Wir alle nutzen Steemit - doch sind unsere Accounts auch sicher gegenüber Angriffen ?
Im Folgenden sollen grundlegende Sicherheitsaspekte von Steemit durchleuchtet und eine Empfehlung zur sicheren Nutzung gegeben werden.
Permission / Keys
Unter "Wallet"->"Permissions" stehen vier verschiedene Schlüssel zur Nutzung des Steemit Accounts zur Verfügung. (Witnesse haben zusätzlich einen Signing Key, welcher in diesem Beitrag bewusst nicht erwähnt wird)
Diese werden dort knapp erläutert, allerdings möchte ich an dieser Stelle etwas genauer auf deren Funktionalität sowie optimaler Nutzung eingehen.
Posting Key
Der Posting Key kann zum Posten von Beiträgen / Kommentaren, Folgen sowie zum Upvoten genutzt werden.
Nutzung: Der Posting Key ist der Schlüssel, mit dem man sich zur normalen alltäglichen Nutzung anmelden sollte. Hierfür kann dieser in einem Passwortmanager gehalten werden.
Active Key
Der Active Key besitzt die selben Rechte wie der Posting Key. Zusätzlich ist es mit diesem möglich Transaktionen in der Wallet durchzuführen
Nutzung: Diesen Schlüssel sollte man nur dann nutzen, wenn man eine Transaktion in der Wallet vornehmen möchte.
Memo Key
Der Memo Key kann genutzt werden, um Nachrichten verschlüsselt zu Übertragen.
Nutzung: Diesbezüglich hat @flurgx einen Beitrag geschrieben.
Owner Key
Der Owner Key ist der Schlüssel mit den höchsten Privilegien. Mit diesem kann auch der Account unter Umständen wiederhergestellt werden (wie später erklärt wird)
Nutzung: Der Owner Key sollte mit Ausnahme der Wiederherstellung nie (!) genutzt werden. Dieser Schlüssel sollte unbedingt Offline gehalten werden.
Notiz am Rande:
Im Allgemeinen sollte man sich in IT-Systemen immer nur mit den Berechtigungen anmelden, die man für die aktuelle Aufgabe benötigt, auch wenn dies oft nicht sehr bequem ist.
Wie sichere ich meinen Owner Key sicher ?
Unter "Wallet"->"Password" kann ein neues Password gesetzt werden. Dort stehen sieben Regeln,die ich lustig und zutreffend finde. Daher seien diese hier kurz Zitiert:
The first rule of Steemit is: Do not lose your password.
The second rule of Steemit is: Do not lose your password.
The third rule of Steemit is: We cannot recover your password.
The fourth rule: If you can remember the password, it's not secure.
The fifth rule: Use only randomly-generated passwords.
The sixth rule: Do not tell anyone your password.
The seventh rule: Always back up your password.
In einem Artikel über die sichere Aufbewahung von Seeds habe ich ein Verfahren vorgestellt, welches ich in diesem Kontext erneut aufgreifen möchte:
Was ist bei der physischen Sicherung zu beachten ?
Der Schlüssel sollte:
- anderen unzugänglich sein (Diebstahl etc.)
- Gegen äußere Umstände gesichert sein (Beispielsweise gegen Feuer, Wasser etc.)
Gegenüber den äußeren Faktoren ist es eine Möglichkeit den Schlüssel an mehreren Orten aufzubewahren. Hierbei steigt jedoch die Gefahr, dass jemand anderes Zugang zu diesem Schlüssel hat.
Eine weitere Möglichkeit besteht darin den Schlüssel elektronisch zu speichern, zu verschlüsseln und zu vervielfältigen.
Dies würde ich allerdings nur empfehlen, wenn man sich wirklich auskennt und weiß was man tut. Prinzipiell rate ich davon allerdings ab.
Meine persönliche Empfehlung ist die Folgende:
Papier RAID 5
Der Owner Key wird in 3 Teile aufgeteilt: je 17 (bzw. einmal 18) Zeichen.
