You are viewing a single comment's thread from:
RE: JAK (NIE) WPAŚĆ W RĘCE HAKERA - Moja Historia
Czyli jednak da się dostać do konta żeby je odzyskać...? Może blockchain nie do końca zdecentralizowany?
Czyli jednak da się dostać do konta żeby je odzyskać...? Może blockchain nie do końca zdecentralizowany?
Zdecentralizowany. W oryginalnym tekście jest kilka błędów
Żadna flaga nie ma nic wspólnego z możliwością wykonywania transferów.
Kontaktowanie się z żadnym jegomościem nie przedłuży tego czasu. To jest 30 dni od czasu zmiany Private Owner Key i kropka. Owszem, kontakt z ludźmi, którzy wiedzą jak to działa pomaga szybciej i sprawniej przejść procedurę.
Stolen Accounts Recovery, to procedura, która pozwala na ustawienie nowego Owner Key pod warunkiem posiadania klucza, który był ważny nie dawniej niż 30 dni temu. Dzieje się to w sposób zdecentralizowany i wymaga spełnienia dodatkowych warunków. Udział w procesie bierze "konto odzyskiwania", który domyślnie jest kontem, które było użyte do założenia Twojego konta.
Najczęstszym przypadkiem jest tutaj konto @steem, będące pod kontrolą Steemit Inc. które zakłada konta nowym użytkownikom rejestrującym się za pomocą steemit.com. Ale może być dowolnie inne, np. @blocktrades w przypadku tych użytkowników, którzy korzystali z serwisu Blocktrades do założenia swojego konta.
Jest tutaj bardzo istotne ograniczenie. Konto odzyskiwania może zgodzić się na ustawienie nowego klucza wtedy, gdy jest w stanie potwierdzić tożsamość osoby, która stara się konto odzyskać. W Steemit konieczne jest posiadanie kontroli nad kontem pocztowym, które pierwotnie było użyte podczas rejestracji. W przypadku Blocktrades konieczne jest bycie zarejestrowanym i zalogowanym użytkownikiem Blocktrades podczas zakładania konta.
Krótko pisząc Stolen Accounts Recovery to bardzo pomocna procedura, ale wiele okoliczności może sprawić, że nam nie pomoże. Morał z tego taki, że lepiej nie tracić głowy ani haseł.
Masz na myśli ustawienie nowych kluczy, a nie nowego partnera w odzyskiwaniu konta, prawda?
Edit: Mam jeszcze jedno pytanie - z tego co widzę master key jest niepotrzebny w tym procesie, wystarczy owner key. Z drugiej strony gdzieś już słyszałem, że Steemit oczekuje hasła głównego (czyli wg. mnie master key). Jeśli dobrze rozumiem proces to master key jest niepotrzebny, bo i tak nigdy nim się nie podpisuje transakcji, a jedynie generuje pozostałe klucze. Mam racje?
tak tak miało być "nowego klucza", już poprawiam :-)
Tak, w bebeszkach jest używany Owner Key, aczkolwiek z tego co pamiętam w procesie na stronie można podać zarówno Master Key jak i Owner Key.
Czy nikt nigdy nie rozważał dodania jakiegoś dodatkowego mechanizmu potwierdzania tożsamości (skoro i tak wszystko wydaje się być robione ręcznie)? Dostęp do konta pocztowego można też stracić, nie mówiąc o przypadkach w których atak zaczyna się właśnie od jego przejęcia. Na przykład gdybym opublikował w blockchainie klucz publiczny PGP i w przyszłości w razie czego mógłbym udowadniać, że ja to ja podpisując coś prywatnym kluczem z pary. W sumie trudno nazwać to mechanizmem, ale jak Ci się wydaje? Czy byłoby to możliwe, żeby ktoś ze Steem Inc. (moje konto zakładał użytkownik @steem) uznał to za wystarczający dowód?
Tak, coś takiego mogło by być uznane za wystarczający dowód, ale to Twój partner recovery decyduje jakie dowody są uznane za konieczne/wystarczające.
Oczywiście konto recovery można zmienić i np. umówić się że wyłącznie spotkanie w cztery oczy jest wystarczające do tej procedury.
