关于STEEMIT账户权限以及相应的安全提示

in #cn7 years ago

最近几天中文区来了不少新人,很多人和去年我刚注册时一样,一头雾水。
当时我耗费好长时间学习如何发帖、怎么点赞以及如何插入图片让文章看起来更丰富
至于更高级的技巧如使用Markdown排版,是我玩了好久才学会的事情。
所以这两天我写了一些文章向新人们介绍这些或基本或略微高级的操作。

但是重中之重的事情,就是安全问题

假设这样一种情况,你把所有初中高级功能都学会了,也创作出N多高质量的文章,也获得了不菲的回报。然而一旦不小心弄丢密码,那么可不像银行,你可以拿着身份证去挂失去重置密码,你账户内的所有资产将不再属于任何人了,包括你。是不是很震惊,事实就是如此。这篇文章我们先介绍一些STEEMIT的账户权限,然后再给大家一些关于账户以及密码的安全提示。

STEEMIT的账户权限

你可能在我的或者其它人的文章里,听说过公钥、私钥、POSTING 私钥、ACTIVE私钥等乱七八糟的词汇,如果你之前对此没有了解,那么肯定和我当初刚接触的时候一样一头雾水。所以我来说一下我的理解,供大家参考和探讨。

  • 最重要的是密码
    密码是你创建账户时生成的密码,密码是所有私钥的祖宗
    也就是说,如果你密码泄露了,那么其它私钥你藏得再好也没有用了

  • POSTING 私钥,可以说是最常用
    当发表文章、给文章投票,都要使用到POSTING私钥

  • ACTIVE 私钥,主要是用在财产相关方面
    当你给别人转账或者在内部市场交易(买入卖出等)都要用到ACTIVE 私钥

  • OWNER 私钥 重要性等同密码
    这个我理解是密码的另外一种表现形式,重要性完全一样

  • MEMO 私钥用于创建和读取MEMO

而公钥则是应用密码学算法生成的一组和私钥对应的公开字符串,任何人都可以读取。

私钥和公钥主要用于两个用途

  • 数据签名/校验
  • 数据加密/解密

所谓签名,就是给数据盖个戳,证明数据是我发送的。

  • 签名过程: 用私钥生成数字签名,并附加到操作信息上
  • 校验过程: 用公钥校验操作信息中的数字签名,由此判断数据是否合法

所以加密/解密,就是我传递的信息,只有接收者才能阅读

  • 加密过程: 用接收者的公钥对数据进行加密
  • 解密过程: 接收者用自己的私钥解密出明文数据。

关于安全的重要提示


上段内容中,刨除乱七八糟的技术细节,总结一下:

  1. 公钥是公开的
  2. 私钥是私密的
  3. 密码是所有私钥的祖宗
  4. 私钥有不同的级别以及不同的用途

有了这些总结,想必大家已经建立起来一些概念了。我在补充一个重中之重的

  • 密码不能恢复

那么我们都会面临那些风险呢?

风险之一: 忘记密码/弄丢密码

有些人说没关系,我的密码浏览器记着呢
还有人说我保存在电脑里了
那么你有没有想到浏览器崩溃的可能呢?电脑硬盘坏掉也不是永远不会发生!
即便有万一之一甚至十万分之一的概率,损失也是难以接受的。

所以安全提示之一: 备份里的密码
建议离线保存在U盘等移动设备里,最好保存多份
当然用小本抄下来也是极好的,就是密码太长了点

风险之二: 密码被动泄露

我前几天发表了一篇文章
🔓 [Security Alert] You may leak your steemit password (key) by accident / 安全警示,你可能不经意就泄露了你的steemit 密码
说的有些人不小心转账时在MEMO区域填入密码,然后导致密码以明文的方式发送并被保存到区块链上,有心人根据这种可能就会获取你的密码

感兴趣的朋友可以去看看,注意一下防范类似风险。

风险之三: 在钓鱼网站上输入密码

随着STEEMIT流行起来,骗子们也蠢蠢欲动了。前阶段看到外文区有人讨论STEEMIT上已经出现了不少钓鱼手段。比如说给你个链接,说奖励你STEEM,打开后让你登陆,你登陆后奖励没拿到,你的STEEM、SBD被骗子转走了......

风险之四: 慎用第三方网站/软件

STEEM的流行,导致了一些优秀的第三方网站以及第三方软件诞生,一些优秀的站点如busy.org 我也使用过,优秀的软件如ESTEEM 我还参与了简体中文部分的翻译(繁体部分由@deanliu 翻译哦)

这些站点和软件都承诺用户密码/私钥均保存在用户本地,不会发送及上传至服务器。
但是第三方站点以及软件良莠不齐,不排除有的站点和软件由于编码不当或者其它主观客观的因素导致用户密码泄露。

风险之五: 将密码或者私钥交给朋友来操作

有时候可能出于某项复杂的操作你无法完成,或者什么其它的原因,你可能会让你的朋友帮你操作,但是务必选择靠谱的朋友,完成操作之后要及时修改密码。信任归信任,安全归安全,即便这个朋友极度可靠,但是万一他的设备中毒了呢?

