent tester des combinaisons aussi rapidement que des milliards par seconde, en essayant toutes les combinaisons possibles. Pour cette raison, le processus de réservation de compte Signum génère automatiquement des phrases secrètes longues et complexes – 12 mots tirés au hasard d’une liste de 2,048 English words pour les portefeuilles Phoenix et BTDEX, et 1 626 mots anglais pour le portefeuille classique.
Au début, une phrase secrète générée en sélectionnant 12 mots au hasard dans une collection accessible au public peut sembler contre-intuitive. Cependant, après une analyse plus approfondie, la force de ce système est évidente.
Le nombre de mots de passe pouvant être générés à partir de la liste de 1 626 mots de Signum (utilisée pour le portefeuille classique de Signum) dans des combinaisons de 12 mots, est le suivant :
Cela représente plus de 341 milliards de dollars, soit 341 milliards de milliards de milliards de milliards. En mathématiques, cela est appelé par euphémisme un « grand nombre ». Il est si grand qu’il est difficile de l’imaginer. Tenter toutes les combinaisons possibles, un processus connu sous le nom de forçage brutal, prendrait des milliards de milliards d’années en moyenne.
Le nombre de combinaisons possibles pour les portefeuilles Signum qui utilisent 2 048 mots sélectionnés au hasard est beaucoup plus important. Cependant, la différence est considérée comme non significative, comme le montre l’analyse qui suit :
Tenter de compromettre un compte protégé par l’une des phrases de passe générées automatiquement par Signum est un exercice futile. Il est également impossible de savoir que d’autres mots n’ont pas été ajoutés à la phrase de passe d’un compte.
| Nombre de mots | Combinaisons possibles de passphrase | Morceaux d’entropie |
|---|---|---|
| 1 | 1,626 | 10.66 |
| 2 | 2,643,876 | 21.33 |
| 3 | 4,298,942,376 | 32 |
| 4 | 6,990,080,303,376 | 42.67 |
| 5 | 11,365,870,573,289,400 | 53.34 |
| 6 | 18,480,905,552,168,500,000 | 64 |
| 7 | 30,049,952,427,826,000,000,000 | 74.67 |
| 8 | 48,861,222,647,645,100,000,000,000 | 85.34 |
| 9 | 79,448,348,025,071,000,000,000,000,000 | 96 |
| 10 | 129,183,013,888,765,000,000,000,000,000,000 | 106.67 |
| 11 | 210,051,580,583,132,000,000,000,000,000,000,000 | 117.34 |
| 12 | 341,543,870,028,173,000,000,000,000,000,000,000,000 | 128 |
Votre compte est en sécurité avec la phrase de passe de 12 mots générée par le logiciel Signum. Cela pourrait être rendu exponentiellement plus complexe en ajoutant des mots, des lettres ou des chiffres supplémentaires, mais c’est déjà plus que suffisant.
En 2017, une expérience publique a démontré la sécurité des mots de passe de Signum. L’expérience a impliqué 12 comptes contenant chacun 1 000 Signum. La phrase secrète de chaque compte a été générée automatiquement, mais l’organisateur a limité le nombre de mots à 1 pour le 1er compte, 2 pour le 2ème, etc. La phrase secrète du 12e compte comportait 12 mots. Une annonce publique a été faite pour défier quiconque souhaitant participer à la tentative de déchiffrer les phrases de passe.
Après 6 mois, seuls les 3 premiers comptes ont vu leurs mots de passe découverts. Les comptes restants n’ont pas pu être compromis même après avoir été testés par un outil de craquage de mots de passe hautement optimisé qui a essayé des combinaisons à un taux de 160 000 par seconde. Il faudrait environ 515 jours pour casser le 4e et plus de 2000 ans pour casser le 5e. Avec chaque mot supplémentaire augmentant la difficulté de 1626, il ne serait pas possible de déchiffrer la 12e phrase de passe, même si la liste de 1626 mots est accessible au public.
Phrases de passe
12 mots tirés au hasard dans une liste de 1626 mots anglais. En un autre mot – incassable.
Meilleur entrainement
Ne saisissez pas votre phrase secrète dans un formulaire en ligne et ne la divulguez pas à une personne en qui vous ne pouvez pas faire confiance.
Portefeuilles en ligne
Utilisez toujours un logiciel de portefeuille officiel. Les portefeuilles en ligne ne sont pas des portefeuilles officiels et sont centralisés par nature.
Implications de sécurité de la crypto-monnaie basée sur la blockchain
Signum est une crypto-monnaie basée sur la blockchain. Une seule phrase de passe (clé privée) protège chaque compte. Si vous ne pouvez pas produire la phrase secrète de votre compte, vous ne pouvez pas accéder au compte et les pièces qui lui sont associées n’auront aucune valeur. Il n’y a pas d’organisation centrale à contacter dans ce cas, il faut donc prendre soin, lors de la création d’un compte, de conserver un enregistrement de sa phrase de passe.
Les comptes sécurisés par une seule phrase secrète sont connus sous le nom de portefeuilles cerveaux, car la phrase secrète pourrait en théorie être stockée uniquement dans la mémoire du titulaire du compte. Pour la plupart des gens, il n’est pas recommandé de conserver un enregistrement de la phrase de passe d’un compte critique de cette manière.
La meilleure façon de conserver un enregistrement des phrases de passe est de le stocker en toute sécurité dans plusieurs emplacements. L’enregistrer sur le disque dur d’un ordinateur, le saisir dans un fichier de gestionnaire de mots de passe ou l’imprimer sur papier sont toutes de bonnes options, mais l’une d’entre elles peut échouer. Il est essentiel d’avoir une sauvegarde.
Le même soin apporté aux phrases de passe doit également être pris lors des transactions. Les transactions Signum ne sont pas réversibles. Si un transfert est effectué vers un compte sans phrase secrète connue, il n’y a aucun moyen de le récupérer. Lors du transfert de Signum entre plusieurs comptes, assurez-vous que la phrase secrète est connue pour chacun.
L’association de la valeur d’un compte à sa phrase secrète est un moyen utile de déterminer le niveau de sécurité approprié pour protéger la phrase secrète. Pour les comptes avec des valeurs plus élevées, prenez des mesures de sécurité plus étendues.
Toutes les phrases de passe devront éventuellement être saisies sur un appareil local pour signer les transactions. L’appareil doit être protégé contre les intrusions et ne doit pas être compromis par des logiciels malveillants qui pourraient enregistrer les frappes au clavier. Il est possible de signer des transactions à l’aide d’un appareil qui n’est pas connecté à Internet (à vide) en utilisant la fonction de signature de transaction hors ligne de Signum pour une sécurité accrue.
Voici quelques bonnes pratiques:
- N’entrez pas votre mot de passe dans un formulaire en ligne.
- N’utilisez pas de portefeuilles en ligne pour des comptes dont le solde est important ou qui détiendront un jour un solde significatif.
- Ne modifiez pas la phrase de passe de 12 mots générée lors de la configuration du compte (l’ajouter n’est pas problématique mais n’est pas nécessaire). La phrase secrète de 12 mots protège contre Force brute Et Table arc-en-ciel attaques.
- N’utilisez pas de caractères spéciaux. Les représentations de code ASCII peuvent être utilisées mais sont totalement inutiles. Les caractères Unicode ne sont pas toujours cohérents entre les programmes. Remarque: Microsoft Word utilise des caractères Unicode. Par conséquent, il n’est pas idéal pour composer ou stocker des phrases de passe contenant des caractères spéciaux.
- Ne partagez pas de phrases de passe avec des personnes en qui vous ne pouvez pas faire confiance.
- Ne stockez pas de phrases de passe non chiffrées sur des nœuds distants ou des postes de travail locaux.
- Ne laissez pas de phrase secrète imprimée à côté d’un ordinateur.
- Faites preuve d’une attention particulière lorsque vous vous connectez à des nœuds distants.
- Utilisez des comptes avec des soldes plus petits pour les opérations quotidiennes. Accédez aux comptes avec des soldes plus élevés uniquement lorsque cela est nécessaire et avec une attention particulière à la sécurité.
- Faites preuve de discrétion lorsque vous envisagez un logiciel de gestion des mots de passe.
La vision de Signum en matière de sécurité
La sécurité Signum implique plus que la sécurité des mots de passe et du portefeuille. Depuis sa création, Signum a cherché à améliorer l’adoption plus rapide de la technologie blockchain tout en garantissant une sécurité maximale dans tous les aspects de son fonctionnement. Il a été créé en 2014 lorsque les attaques contre les réseaux de crypto-monnaie étaient déjà monnaie courante. Pour assurer la sécurité du réseau, l’équipe de développement a mis en œuvre plusieurs stratégies.
Pour éviter les attaques de nœuds collusoires, des attaques où 51% des nœuds conspirent pour nuire au réseau, la technologie byzantine de tolérance aux pannes a été utilisée pour créer des protocoles fiables. L’accent était mis sur l’identification des nœuds honnêtes en définissant une limite supérieure pour une tolérance maximale.
Pour éviter les attaques par déni de service (DDOS), tous les nœuds devaient effectuer une validation de preuve de capacité. Un contrôle régulier identifie et met sur liste noire les nœuds problématiques.
Pour garder les détails privés et les fonds libres d’entités et d’attaques tierces, le réseau Signum utilise un cryptage avancé. Même lors de l’envoi de fonds sur le réseau, les détails ne sont pas facilement révélés.
La nature des menaces pesant sur les réseaux de crypto-monnaie change rapidement. L’équipe de développement a adopté un système d’amélioration progressive qui implique des contrôles constants pour identifier et corriger même les lacunes théoriques.
Anatomie d’une phrase secrète
L’ID de compte et l’adresse sont dérivés d’un hachage cryptographique permanent et immuable de la phrase de passe d’un compte.
La cryptographie à courbe elliptique (ECC) est utilisée pour générer une clé publique, une clé privée (pour signer des transactions) et une soi-disant clé d’accord (pour le cryptage des messages) à partir de la phrase de passe d’un compte. Il n’est pas nécessaire de comprendre précisément ces clés car elles ne sont utilisées que par programme. C’est la phrase de passe d’un compte qui permet l’interaction avec la blockchain pour effectuer des transactions.
- Une phrase secrète peut être n’importe quelle chaîne de caractères. Signum utilise 12 sélections aléatoires à partir d’une collection de mots anglais.
- Une clé privée est un hachage cryptographique de la phrase de passe d’un compte.
- Une clé publique est un hachage cryptographique avec la clé privée comme graine. Il se décode comme deux adresses publiques interchangeables; un numéro presque unique (identifiant de compte) et l’adresse formatée Reed-Solomon la plus couramment utilisée.
- Bien que la clé publique, l’ID de compte numérique et l’adresse RS soient tous dérivés du hachage cryptographique de la phrase de passe d’un compte, la phrase de passe ne peut être dérivée d’aucun de ceux-ci.