Mot de passe perdu sur compte membre

Bonjour à tous,
J’ai bel et bien perdu le mot de passe du compte membre de ma fille Tassiounka qui a été certifié aujourd’hui 06.04.2018.
J’ai aussi perdu le fichier de révocation. Il semblerait que ce soit un problème lors de la sauvegarde des fichiers. Les fichiers ont été sauvegardés lors de la création du compte mais je ne sais pas comment ils ont été perdus ou effacés. Ils ne sont pas non plus dans la corbeille. J’ai bien retrouvé une trace du fichier de révocation dans l’historique des fichiers utilisés de l’éditeur de texte mais lorsque j’ai voulu l’ouvrir j’ai eu le message d’erreur “fichier introuvable” et depuis il n’apparaît même plus dans l’historique. Je suis extrêmement confus de cette situation et j’aimerais savoir quelles sont les options pour la gérer au mieux.
Merci pour votre aide.
Bert

Bonsoir Bert :slight_smile:

Hélas il n’y a pas de solution, votre fille va devoir attendre 2 ans que son compte membre soit révoquer automatiquement. Elle ne pourra donc pas redevenir membre avant 2 ans.
C’est pourquoi il est vraiment important d’avoir plusieurs copies du document de révocation et d’en remetrre a des proches de confiance.
Moi par exemple j’ai une copie du fichier de révocation d’un autre membre Ğ1 de ma famille, ainsi si ce membre de ma famille perd tout je peut révoquer son compte pour lui éviter d’attendre 2 ans !

2 ans c’est long, c’est pourquoi j’ai proposer de réduire ce délai à 1 ans pour le futur protocole de duniter, mais ça ne change rien pour vous et votre fille car ce futur protocole ne sera pas en service avant 2 ans.

Votre fille doit donc attendre jusqu’au 6 avril 2020, il n’y a aucune autre solution :confused:

Une possibilité pour limiter les dégâts consiste à utiliser un logiciel pour gérer ses mots de passe. Il y en a beaucoup mais je conseille keepass qui bien qu’un peu austère fait très bien le travail. C’est un logiciel libre qui a été audité.

@elois : J’ai un collègue dans le même cas, qui a perdu ses accès. Sur un autre fil, il a été proposé qu’il recrée un compte et qu’on surveille le premier compte pour voir s’il n’y a pas de mouvements… Ça tient à la confiance et ça n’empêche que son premier accumulerait 2 ans de DU (~7200Ğ1) récupérable dans 2-3 ans discrètement… À proscrire donc ?

1 « J'aime »

Merci @elois pour ta réponse rapide. C’est une erreur funeste dont je mesure les conséquences par l’expérience et ça n’est pas très réjouissant. @SimonLefort, j’ai déjà un gestionnaire de mots de passe mais je n’ai apparemment pas eu le temps d’y ajouter les identifiants de ce compte.
J’ai aussi pensé à la solution d’un monitoring des comptes à identifiants perdus ce qui permettrait de récréer un compte sachant qu’en cas de fraude, il est très facile de retrouver le ou les bénéficiaires.
Qu’en pensez-vous?
Bert

@bert31, Sans vouloir dire de bêtises, il me semble qu’il existe des logiciels qui permettent d’aller « farfouiller » dans le disque dur pour récupérer des données (fichiers) effacées par mégarde. Peut-être à creuser, si le fichier de révocation en question a bien été enregistré sur le DD à un moment donné, et s’il n’a pas été définitivement écrasé depuis par un formatage ou autre …

Je pense qu’il y a confusion, Il a du être question d’attendre un an maximum le temps que ce compte faute de voir son adhésion renouvelée cesse de produire son DU.

En effet ne pas attendre la date d’expiration pour créer un deuxième compte, fait produire double monnaie pour un seul individu donc de la fausse monnaie. Ce qui alors fausse le calcul du DU par membre pour le reste de la communauté. C’est donc une création de fausse monnaie qui certes dans le cas de quelques rares personnes honnêtes ne créerait pas d’avantages, mais handicaperait le reste de la communauté si la situation venait à trop se répandre. Sans parler de la difficulté à exercer une vigilance sur la toile de confiance pour les sentinelles.

Pour rappel, Voir la différence entre “Adhésion” et “Certification”

Cette solution de non renouvellement d’adhésion au bout d’un an évite la production de fausse monnaie, en revanche elle est très risquée pour les gens qui re-certifient cette deuxième identité, car le moindre mouvement de retrait ou réactivation d’adhésion sur ce compte avant les deux ans d’expiration des certifications sera considéré comme acte de triche.