Anschließend notieren wir die Teile auf 3 verschiedene Blätter mit Bleistift (diese können anschließend noch eingeschweißt werden)
- Teil 1,2 auf Blatt 1
- Teil 1,3 auf Blatt 2
- Teil 2,3 auf Blatt 3
Diese Blätter werden nun an 3 verschiedenen Orten hinterlegt.
Beispielsweise:
- Blatt 1 : Zuhause
- Blatt 2 : Bankschließfach
- Blatt 3 : Bei einem Familienangehörigen / Freund(in)
Somit kann einer der Blätter gestohlen, verloren oder kaputt gehen. Man benötigt nur einen (egal welchen) der Blätter um den Schlüssel zusammenzusetzen.
Steemconnect
Was ist Steemconenct ?
Steemconnect ist ein ein Interface, welches Drittanbieter nutzen können um auf den Account eines Nutzers zuzugreifen. Aktuell gibt es Version 2 von Steemconnect, bei dem die privaten Schlüssel nicht mehr verschlüsselt in einem Cookie gehalten werden müssen.
Warum Steemconnect ?
Der bedeutende Vorteil ist, dass sich nicht jeder Entwickler Gedanken darüber machen muss, wie er den Authentifikationsprozess und das halten der sensiblen Daten sicher gestalten kann. In der Informatik insbesondere der Kryptographie ist üblich bereits bewährte Verfahren und Funktionen zu nutzen anstatt das "Rad" immer neu zu erfinden. Somit minimiert sich die Wahrscheinlichkeit, dass Entwickler Fehler bei der Implementierung dieser Funktionen machen.
Der Quellcode ist offen und kann hier eingesehen werden.
Auf den ersten Blick macht Steemconnect einen guten Eindruck auf mich. Ich möchte jedoch darauf hinweisen, dass ich kein vollständiges Code Review durchgeführt habe.
Auch möchte ich in diesem Beitrag nicht tiefer in technische Details eingehen, um technisch nicht so versierte Leser nicht zu verwirren. Bei weiterem Interesse kann ich gerne einen gesonderten Beitrag hierzu schreiben. Anderenfalls werden die wichtigen Schritte hier beschrieben.
Account Recovery
Sollte aus irgendeinem Grund der Owner Key gestohlen und anschließend geändert werden, so ist es möglich innerhalb von 30 Tagen eine Wiederherstellung zu starten. Hierfür muss allerdings der vorherige Owner Key bekannt sein. Sollte der Owner Key verloren gegangen sein, ist auch eine Wiederherstellung nicht möglich.
Ferner ist zu beachten, dass die Wiederherstellung nur dann möglich ist, wenn "Steemit" der Recovery Account ist (Bei einer „normalen“ Anmeldung sollte dies der Fall sein).
Der Recovery Account kann beispielsweise unter https://steemd.com/@deinName eingesehen werden.
Zum weiteren Ablauf der Recovery (Bsp. Zeitliche Aspekte) kann ich nichts sagen (und möchte es nicht probieren wollen :P)
Scheinbar werden diese Fälle „händisch“ vom Support abgewickelt. Vermutlich ist auch der Zugang zum bei der Anmeldung genutzten E-Mail Konto notwendig.
Vielleicht hat jemand Erfahrungen oder weitere Kenntnisse diesbezüglich und kann diese in den Kommentaren teilen.
In jedem Fall sollte man sich nicht auf diese Wiederherstellung verlassen. Wer seinen Owner Key wie oben beschrieben sichert, sollte niemals in diese Situation kommen :)
Allgemeine Sicherheitsvorkehrungen
Neben der Sicherheit spezifisch für Steemit sollten allgemeine Praktiken zum sicheren Umgang mit Webdiensten beachtet werden. Da es in diesem Beitrag um die Sicherheit von Steemit geht, werde ich hierbei nicht ins Detail gehen. Dennoch sind sie erwähnenswert, da die Sicherheit auch von diesen Abhängt.
- Aufmerksam gegenüber Phishing-Angriffen sein (URL sowie deren Zertifikate beachten)
- Niemals private Schlüssel oder Kennwörter weitergeben (auch wenn die E-Mail anscheinend von Steemit direkt bzw. deren Support kommt)
In diesem Sinne: Nehmt euch die Zeit um euren Zugang zu sichern, damit dieser auch euch bleibt :)
Sehr gut :) Den Unterschied zwischen Public und Private Key könntest du noch einbauen! lg
Danke für deine Anmerkung !
Bezüglich Public und Private Keys werde ich zeitnah noch einen eigenen Beitrag verfassen.
Ich habe das Gefühl, das führt öfters zu verwirrung..
Sehr gute Übersicht. Resteemed :-)
Danke - sehr gute Übersicht.
Nice, sowas habe ich gesucht. Resteemed
Zum Active Key ist mir glaube ich noch ein Fehler aufgefallen - Soweit ich weiß, kann man mit diesem nicht posten/voten - Also zumindest ich kann mich mit dem nicht normal bei Steemit einloggen sondern nur ins Wallet z.b. ;)
Danke für die Anmerkung. Du hast Recht.
Dies werde ich ich im Artikel anpassen !
Heißt aber nicht, dass er das theoretisch nicht kann - Das glaube ich nämlich eigtl. schon gelesen zu haben!
Ich hatte das auch mehrmals gelesen. Habe eben aber mal versucht mich mit diesem einzuloggen - ist bei mir auch nur ins Wallet möglich. Ich schaue mal ob ich diesbezüglich noch etwas rausfinden kann.
Schau dir die Artikel von @Noisy an (vor 8m ca), er geht da auf sehr viele technische Details ein, mit denen ich eher wenig anfangen kann - du denke ich mal eher ;)
Vielen DANK für diesen Beitrag - man kann nicht vorsichtig genug sein!
Hey :) Sehr cooler Beitrag, hat mir als einsteiger nen sehr guten Einblick in das gegeben, was die Keys eigentlich so genau bedeuten.
Super Überblick über die Thematik!
tolle arbeit!
danke für die erwähnung ;)
Das finde ich kann man gar nicht oft genug sagen. :)
Man ist sooft zu bequem dafür. Finde ich sehr gut, auch weil es mich selber erinnert.
Das Paper Raid ist super genial und kann auch von jedem sehr gut umgesetzt werden. Auch ohne technische Hilfmittel.
Toller Beitrag zur Sicherheit. Danke schön. :D
Sehr schöner Artikel und eine wirklich gute Übersicht, viele Dank.
Den Papier RAID 5 muss ich mir merken, das Prinzip kann man wirklich gut bei so einigen kritischen Schlüsseln anwenden.
Überaus nützlich. Hatte das mit den unterschiedlichen Keys zu Anfang nicht wirklich verstanden, aber jetzt... Danke!
Ein sehr guter Artikel den jeder gelesen haben sollte.
Teile ich direkt mal an meiner Pinwand.
Ist der Owner Key, der Key denn man bekommt beim erstenmal einsteigen? weil ich sehe immer nur den public key. und es gibt kein show privat neben dem owner key?
Ja, dieser kann wohl nicht mehr angezeigt werden.
Soweit ich es in Deinem Artikel verstanden habe, kann ich mich mit dem Posting-Key bei Steemit einloggen...???
Bei mir geht es zumindest nicht... hab ich da etwas falsch verstanden?
😒
Über ne kurze Rückinfo würde mich sehr freuen...
🤗
Das müsste funktionieren.
Achte darauf, den privaten (nicht den öffentlichen Schlüssel) zu nutzen.
Hierfür im Wallet->Permissions neben dem Posting-Key Rechts auf den Button "show private Key" klicken.
Anschließend wird der private Schlüssel angezeigt.
Vielen Dank, nun hat es auch endlich geklappt 😊
Super :) Wilkommen auf der sicheren Seite :P
Danke für die schnelle Antwort,
werde Alles nochmal in Ruhe durchgehen...
