Récupération de compte

Si vous perdez l'accès à votre compte, le chemin de récupération dépend de ce qu'il vous reste. La conception zero-knowledge de Keeplas signifie que le serveur ne peut pas récupérer votre Vault pour vous — mais c'est aussi pour cela que la conception tient sous attaque.

Arbre de décision

Restaurer sur un nouvel appareil

C'est le chemin le plus simple et celui que nous recommandons si votre phrase est intacte.

  1. Connectez-vous à Keeplas sur un appareil sain avec votre OTP e-mail ou WhatsApp.
  2. Choisissez Restaurer depuis la phrase de récupération.
  3. Entrez votre phrase de 24 mots. Keeplas redérive votre clé maître sur cet appareil via Argon2id et déverrouille votre Vault.
  4. Ré-établissez le déverrouillage par appareil (PIN, biométrie, ou passkey).

Votre phrase de récupération est la graine de tout. Conservez-la sur papier, dans un endroit sûr. Ne la photographiez pas, ne la stockez pas dans un gestionnaire de mots de passe que vous ne pouvez pas vérifier entièrement, et ne la recopiez dans aucun service cloud.

Initier la Récupération sociale

Si votre phrase est perdue mais que vos contacts de confiance sont joignables, la Récupération sociale est le chemin.

  1. Connectez-vous sur un appareil sain.
  2. Choisissez Récupérer via les contacts de confiance.
  3. Keeplas notifie vos contacts de confiance. On demande à chacun d'autoriser la récupération depuis son appareil.
  4. Une fois la valeur du seuil en contacts atteinte (2 sur 5 par défaut), leurs appareils déballent leurs fragments et reconstruisent votre clé maître — sur votre nouvel appareil, jamais sur le serveur.
  5. Une fenêtre de grâce de 72 heures s'applique si la récupération a été initiée en externe (par exemple, par Life Check). Vous pouvez l'annuler pendant la grâce depuis n'importe quel appareil connecté. Les récupérations auto-initiées qui incluent votre propre appareil vérifié par OTP sautent la grâce.

Si votre seuil est élevé (3 sur 5 ou 4 sur 5), comptez en jours, pas en minutes — vos contacts ont aussi une vie.

Aider la récupération d'un contact

Si un contact de confiance récupère son propre Vault et que vous détenez un de ses fragments, vous recevrez une notification via WhatsApp et e-mail. Ouvrez la demande, vérifiez le contact par le canal que vous jugez fiable (un appel téléphonique convient), et autorisez depuis votre appareil.

Vous ne verrez jamais sa phrase, sa clé maître, ou le contenu de son Vault. Vous autorisez votre fragment ; les mathématiques font le reste sur son appareil.

Ce que Keeplas ne peut pas faire

Sans votre phrase de récupération ou un quorum de Récupération sociale, Keeplas ne peut pas restaurer votre Vault. C'est intentionnel et essentiel :

  • Le serveur ne détient jamais que du texte chiffré.
  • Le serveur n'a jamais vu votre phrase, votre clé maître, ou une seule clé en clair.
  • Une porte dérobée de récupération qui marcherait pour « vous, l'utilisateur légitime » marcherait aussi pour un attaquant qui prétend être vous.

C'est le compromis du zero-knowledge. La meilleure protection contre ce scénario est de configurer la Récupération sociale avant d'en avoir besoin — trois contacts dignes de confiance à un seuil 2 sur 5 est une base solide. Re-vérifiez la configuration une fois par an.

editModifier cette page sur GitHub