Les utilisateurs demandent à quel moment charger le document de révocation avec Gecko.
Ma réponse : est-ce bien utile ?
Si je suis capable de garder mon doc de révocation, je suis aussi capable de garder ma phrase de restauration qui permet entre autres de révoquer mon identité.
À l’inverse, si je suis incapable de garder ma phrase de restauration, il y a peu de chance que j’arrive à garder mon doc de révocation.
Mais pour ceux qui utilisent toujours leur id/mdp le doc de révocation crée avec césium v1 reste-t-il valable ?
Et un doc de révocation, je peux le garder dans un cloud peu sécurisé, il permet seulement de révoquer mon compte, alors que la phrase de restauration doit être gardée plus précieusement (potentiellement plus difficile à retrouver).
Donc finalement doc de révocation ou pas ?
Obligatoire pour être certifier ou pas ?
Tant qu’on n’a pas de sharding ou mécanisme de récupération, ça me semble pertinent d’inciter l’utilisateur à garder un doc de révocation, même par exemple dans sa boîte mail, ce qu’au contraire on déconseille pour la phrase de restauration.
Oui, c’est obligatoire, car c’est le seul recours en cas de vol des identifiants membre.
Perso, si le certifié est un proche qui n’est pas très à l’aise avec l’informatique, je lui demande de me confier une copie de son document de révocation, que je garde au chaud au cas où. Mais je ne vais pas non plus garder le mnemonic de la personne, même si c’est un proche.
Le document de révocation doit être téléchargé dès la création du compte membre, ce qui est possible techniquement dès qu’on a reçu une première certification. Pas besoin d’attendre d’être devenu membre validé.
Faut-il supposer que tout le monde aura bien noté son mnemonic ? Et pas juste griffonné sur la serviette en papier, jetée après la vérification ?
Si non, alors le document de révocation est une sécurité supplémentaire, qui a moins de risque d’être ignorée, puisque plus facile et rapide (clic sur un bouton pour enregistrer le fichier, et le programme peut vérifier qu’on l’a fait).
Au contraire, la multiplication des sécurités peut amener à moins de discipline pour chacune. C’est comme les antibiotiques, il en faut mais point trop, sinon on s’entraîne à les ignorer
Il y a la licence, et dans la réalité il y a des groupes locaux où personne ne l’a lue. Donc à moins d’ajouter des vérifications dans les clients (par exemple, avertir en cas de transfert vers des comptes très récents, conservation du mnemonic dans l’appareil pendant quelques jours, avec rappels à le noter) il pourrait être dangereux de tout miser sur le mnemonic en lieu sûr.
Sachant que les problèmes de compte d’une personne peu à l’aise qui fait des erreurs se reportent toujours sur les personnes qui les aident, je préconise de suivre le conseil de Elois.
Car je ne veux pas me retrouver sans outils pour l’aider ou galérer encore plus sans le document de révocation.
Moi je dirais un truc du genre à la personne :
“Sauvegarde ton document de révocation, et fais ça bien qu’on soit pas emmerdés après !”
“C’est vraiment utile ? J’ai déjà noté quelque part mon mnémonique…”
“Comme tu veux, mais si tu perds ton mnémonique, je t’aiderai pas, tu te démerdera !”