😉
Danke für die Übersicht, interessante Idee mit dem Papier Raid ;)
gut zu wissen und sehr übersichtlich gegliedert :)
mal wieder danke für die hilfreichen Informationen!
Toller Artikel, der sicherlich für viele hilfreich ist. Resteemed.
Sehr gute Zusammenfassung, vor allem die grafische Übersicht, welcher Schlüssel wozu gebraucht wird, gefällt mir. Gut so was immer mal wieder zu lesen. Teile es gleich mal...
great post.
great post,i am very impressed for your information
very nice and helpful information, thanks for sharing @security.
I always wait for your work. good luck always for all
Vielen Dank für deine ausführliche Erklärung. Zugegeben hatte ich selbst einige Probleme mit diesen verschiedenen Schlüsseln. Dank deinem Post und dem Video von theaustrianguy ist es mir nun klar. Das sichern diverser Key's und Passwörter finde ich generell extrem mühsam. Aktuell habe ich meine nahezu über 100 verschiedenen Passwörter auf einem Blatt Papier und in verschlüsselter Version auf meinem Server. Was mich interessieren würde, gibt es eine art USB-stick auf dem ich alle PW sicher ablegen und per Knopf auslesen kann? So etwa ähnlich wie es mit dem "ledger" gelöst ist? Wäre interessant wenn mir auf diese Frage jemand eine Antwort geben könnte und vielleicht schon Erfahrungen gemacht hat. Danke schon mal im Voraus :)
Erstmal freut es mich, dass dir die Zusammenhänge mit den Schlüsseln klar geworden sind.
Die Kennwörter auf dem Blattpapier sind sicherlich sicher dennoch sehr unpraktisch. Ähnlich wie auf einem Ledger wirst du deine Passwörter nicht halten können, da der ledger die Transaktionen nur signiert aber der Schlüssel das Gerät nicht verlässt - genau das möchtest du aber meist mit deinen Kennwörtern.
Schau dir mal z.B yubikey an - vielleicht suchst du etwas in dieser Art :)
Danke für deine Antwort.
Ich habe mich etwas schlecht ausgedrückt oder besser die Idee falsch beschrieben. Den yubikey kenne ich bereits und ich benutze ihn immer für das gleiche Passwort. Jedoch möchte eher ein Gerät/Hardware haben mit welchem ich unabhängig vom PC alle verschiedenen Passwörter ablegen kann. Verbunden wäre es über Bluetooth oder USB. Falls ich mich dann im Internet z.B. bei Steem einloggen möchte, wähle ich das entsprechende Passwort aus einer Liste aus. Oder noch besser der der PC sendet automatisch eine PW-Anfrage an meine Gerät/Hardware für das Steem-PW. Dann muss ich die Anfrage per Knopf auf dem Gerät bestätigen und das PW wird an den PC übermittelt. So kann ich verhindern, dass alle Passwörter auf dem PC abgelegt sind. Auch wenn ich ein PW-Manager mit Master-PW benutze, wäre bei einem abfangen des Master-PW sofort alle PW frei zugänglich. „Meltdown und Spectre“- Angriffe auf meinem PC wären so ebenfalls nicht möglich. Falls ein Virus auf dem PC wäre, könnte dieser nur die Passwörter stehlen welche ich benutze. So ein externes Gerät wäre aus meiner Perspektive sehr hilfreich bei der Sicherheit. Zudem könnte die Liste ebenfalls mittels Pin gesichert werden und meine unübersichtliche Papierliste (welche theoretisch auch gestohlen werden könnte) kann ich eliminieren. Vielleicht habe ich jedoch auch einen Überlegungsfehler gemacht.
Danke sehr. das ist wirklich hilfreich. Resteemed
Danke für diese hilfreiche Übersicht.
Sehr informativer Artikel.
Sollte man gelesen haben, wenn man sich zumindest ein wenig für die Sicherheit des Accounts interessiert.
Vielen Dank! Das habe ich gesucht. Die "Papier RAID 5"-Methode finde ich auch gut. Grüße
Prima Beitrag und ich (ver)folge Dich jetzt