Tak, to wydaje się najlepszym rozwiązaniem dla osób, które fizycznie znają się już w realu. Może być w pewnym stopniu problematyczne długoterminowo (ludzie zmieniają kraje a nawet kontynenty zamieszkania, rozwodzą się, zrywają kontakty). Nie sprawdzi się dla osób, które szukają anonimowości :-).
Również ustawienie jakiegoś innego swojego konta jako konto recovery może mieć poważne wady, szczególnie w sytuacji gdy przestępca przejmie kontrolę nad komputerem użytkownika z którego oba konta są obsługiwane.
Tak sobie myślę na głos.
A może delegaci (witnessi) jako mężowie zaufania powinni wprowadzić taką usługę: "Będę Twoim recovery partnerem jeśli spełnisz takie a takie warunki"?
Wolał bym w kopalni albo w przedszkolu pracować.
PS, technicznie jestem recovery partnerem (w danej chwili) dla tych, którzy mają recovery account ustawione na null.
Ale ponieważ zazwyczaj nie mam podstaw do odzyskiwania konta no to niczego to nie zmienia. (Chyba, że faktycznie była by jasna sytuacja gdzie osoba jest publicznie znana, w #introduceyourself wrzuciła klucz publiczny PGP, itp itd.)
Hehe :-D. Aż tak to niewdzięczne zajęcie?
Miałem na myśli właśnie takie jasne sytuacje - o warunkach ściśle określonych przez delegata. Z drugiej strony nie można chyba zakładać, że dany delegat wiąże się z tym konkretnym blockchainem na zawsze. Niektórzy mogą zechcieć odejść czy to by rozpocząć szaloną karierę przedszkolanki, czy też by stać się prawdziwym mężczyzną wdychając pył węglowy na przodku, czy z zupełnie innych powodów. Nie można też zakładać, że Steem Inc. będzie istniało zawsze.
Nie chcę już przeciągać tego tematu, bo jakoś nie przychodzi mi do głowy żaden rozsądny pomysł jak można by rozwiązać to czysto technicznie (mam też niejasne przeczucia, że to nie byłby najlepszy pomysł).
Najlepszym rozwiązaniem pozostaje - nie dać się podejść cyberprzestępcom, czyli jeszcze większa ostrożność i pilnowanie własnych haseł i kluczy. :-)
dzięki za sprecyzowanie i wyjaśnienie @gtg. niestety z powodu urlopu i ograniczonych możliwości korzystania z platformy nie zdążyłam edytować artykułu, więc tym bardziej cieszę się z twojej korekty. myślę, że ten artykuł z twoimi korektami zwiększy świadomość użytkowników na temat bezpieczeństwa konta, używania haseł etc. jeszcze raz dzięki za całą pomoc.
pozdrawiam
@astromaniak bardzo dobra uwaga !
myślę, że fakt,że STeemit jest oparty na blockchainie oznacza, że system płatności jest na nim oparty a zatem zdecentralizowany, natomiast platforma sama w sobie ma swojego właściciela, developerów etc, którzy nią zarządzają, więc nie jest w 100% zdecentralizowana.
nie jestem do końca pewna jak to z tym, jest, ale może @gtg przyjdzie do nas na pomoc z odpowiedzią? :)
Nieprawda. Platforma jest w 100% zdecentralizowana.
Zdefiniuj decentralizację :P
Really? Nie czytałeś w czym trzymasz eurogąbki? Szkoda, że boisz się prawdy ;)
Natomiast odzyskiwać hasła można jeśli ktoś zmienił hasło to przez 30 dni można odzyskać. Natomiast załamałeś mnie tym pytaniem xD
Przyznam, że nie robiłem jeszcze odzyskiwania konta, ale muszę się tym pobawić. Z tego co wiem to partnera do odzyskiwania konta zmieniamy taką operacją, więc możesz sobie ustawić jakąkolwiek zaufaną osobę.
źródło
Wygląda na to, że nie da się "dostać do konta", a proces odzyskiwania konta jest oparty o multisig. Jeśli tak rzeczywiście jest (niech ktoś, kto zna się na tym lepiej mnie poprawi), to nie widzę tu nic, co zmniejsza decentralizacje. Każdy może ustawić sobie system odzyskiwania konta taki jaki uważa za słuszny.
W jakim stopniu Steem jest zdecentralizowany to już inna bajka, zależy o jakiej decentralizacji mówimy.