罗列了一堆风险,感觉风险还应该有好多好多,限于篇幅以及我的体力,就不在赘述了。

补充一下密码恢复的问题

不同于丢失密码,如果密码被盗以后被人修改,而你又记得原始密码,那么30天内有机会重置密码
重置密码的操作我没有试过,但愿永远别出现用到这个功能的时候。
保持良好的安全意识和安全习惯,让各种风险降到最低吧。

最后,让我们用STEEMIT官网的修改密码页面的安全提示结束这篇文章吧。

The first rule of Steemit is: Do not lose your password.
The second rule of Steemit is: Do not lose your password.
The third rule of Steemit is: We cannot recover your password.
The fourth rule: If you can remember the password, it's not secure.
The fifth rule: Use only randomly-generated passwords.
The sixth rule: Do not tell anyone your password.
The seventh rule: Always back up your password.


感谢阅读
水平有限,欢迎大家一起讨论,如有谬误,烦请指正

欢迎upvote、resteem以及 following me @oflyhigh 😎
请将我设置成为你的见证人投票代理, 访问 https://steemit.com/~witnesses

Sort:  

一年前steemit刚开始的时候并没有强制一定要用很强的密码,当时我就用了一个很简单六位数的密码,然后第二个月就被别人hack了然后改了密码,幸好我当时发现的早我就用那个recover的连接,打入original的6位数密码,然后电话验证,就拿回帐号了,然后立刻用了30位数记不到的密码

强制用很强的密码是UI上要求的
现在依旧可以注册很弱的密码😄

感谢提供了一次恢复密码操作的实例
但愿不要再次发生这样的情况
毕竟密码有机会恢复,但是如果有流动性的Steem,SBD 可能就被转跑了😄

19433594_1146037222168843_1397600589_n.gif wawwwww 52 $!!

A year ago steemit just started when not forced to use a strong password, then I used a very simple six-digit password, and then the second month was hacked and then changed the password, but fortunately I Was found early that I use the recover the connection, into the original 6-digit password, and then verify the phone, get back the account, and then immediately with a 30-digit password can not remember

For users that want to know more about the conversation :P @fundurain Vote for you sir

Nice comment worth 53$

密码的级别好像有提过啊。
OWNER 私钥 是级别最高的密码,是注册时产生的,建议单独保存。
平时使用POSTING 私钥发帖和投票,ACTIVE 私钥转帐。

感谢补充
这部分内容,大神开课的时候讲过

另外,注册时生成的是密码,不是OWNER私钥

我也是最近才知道这几个钥匙的区别,以后尽量少用owner key登陆点赞。

我不会和你们说
动笔(打字)以前有很多想法,但是写着写着就忘记了
上年纪了,记忆力衰退啦😭

欢迎大家补充需要注意的地方

谢谢提醒。我今天第一次用密码,就把当时手抄的密码拿出来输入怎么都不对。后来才发现自己手写的有些字母大写小写分不清。幸亏当时打印了一份,否则密码很难搞对

讲的非常实用,太赞了,我要Follow你!以前注册的时候就没想过这些问题,纯粹出于好奇,现在看了一些文章,感觉这个网站的理念太强大了。

还有好多先进和神奇的地方呢
我见到的不过是九牛一毛,盲人摸🐘而已
大家一起学习吧

SteemIT gives one the best possible opportunity to utilise the otherwise wasted leisure time of us in a befitting manner by encouraging our own very self to earn for our souls just by putting out everything there is in our hearts and make it desirable for people to read. LOVE THE IDEA 😍👍🏻

那像chainbb 和esteem app這些應用危險嗎?也要提供private keys,但發起人都是見證人。

我觉得应该安全
但是建议不要提供posting 私钥以外的密钥

仅供参考

謝謝,那我再玩多幾個星期就把密碼改了。

I use google translate to understand a few words :)

Hello , nice post .
Please check this out , im new on steemit so every support means to me .
https://steemit.com/bitcoin/@sibinovic/dont-get-hooked-by-a-scam

Brown Nose ALERT

great post. following u & upvoted it. looking forward to ur next post. here i posted a sci post.. hope u'll upvote it thanks.. https://steemit.com/science/@ika497/guys-do-u-know-why-is-the-solar-system-flat-keep-watch-this-short-vdo-and-upvote-it