Sort:  

Zdecentralizowany. W oryginalnym tekście jest kilka błędów

Niestety z jakiegoś powodu jedna z flag nie mogła zostać usunięta – jak wyjaśnił, była to flaga uniemożliwiająca hakerowi wykonywanie transferów pieniężnych.

Żadna flaga nie ma nic wspólnego z możliwością wykonywania transferów.

Pamiętaj jednak, że czas na odzyskanie konta jest ograniczony, więc go nie marnuj. Aby go przedłużyć, skontaktuj się z @guiltyparties

Kontaktowanie się z żadnym jegomościem nie przedłuży tego czasu. To jest 30 dni od czasu zmiany Private Owner Key i kropka. Owszem, kontakt z ludźmi, którzy wiedzą jak to działa pomaga szybciej i sprawniej przejść procedurę.

Stolen Accounts Recovery, to procedura, która pozwala na ustawienie nowego Owner Key pod warunkiem posiadania klucza, który był ważny nie dawniej niż 30 dni temu. Dzieje się to w sposób zdecentralizowany i wymaga spełnienia dodatkowych warunków. Udział w procesie bierze "konto odzyskiwania", który domyślnie jest kontem, które było użyte do założenia Twojego konta.
Najczęstszym przypadkiem jest tutaj konto @steem, będące pod kontrolą Steemit Inc. które zakłada konta nowym użytkownikom rejestrującym się za pomocą steemit.com. Ale może być dowolnie inne, np. @blocktrades w przypadku tych użytkowników, którzy korzystali z serwisu Blocktrades do założenia swojego konta.
Jest tutaj bardzo istotne ograniczenie. Konto odzyskiwania może zgodzić się na ustawienie nowego klucza wtedy, gdy jest w stanie potwierdzić tożsamość osoby, która stara się konto odzyskać. W Steemit konieczne jest posiadanie kontroli nad kontem pocztowym, które pierwotnie było użyte podczas rejestracji. W przypadku Blocktrades konieczne jest bycie zarejestrowanym i zalogowanym użytkownikiem Blocktrades podczas zakładania konta.

Krótko pisząc Stolen Accounts Recovery to bardzo pomocna procedura, ale wiele okoliczności może sprawić, że nam nie pomoże. Morał z tego taki, że lepiej nie tracić głowy ani haseł.

Konto odzyskiwania może zgodzić się na ustawienie nowego konta wtedy, gdy jest w stanie potwierdzić tożsamość osoby, która stara się konto odzyskać.

Masz na myśli ustawienie nowych kluczy, a nie nowego partnera w odzyskiwaniu konta, prawda?

Edit: Mam jeszcze jedno pytanie - z tego co widzę master key jest niepotrzebny w tym procesie, wystarczy owner key. Z drugiej strony gdzieś już słyszałem, że Steemit oczekuje hasła głównego (czyli wg. mnie master key). Jeśli dobrze rozumiem proces to master key jest niepotrzebny, bo i tak nigdy nim się nie podpisuje transakcji, a jedynie generuje pozostałe klucze. Mam racje?

tak tak miało być "nowego klucza", już poprawiam :-)

Tak, w bebeszkach jest używany Owner Key, aczkolwiek z tego co pamiętam w procesie na stronie można podać zarówno Master Key jak i Owner Key.

Czy nikt nigdy nie rozważał dodania jakiegoś dodatkowego mechanizmu potwierdzania tożsamości (skoro i tak wszystko wydaje się być robione ręcznie)? Dostęp do konta pocztowego można też stracić, nie mówiąc o przypadkach w których atak zaczyna się właśnie od jego przejęcia. Na przykład gdybym opublikował w blockchainie klucz publiczny PGP i w przyszłości w razie czego mógłbym udowadniać, że ja to ja podpisując coś prywatnym kluczem z pary. W sumie trudno nazwać to mechanizmem, ale jak Ci się wydaje? Czy byłoby to możliwe, żeby ktoś ze Steem Inc. (moje konto zakładał użytkownik @steem) uznał to za wystarczający dowód?

Tak, coś takiego mogło by być uznane za wystarczający dowód, ale to Twój partner recovery decyduje jakie dowody są uznane za konieczne/wystarczające.
Oczywiście konto recovery można zmienić i np. umówić się że wyłącznie spotkanie w cztery oczy jest wystarczające do tej procedury.

Oczywiście konto recovery można zmienić i np. umówić się że wyłącznie spotkanie w cztery oczy jest wystarczające do tej procedury.

Tak, to wydaje się najlepszym rozwiązaniem dla osób, które fizycznie znają się już w realu. Może być w pewnym stopniu problematyczne długoterminowo (ludzie zmieniają kraje a nawet kontynenty zamieszkania, rozwodzą się, zrywają kontakty). Nie sprawdzi się dla osób, które szukają anonimowości :-).

Również ustawienie jakiegoś innego swojego konta jako konto recovery może mieć poważne wady, szczególnie w sytuacji gdy przestępca przejmie kontrolę nad komputerem użytkownika z którego oba konta są obsługiwane.

