Sécurisez votre identité avec Bitcoin

Transformez votre mot de passe en un coffre-fort électronique suisse

Voici une idée. Je n’ai pas encore essayé et probablement que vous ne devriez pas non plus…

Le mois dernier, j'ai lu un tweet de robz (@rwitoff) qui m'a inspiré pour écrire ceci:

Si cela n’a pas de sens, voici comment je le lis:

  1. Ajouter des fonds à une adresse Litecoin (ou toute autre pièce);
  2. Utilisez la clé privée de cette adresse comme mot de passe lors de l'inscription;
  3. Attendez qu'un attaquant vole la base de données avec le mot de passe, espérez qu'il se rend compte qu'un mot de passe (sur plusieurs) est la clé privée d'une adresse Litecoin, pour ensuite déterminer quelle est la clé publique associée et pouvoir ainsi vérifier les fonds. l’adresse, et déplacez maintenant les pièces vers leur propre adresse et gagnez environ 100 $, en fonction de la fluctuation du prix, bien sûr…

Tout d’abord, c’est un peu complexe et certainement pas assez convivial pour une adoption généralisée à l’heure actuelle, mais c’est quand même un concept intéressant si vous me le demandez. Pourquoi? Parce qu’il permet à un utilisateur d’utiliser un mot de passe comme compte bancaire en ligne suisse. Ils pourraient transférer de l'argent sur leurs mots de passe et, si quelqu'un accède à leur coffre-fort de banque en ligne suisse ultra-secret, l'attaquant gagne environ 100 dollars.

Cela ne semble pas très attrayant, non? Droite. Tout utilisateur qui applique cette stratégie verrait son mot de passe vendu non seulement au plus offrant, mais sait aussi où, après avoir commis une infraction, il remettrait volontairement plus de 100 $ (ou tout autre montant) à quiconque volerait le mot de passe susmentionné à un destinataire. base de données à un service qu'ils ont signé.

La meilleure chose à faire pour que l’utilisateur valorise son mot de passe en plaçant son argent là où il se trouve est que plus la prime est élevée, plus il est probable qu’un attaquant transfère les fonds à sa propre adresse. Cela signifie que vous saurez maintenant qu'un attaquant a votre mot de passe et que vous pouvez ensuite réagir en activant votre plan de réponse aux incidents en cas de mot de passe. En outre, l'incitation économique à sécuriser correctement une base de données avec des mots de passe augmentera soudainement avec chaque clé privée ajoutée et chaque dollar envoyé aux adresses associées à ces clés privées. ¯ \ _ (ツ) _ / ¯

Plus cette technique serait appliquée à l’état sauvage, plus les attaquants commenceraient à chercher des clés privées dans les bases de données, de sorte que la probabilité des fonds transférés augmenterait avec chaque humain ou ordinateur parcourant le jeu de données.

Une façon dont j'ai pensé que cela pourrait être réalisé - encore une fois, je n'ai pas encore essayé et probablement que vous ne devriez pas non plus… sauf si vous êtes vraiment certain de ce que vous faites alors qui dois-je vous arrêter? - consiste à utiliser du Bitcoin logiciel de portefeuille pour générer des clés privées.

Non, la génération de clés privées sur votre bureau n’est pas sécurisée, mais les méthodes sécurisées ne vous permettent pas d’exporter vos clés privées et j’avais déjà utilisé l’emoji à haussement d'épaules pour vous dire que c’était une mauvaise idée. À des fins éducatives seulement et al.

Vous pouvez utiliser un gestionnaire de mots de passe pour stocker les clés privées en tant que mots de passe (ajoutez au moins une authentification multi-facteurs appropriée, et non, les numéros de téléphone ne sont pas des identifiants sécurisés et SMS est mort), ainsi que les données associées au site Web que vous utilisez. il se connecter à.

Une autre chose qui est toujours utile à mettre en œuvre est une adresse électronique distincte par compte / service. L’utilisation d’adresses jetables permet de séparer votre activité d’une plate-forme à l’autre… du moins quelque peu. Cela vous aidera déjà à identifier le service / site Web qui a divulgué vos informations personnellement identifiables, après qu'une violation y soit survenue et que vous trouviez ces données quelque part laissées au hasard dans un taxi.

Est-ce un moyen infaillible de gérer votre identité en ligne? Non, absolument pas. Cependant, le concept lui-même montre des possibilités pour, disons, une «assurance inversée» sur vos mots de passe. Plus vous voulez que l'attaquant indique qu'il a ce mot de passe spécifique, plus la prime que vous lui versez est élevée. Le bon attaquant aurait désormais intérêt à être si amical pour vous prévenir et vous faire savoir qu’il s’en va avec vos 100 $.

Plus les gens mettraient d'argent sur leurs mots de passe, plus les bases de données dans lesquelles ces mots de passe se trouvaient auraient de la valeur. Plus les bases de données sont précieuses, plus les attaquants sont incités à rechercher des entrées, ce qui incite donc le propriétaire à sécuriser correctement ses systèmes. C'est - c'est tout.

Discuter.