Il serait alors prudent de publier la clef publique du compte non révoqué, signalé comme inactif sur le forum afin de prouver sa bonne foi et faciliter la surveillance de ce compte par la communauté.

Ce que j’écris n’engage que moi et n’est pas précisé dans la licence, C’est donc une proposition de tolérance assez contraignante pour la communauté, mais qui éviterait de perdre un an hors de celle-ci.

Il faut actuellement considérer cette solution comme non consensuelle et risquée, car elle peut générer un refus ultérieur de certifications des autres membres envers celui qui a perdu son compte et ses certificateurs (et certificateurs des certificateurs…) selon le degré de méfiance ou rigueur concernant le respect strict de la licence actuelle.

Un conseil en plus de ceux prodigués dans la licence serait d’écrire d’abord les identifiants dans keepass ou (moins prudent) dans un fichier texte à conserver ailleurs que sur votre terminal connecté. Et ensuite seulement les copier/coller depuis keepass vers le client. On évite ainsi les cas de faute de frappe qui peut être doublée au moment de première et deuxième saisie de vérification.

1 « J'aime »

Il y a toujours la possibilité de garder ses identifiants sur papier, ce qui n’est pas plus “dangereux” que dans un fichier. Deux précautions valent mieux qu’une :wink:

3 « J'aime »

S’agit-il d’un mot de passe que tu pourrais retrouver ? Ou bien est-ce un mot de passe vraiment aléatoire ?

Oui a proscrire car la personne en question peut très bien mentir et réactiver son compte juste avant la fin des 2 ans et elle aura alors 2 comptes.

@jeanferreira attendre l’expiration en suffit pas, un compte expirer peut être réactivé et un clic s’il a toujours suffisamment de certifs et s’il respecte toujours la règle de distance. Il faut obligatoirement attendre la révocation automatique du compte, soit 2 ans. Ne faites exception que pour vos proches vraiment les plus proches (famille, conjoint, enfants) !

Ou attendre un an ou deux et s’y reconnecter le jour où plus personne ne regarde pour récupérer les DU générés…

Oui, je suis tout à fait d’accord, Cela doit être très exceptionnel et réservé à des personnes d’absolue confiance. J’insiste à nouveau sur le caractère extrêmement risqué et sujet à suspicion d’un tel acte qui dans tous les cas devrait être accompagné d’un avertissement public.

Je Compte d’ailleurs appliquer cette procédure d’exception pour un neveu artisan qui attend depuis bientôt un an la possibilité de recréer un compte afin de commencer des échanges de services entre artisans.
En juin si je ne m’abuse…

1 « J'aime »

Salut Cgeek,
Ni l’un ni l’autre… Il n’est pas assez impossible à retrouver pour que je continue à le chercher, et il est assez costaud pour que ces essais restent infructueux jusqu’à présent.

Je dis ça car j’ai moi-même créé un portefeuille temporaire il y a peu et j’ai visiblement mal mémorisé les identifiants, j’ai donc pas mal de Ğ1 bloquées sur un compte auquel je n’ai plus accès pour l’instant.

Mais comme j’utilise un système de mot de passe déductibles, il me faut simplement essayer toutes les combinaisons possibles avec les “mots de base” que j’aurais pu utiliser. Un logiciel pourrait tout à fait réaliser tous les essais à ma place.

Si tu sais coder un petit peu, ou connais quelqu’un qui code, alors tu pourrais retrouver le mot de passe par ce biais.

1 « J'aime »

On pourrait donner autant de poids au non renouvellement qu’à l’expiration des certifications. Un compte non renouvelé perd son statut de membre et donc les certifications associées expirent aussi, il convient donc de relancer une procédure d’adhésion complète.

Avec ce mécanisme la perte du mot de passe n’aura plus qu’un coût de 1 an au lieu de 2.

Qui plus est cela simplifie la lecture la sécurité, la vérification et la compréhension, il n’y aurait pas de compte non membre en mesure de devenir membre en un clic, ce qui demanderait aujourd’hui une vigilance et des vérifications extrêmes pour un membre non-informaticien avant de certifier un compte afin de verifier s’il n’existe justement pas des comptes “1 clic” paralleles".

Le mécanisme actuel me paraît trop peu lisible et trop tendancieux en terme de confiance.

Il me semble très dangereux en l’état d’envisager une seule seconde de certifier un nouveau compte alors que des comptes “1 clic” dormants parallèles existent. C’est choisir de faire peser un degré de contrôle et vérifications supplémentaires et permanent à la communauté qui ne me semblent pas respecter le principe de non nuisance.

Il existe une expression célèbre aux échecs qui illustre bien le cas : “la menace est plus forte que l’exécution”.

5 « J'aime »

Si c’est ça qui gêne, alors une solution simple serait de réduire la durée d’existence du compte “1 clic” parallèle à un mois plutôt qu’un an, par exemple.

Ainsi 1 mois permet de garder une chance de se renouveler en cas d’oubli, tout en n’ayant pas à attendre 12 mois supplémentaires.

2 « J'aime »

D’où l’importance de stocker correctement le document de révocation. Et c’est d’autant plus important pour les certifieurs de s’assurer que le certifié a bien généré et stocké en lieu sûr ce document.

Si on arrivait à simplifier et réduire le temps des procédures de recréation de compte lors de la perte des identifiants cela inciterait les gens dans ce cas à se déclarer. Combien de personnes ayant perdus leurs identifiants ont déjà recréé un compte et combien le feront dans l’avenir ? Interdire cette recréation incite les gens à la “fraude” car 2 ans d’attente est une peine très sévère pour une erreur basique.

C’est logiquement équivalent à ne pas oublier 1 mois avant la date d’expiration. Je pense que c’est logiquement inutile d’aller au delà de la date, sinon que de dire qu’au lieu de 12 mois de validité ce sera 13, la différence est minime (30 DU de différence), la complexité de lecture accrue.

En cas de non-renouvellement le compte est inactif et le processus d’adhésion doit être refait, le système est clair et général, il rejoint le principe de révocation (qui lui implique en plus de créer un nouveau compte).

Rien n’empêche pas ailleurs de fournir un service d’alerte mail que chacun peut installer ou auquel souscrire, et qui, indépendamment de la blockchain peut alerter les membres qui y adhèrent de la nécessité de renouveler leur compte avant la date fatidique.

Je ne vois pas de raison logique ni technique, ni d’usage, de ne pas aller au plus simple.

2 « J'aime »

Pas tout à fait car dans ce que tu dis, les certifications expirent prématurément (avant leurs 2 ans). Ce qui a des impacts sur les chemins de la toile, et notamment sur les membres qui bénéficiaient de ces chemins. Bon après il faut nuancer, l’impact n’est pas immédiat car le calcul de distance n’est réalisé qu’à chaque renouvellement (au mieux tous les 2 mois, au pire tous les ans).

Donc faut voir, sur le principe ça ne me gêne pas.

Les erreurs basiques peuvent coûter très cher, ce n’est pas propre à Duniter/Ğ1. Si tu te fais retirer ton permis pour avoir grillé un feu rouge en permis probatoire, irais-tu dire que cela t’incite à rouler sans permis ?

Ici c’est pareil, nous sommes tous des individus en permis probatoire de production monétaire P2P. Il faut être vigilant.

edit : cette notion de “permis probatoire” me donne des idées :slight_smile: sans trop compliquer les choses, disons qu’un nouveau membre doit se renouveler dans les 6 mois avant d’être révoqué, tandis que pour un compte confirmé (non probatoire) cela passe à 1 an.

De même, un compte probatoire pourrait avoir quelques autres restrictions, par exemple ne pas pouvoir calculer de blocs, étant considéré trop nouveau.

À noter que cela se combine tout à fait avec l’idée évoquée par Galuel un peu plus tôt.

Et donc pour passer d’un permis probatoire à permis non-probatoire, il suffit de se renouveler dans les 2 mois suivant l’entrée, par exemple.

4 « J'aime »

Ce n’est pas satisfaisant et ça pose d’épineux problemes au niveau du protocole wot comme cgeek l’a esquissé.

J’ai déjà proposer une autre alternative qui me semble infiniment plus simple a tout les niveaux :
Reduire msValidity a 6 mois.
Ainsi le compte sera révoqué automatiquement 6 mois après expiration et donc le délai de “punition” sera de 1 an au lieu de 2.

Autre solution satisfaisante sans modifier le protocole actuel : Passer le revocation_factor à 1, ainsi tout compte expiré est automatiquement révoqué, et pas de problème de compte ré-activable en 1 clic.
La révocation ne supprime pas les g1 posséder, la personne qui a oublier aura juste a redemander ses certifs sur son nouveau compte et si la demande est légitime elle les recevra puisque son ancien compte est révoqué :slight_smile:

2 « J'aime »