Tak sobie myślę na głos.

A może delegaci (witnessi) jako mężowie zaufania powinni wprowadzić taką usługę: "Będę Twoim recovery partnerem jeśli spełnisz takie a takie warunki"?

A może delegaci (witnessi) jako mężowie zaufania powinni wprowadzić taką usługę: "Będę Twoim recovery partnerem jeśli spełnisz takie a takie warunki"?

Wolał bym w kopalni albo w przedszkolu pracować.

PS, technicznie jestem recovery partnerem (w danej chwili) dla tych, którzy mają recovery account ustawione na null.
Ale ponieważ zazwyczaj nie mam podstaw do odzyskiwania konta no to niczego to nie zmienia. (Chyba, że faktycznie była by jasna sytuacja gdzie osoba jest publicznie znana, w #introduceyourself wrzuciła klucz publiczny PGP, itp itd.)

Wolał bym w kopalni albo w przedszkolu pracować.

Hehe :-D. Aż tak to niewdzięczne zajęcie?

Chyba, że faktycznie była by jasna sytuacja gdzie osoba jest publicznie znana, w #introduceyourself wrzuciła klucz publiczny PGP, itp itd.

Miałem na myśli właśnie takie jasne sytuacje - o warunkach ściśle określonych przez delegata. Z drugiej strony nie można chyba zakładać, że dany delegat wiąże się z tym konkretnym blockchainem na zawsze. Niektórzy mogą zechcieć odejść czy to by rozpocząć szaloną karierę przedszkolanki, czy też by stać się prawdziwym mężczyzną wdychając pył węglowy na przodku, czy z zupełnie innych powodów. Nie można też zakładać, że Steem Inc. będzie istniało zawsze.

Nie chcę już przeciągać tego tematu, bo jakoś nie przychodzi mi do głowy żaden rozsądny pomysł jak można by rozwiązać to czysto technicznie (mam też niejasne przeczucia, że to nie byłby najlepszy pomysł).

Najlepszym rozwiązaniem pozostaje - nie dać się podejść cyberprzestępcom, czyli jeszcze większa ostrożność i pilnowanie własnych haseł i kluczy. :-)

dzięki za sprecyzowanie i wyjaśnienie @gtg. niestety z powodu urlopu i ograniczonych możliwości korzystania z platformy nie zdążyłam edytować artykułu, więc tym bardziej cieszę się z twojej korekty. myślę, że ten artykuł z twoimi korektami zwiększy świadomość użytkowników na temat bezpieczeństwa konta, używania haseł etc. jeszcze raz dzięki za całą pomoc.
pozdrawiam

@astromaniak bardzo dobra uwaga !

myślę, że fakt,że STeemit jest oparty na blockchainie oznacza, że system płatności jest na nim oparty a zatem zdecentralizowany, natomiast platforma sama w sobie ma swojego właściciela, developerów etc, którzy nią zarządzają, więc nie jest w 100% zdecentralizowana.

nie jestem do końca pewna jak to z tym, jest, ale może @gtg przyjdzie do nas na pomoc z odpowiedzią? :)

Nieprawda. Platforma jest w 100% zdecentralizowana.

Zdefiniuj decentralizację :P

Blockchain nie do końca zdecentralizowany?

Really? Nie czytałeś w czym trzymasz eurogąbki? Szkoda, że boisz się prawdy ;)

Natomiast odzyskiwać hasła można jeśli ktoś zmienił hasło to przez 30 dni można odzyskać. Natomiast załamałeś mnie tym pytaniem xD

Przyznam, że nie robiłem jeszcze odzyskiwania konta, ale muszę się tym pobawić. Z tego co wiem to partnera do odzyskiwania konta zmieniamy taką operacją, więc możesz sobie ustawić jakąkolwiek zaufaną osobę.

The recovery method relies on the ability of a recovery account to be able to verify the identity of an account holder. When wanting to recover an account the account holder shares a public key with the recovery account as a future sign of their identity. The recovery account creates the request when they are certain the account holder is who they say they are. In order to confirm the request and recover the account, the account holder must satisfy both a recently used owner authority and the new authority shared with the recovery account within 24 hours of the creation of the request. This proves possession of the account in the past and their current identity to the blockchain before recovering the account. Because the owner authority secret on the recovered account is never known by the recovery account, the recovery account can never change the owner authority of a liable account without permission of the account holder and therefore never has access to their owner, posting, or active keys, funds, and reputation on Steem.

źródło

Wygląda na to, że nie da się "dostać do konta", a proces odzyskiwania konta jest oparty o multisig. Jeśli tak rzeczywiście jest (niech ktoś, kto zna się na tym lepiej mnie poprawi), to nie widzę tu nic, co zmniejsza decentralizacje. Każdy może ustawić sobie system odzyskiwania konta taki jaki uważa za słuszny.

W jakim stopniu Steem jest zdecentralizowany to już inna bajka, zależy o jakiej decentralizacji mówimy.