再谈STEEMIT上密钥的重要性!3分钟内彻底弄明白STEEM/SBD/SP/SAVING/POST key/ACTIVE key /MASTER key

in #steemit7 years ago (edited)

  早晨刚醒来时,就看到群里有人讲自己的steem和 sbd 被盗了。

  这个事件之前就已经发生过几次了,鉴于steemit的所有操作均建立在密钥上,并且提供了三种不同类型的密钥,我在这里再强调下其作用和重要性。

  steemit为了方便用户,提供了三种类型密码,分别为post key,active key和master key。坦白讲,我刚开始接触时,都有点懵逼,平常网站都是一个账户对应一个密码,谁见过一个网站里给用户的同一个账户提供三个密钥?对于刚开始接触steemit的小白,我相信一定也会碰到这个困惑。

  post key主要是用来提供给作者发文章使用,仅用来发文章,包括点赞和评论。而active key主要是用来给作者提供转账交易操作的。steemit上提供了四个不同类型的账户,分别为STEEM,STEEM DOLLARS(SBD),STEEM POWER(SP) 和SAVING,其中steem和sbd我们大家都熟悉,你可以把它理解成两种不同类型的代币,事实上steem和sbd的确可以在交易所上进行交易,如bittrex.com上可以进行交易steem和sbd,而作为刚刚晋升为全球第一的暴发户币安交易所,也在前几天刚刚上线了steem。

  在讲解SP和SAVING前,我们先简单了解下STEEM和SBD是如何产生,这样会有利于我们了解后边的内容。

  作者在发文章之后,按照STEEMIT的规则,7日后文章将被锁定无法修改(区块链永久不可篡改性),同时进行该帖的结算,并根据作者发帖时的设定进行STEEM和SBD的奖励。如果作者选择50% 50%,系统会将奖励分为两部分,一部分作为SBD奖励,另一部分作为SP奖励;如果作者选择发帖时power up 100%,则系统将会将奖励全部按照SP进行power up。

  而在STEEMIT上发文章的权重,也就是无论你发帖或者点赞的影响力,均取决于这个SP(STEEM POWER)。

  SP你可以通过STEEM来进行1:1的power up,也就是提升你的SP;你也可以通过发文章时产生的SP来提升,又或者你也可以通过SBD购买STEEM来进行power up。

  SAVING是用来存储你的STEEM/SBD,你可以把它想象成一个冻结操作,一旦被转入SAVING账户里,你至少需要提前三天才可以取出里边的STEEM/SBD。

  而SP里边的STEEM,如果你想取出来,必须先power down,一般一个周期需要13周。

  三个密钥,分别三种不同类型场景功能。如果骗子只拿到你的post key,他只能发文章而已。如果骗子拿到了你的active key,你的STEEM 和 SBD账户里余额可以瞬间被他们转走,而如果你的master key被盗,你不但会失去你所有的金额,包括STEEM和SBD,你还将会彻底失去这个账户,因为骗子一般会很快修改主密钥。

  说了这么多,你应该明白了吧。日常生活中发帖要用post key,尽量不要使用master key发帖!尤其不要在公用电脑等种保存master key!!!重要的事情,我觉得讲三遍都不够!

  如果你的账户里有SBD或STEEM,你不着急使用的话,完全可以存入到SAVING账户,而且系统还会根据情况给予你一定利息呢。

  最后再次强调,如果你真丢了你的master key,按照steemit目前的规则,基本你那个账户就废弃了!我一直认为建立在这种纯粹密钥基础上的规则不是很好,这也就是未来即将会出现一些其它的改进措施,如auth 2.0授权登陆,或者硬件钱包等类似授权操作,确保你安全的情况下,可以免受这些被盗的后顾之忧。

  我这里再把steemit给到的重要提示贴出来,以警示忽略安全性的所有人:

  Steemit的第一条规则是: 不要丢失你的密码。
  Steemit的第二条规则是: 不要丢失你的密码。
  Steemit的第三条规则是: 我们无法恢复你的密码。
  第四条规则是: 如果你能记住密码,那就不安全了。
  第五条规则是: 只能使用随机生成的密码。
  第六条规则是: 请不要把你的密码告诉任何人。
  第七条规则是: 始终备份你的密码。

Sort:  

吓得我瓜子掉了一地~
身家家当啊,明天赶紧改个密码~

我也是早上起床看到的!您速度真是快!!学习了,大赞!

骗子的速度比我快多了!先前以为大家都明白,再次发生这种教训,我不能不尽快写出来给大家参考!

骗子永远都存在,还是需要我们自己加强防范意识!有心了!

master key 我都备份加密在移动u盘里面的了,那个u盘什么都没装只装了密码。😄

给你的安全意识赞一个

u盘坏了怎么办?o( ̄︶ ̄)o

买个质量好的,我存了两个u盘。

大伟老师,我都是网页记住master key的,这样说,是不是很危险...

非常危险!任何一个稍有点电脑知识的人,通过浏览器就可以查询到你的主密钥,你这就相当于拱手把家大门钥匙放在大门口。

浏览器0day漏洞多,任何储存在浏览器的密码都很可能会被盗的,只不过是时间问题

很容易查看浏览器记住的密码:

  • 在浏览器的设置可以查看已记住的密码。
  • 在开发者工具里,将输入框的类型password改为text,也能看到密码。
  • 查看浏览器的网络请求(抓包),也可能看得到提交的用户名和密码。

知道这些后就不敢再记住密码啦!

丢了主密码的话不是能30天找回么?

如果忘记主密码,任何人没办法帮你找回,但主密码被盗并被人修改后,30天之内可以通过旧的主密码找回。

据说是你密码被修改了通过注册邮箱可以30天内找回,但是你如果是自己忘掉了原密码,那就谁也没办法了

没有!我没看到有这个功能。

也就是说,注册时候用的邮箱和手机号,只是起到注册的作用,不能用来找回账号?

如果能增加Google Authenticator 的鉴权就好了。

谢谢大伟老师的分享!这种事情之前有,现在有,以后也可能有,但是尽量多学习点,安全防范意识大家都应该要有!

感谢科普,对于新手来说,密钥有时候真的会被泄露的,所以一定要谨慎,谨慎,再谨慎!

weldone post I really like this post.carry on bro.

不错,学习了.

赶紧转发了我|。・㉨・)っ♡

我也感觉在这上面有个单独的钱包存储就好了!

问个很初级的问题,如何查看这三个密码。

钱包里面的权限就是有三个秘密的。
英文看不懂可以转换为简体中文,在setting

哦哦,看到了原来是这个多谢

很有价值的一篇文章

wow! good morning dera
thank you for great post

看完以后才知道原来有三个密码...我一直只知道注册时候,系统生成的那一个,今天要花点时间研究这个了,谢谢大伟老师提醒

马上改回post key发帖

怎么改呀

在钱包里面有个极限,选择post key 显示私钥,保存下来,然后登出,用刚才保存的poet key 登陆就可以了~

很重要,很及时👍

@rivalhw 看到这个事件,为当事人感到心疼。需要遵从大伟哥你那个七个规则~

Memo Key什么用呢?

谢谢大伟老师的提醒,虽然我的帐户sbd数量不多

非常非常重要,不然之前努力就白费了,支付宝都存在被盗风险,何况steemit

安全怎么强调都不为过

我一直只知道注册时候,系统生成的那一个,另外2个密码在哪?

这篇文章又让我清晰地明白了steemit密码的原则。不要抱有侥幸心理。

steemit 关于密码的提示就是箴言,只要记住了、留意了肯定不会出现被盗的情况。

讲一个悲伤的故事,15年我的ripple密码被破解,丢失10万xrp,希望大神们尽快推出专业钱包我觉得才是最安全的

从那个时候开始我就觉得ripple没前途,想不到会被炒作到这个价钱

记得分清楚公钥和私钥,保存是存私钥,别记一大堆公钥。
下面是公钥:
pkey.jpg