Les graines de 24 mots sont-elles meilleures que les phrases de sécurité de 12 mots?

J'ai réfléchi à cette question et je ne peux pas m'empêcher de ressentir une certaine frustration face à tant de pros vendant "une sécurité supplémentaire" dont nous n'avons vraiment pas besoin. Voyons la réalité.

La sécurité de nos portefeuilles crypto dépend de ces maudites phrases-mère. Nous avons tous connu la sueur froide en notant ces mots et en priant pour ne jamais les perdre.

Les phrases de 12 mots ont 128 bits d'entropie - un nombre si astronomique de combinaisons qu'il est pratiquement impossible à casser avec la technologie actuelle. Et celles de 24 mots ? 256 bits. Ça sonne impressionnant, n'est-ce pas ?

Mais voici la tromperie : la cryptographie à courbe elliptique utilisée par nos chères cryptomonnaies a une sécurité effective de 128 bits. Peu importe que vous utilisiez 12 ou 24 mots, la limite pratique reste la même. Nous ajoutons du poids au sac à dos sans gagner en vitesse !

Adam Back, le PDG de Blockstream ( et quelqu'un qui comprend vraiment cela), le dit clairement : 12 mots sont largement suffisants. Les entreprises qui nous poussent à utiliser 24 vendent un faux sentiment de sécurité.

Le véritable problème n'a jamais été le nombre de mots, mais comment diable nous gardons la graine. À quoi me servent 24 mots si je les ai collés sur un post-it sous le clavier ? Une graine de 12 mots gravée dans le métal et gardée dans un endroit sûr est infiniment meilleure que 24 mots sur un papier que votre colocataire pourrait trouver.

De plus, soyons honnêtes : qui n'a jamais fait d'erreurs en transcrivant ces maudites paroles ? À 12, c'est déjà un mal de tête, à 24 c'est une torture.

Il y a des exceptions, bien sûr. Si vous êtes une institution gérant des millions, vous voudrez peut-être ce supplément de tranquillité. Wei Dai souligne que dans des environnements multi-utilisateurs massifs, les limitations commencent à apparaître avec les semences les plus courtes.

Ce qui me semble intéressant, c'est que certains développeurs offrent déjà des options personnalisables : 12, 18 ou 24 mots. Il existe même des systèmes comme Shamir Secret Sharing avec 20 ou 33 mots.

Mais soyons réalistes - pour la plupart d'entre nous, 12 mots bien protégés sont plus que suffisants. Ne nous laissons pas tromper par le marketing de la peur.

La prochaine fois que quelqu'un te dise que tu as besoin de plus de mots, demande-toi : ai-je vraiment besoin de plus de sécurité théorique, ou dois-je améliorer la façon dont je protège ce que j'ai déjà ?