早晨刚醒来时,就看到群里有人讲自己的steem和 sbd 被盗了。
这个事件之前就已经发生过几次了,鉴于steemit的所有操作均建立在密钥上,并且提供了三种不同类型的密钥,我在这里再强调下其作用和重要性。
steemit为了方便用户,提供了三种类型密码,分别为post key,active key和master key。坦白讲,我刚开始接触时,都有点懵逼,平常网站都是一个账户对应一个密码,谁见过一个网站里给用户的同一个账户提供三个密钥?对于刚开始接触steemit的小白,我相信一定也会碰到这个困惑。
post key主要是用来提供给作者发文章使用,仅用来发文章,包括点赞和评论。而active key主要是用来给作者提供转账交易操作的。steemit上提供了四个不同类型的账户,分别为STEEM,STEEM DOLLARS(SBD),STEEM POWER(SP) 和SAVING,其中steem和sbd我们大家都熟悉,你可以把它理解成两种不同类型的代币,事实上steem和sbd的确可以在交易所上进行交易,如bittrex.com上可以进行交易steem和sbd,而作为刚刚晋升为全球第一的暴发户币安交易所,也在前几天刚刚上线了steem。
在讲解SP和SAVING前,我们先简单了解下STEEM和SBD是如何产生,这样会有利于我们了解后边的内容。
作者在发文章之后,按照STEEMIT的规则,7日后文章将被锁定无法修改(区块链永久不可篡改性),同时进行该帖的结算,并根据作者发帖时的设定进行STEEM和SBD的奖励。如果作者选择50% 50%,系统会将奖励分为两部分,一部分作为SBD奖励,另一部分作为SP奖励;如果作者选择发帖时power up 100%,则系统将会将奖励全部按照SP进行power up。
而在STEEMIT上发文章的权重,也就是无论你发帖或者点赞的影响力,均取决于这个SP(STEEM POWER)。
SP你可以通过STEEM来进行1:1的power up,也就是提升你的SP;你也可以通过发文章时产生的SP来提升,又或者你也可以通过SBD购买STEEM来进行power up。
SAVING是用来存储你的STEEM/SBD,你可以把它想象成一个冻结操作,一旦被转入SAVING账户里,你至少需要提前三天才可以取出里边的STEEM/SBD。
而SP里边的STEEM,如果你想取出来,必须先power down,一般一个周期需要13周。
三个密钥,分别三种不同类型场景功能。如果骗子只拿到你的post key,他只能发文章而已。如果骗子拿到了你的active key,你的STEEM 和 SBD账户里余额可以瞬间被他们转走,而如果你的master key被盗,你不但会失去你所有的金额,包括STEEM和SBD,你还将会彻底失去这个账户,因为骗子一般会很快修改主密钥。
说了这么多,你应该明白了吧。日常生活中发帖要用post key,尽量不要使用master key发帖!尤其不要在公用电脑等种保存master key!!!重要的事情,我觉得讲三遍都不够!
如果你的账户里有SBD或STEEM,你不着急使用的话,完全可以存入到SAVING账户,而且系统还会根据情况给予你一定利息呢。
最后再次强调,如果你真丢了你的master key,按照steemit目前的规则,基本你那个账户就废弃了!我一直认为建立在这种纯粹密钥基础上的规则不是很好,这也就是未来即将会出现一些其它的改进措施,如auth 2.0授权登陆,或者硬件钱包等类似授权操作,确保你安全的情况下,可以免受这些被盗的后顾之忧。
我这里再把steemit给到的重要提示贴出来,以警示忽略安全性的所有人:
Steemit的第一条规则是: 不要丢失你的密码。
Steemit的第二条规则是: 不要丢失你的密码。
Steemit的第三条规则是: 我们无法恢复你的密码。
第四条规则是: 如果你能记住密码,那就不安全了。
第五条规则是: 只能使用随机生成的密码。
第六条规则是: 请不要把你的密码告诉任何人。
第七条规则是: 始终备份你的密码。
吓得我瓜子掉了一地~
身家家当啊,明天赶紧改个密码~
我也是早上起床看到的!您速度真是快!!学习了,大赞!
骗子的速度比我快多了!先前以为大家都明白,再次发生这种教训,我不能不尽快写出来给大家参考!
骗子永远都存在,还是需要我们自己加强防范意识!有心了!
master key 我都备份加密在移动u盘里面的了,那个u盘什么都没装只装了密码。😄
给你的安全意识赞一个
u盘坏了怎么办?o( ̄︶ ̄)o
买个质量好的,我存了两个u盘。
大伟老师,我都是网页记住master key的,这样说,是不是很危险...
非常危险!任何一个稍有点电脑知识的人,通过浏览器就可以查询到你的主密钥,你这就相当于拱手把家大门钥匙放在大门口。
浏览器0day漏洞多,任何储存在浏览器的密码都很可能会被盗的,只不过是时间问题
很容易查看浏览器记住的密码:
知道这些后就不敢再记住密码啦!
丢了主密码的话不是能30天找回么?
如果忘记主密码,任何人没办法帮你找回,但主密码被盗并被人修改后,30天之内可以通过旧的主密码找回。
据说是你密码被修改了通过注册邮箱可以30天内找回,但是你如果是自己忘掉了原密码,那就谁也没办法了
没有!我没看到有这个功能。
也就是说,注册时候用的邮箱和手机号,只是起到注册的作用,不能用来找回账号?
如果能增加Google Authenticator 的鉴权就好了。
谢谢大伟老师的分享!这种事情之前有,现在有,以后也可能有,但是尽量多学习点,安全防范意识大家都应该要有!
感谢科普,对于新手来说,密钥有时候真的会被泄露的,所以一定要谨慎,谨慎,再谨慎!
weldone post I really like this post.carry on bro.
不错,学习了.
赶紧转发了我|。・㉨・)っ♡
我也感觉在这上面有个单独的钱包存储就好了!
问个很初级的问题,如何查看这三个密码。
钱包里面的权限就是有三个秘密的。
英文看不懂可以转换为简体中文,在setting
哦哦,看到了原来是这个多谢
很有价值的一篇文章
wow! good morning dera
thank you for great post
看完以后才知道原来有三个密码...我一直只知道注册时候,系统生成的那一个,今天要花点时间研究这个了,谢谢大伟老师提醒
马上改回post key发帖
怎么改呀
在钱包里面有个极限,选择post key 显示私钥,保存下来,然后登出,用刚才保存的poet key 登陆就可以了~
很重要,很及时👍
@rivalhw 看到这个事件,为当事人感到心疼。需要遵从大伟哥你那个七个规则~
Memo Key什么用呢?
谢谢大伟老师的提醒,虽然我的帐户sbd数量不多
非常非常重要,不然之前努力就白费了,支付宝都存在被盗风险,何况steemit
安全怎么强调都不为过
我一直只知道注册时候,系统生成的那一个,另外2个密码在哪?
这篇文章又让我清晰地明白了steemit密码的原则。不要抱有侥幸心理。
steemit 关于密码的提示就是箴言,只要记住了、留意了肯定不会出现被盗的情况。
讲一个悲伤的故事,15年我的ripple密码被破解,丢失10万xrp,希望大神们尽快推出专业钱包我觉得才是最安全的
从那个时候开始我就觉得ripple没前途,想不到会被炒作到这个价钱
记得分清楚公钥和私钥,保存是存私钥,别记一大堆公钥。
下面是公钥: