steem 账号密码安全帖子汇总 | Collections of posts on steem keys
随着 @xiaoshancun 的 steem 钱包被盗,又掀起了一轮讨论 steem 账号安全的热潮。我大略读了一下大家的帖子,发现仍然是那句老话:今月曾经照古人。
往历史看,钱包被盗,已经不是什么新鲜事了。光是中文用户,光是我印象深刻的,算上这次,最近几个月就发生了三起。
首先中招并且损失最大的,是声望 67 的 @twinkledrop。钱损失了 633 SBD 。当时以为整个账号连同 3000 SP 都没了,好在后来又找回来了。
然后是 @catwomanteresa,她损失了 540 SBD。
这次是 @xiaoshancun,损失了大约 230 SBD。相比之下,是损失最少的。
以上三个案例,盗窃的作案手法各有不同,但有两个结果是相同的:
- 丢的钱就是丢了,永远找不回来。
- 小偷永远抓不住。
我们当然是要首先谴责盗贼不要脸,然而除此之外对小偷无可奈何,只能从自己身上找原因了。
往未来看,可以预测的有三件事:
- 被盗原因有些至今没有查明,所以悲剧还会重演,就看谁是那个倒霉蛋了。说不定是我。
- 本次讨论仍会沉底。下次发生被盗,仍然还会掀起一轮讨论热潮,把 steem 的各种密钥和注意事项再解释一遍。循环往复。
- 下回,我本人大概是不会再对这个话题感兴趣了。
之所以有第 3 点,是因为大家的帖子已经讲得很全面。唯一的问题是比较分散。于是,我做了三个汇总,应该是够以后用了。如有缺漏,欢迎大家补充。
“汇总一”和“汇总二”里只列出了提纲,具体的操作见“汇总三”,也可以自己搜。
汇总一:失窃后第一时间应该做什么?
- 用你现在的 master key,修改出一个新的 master key,并将随之产生的各种新密码备份。
- 如果是 master key 被小偷篡改,那么立刻通过官方渠道申请恢复,30 天内有效。如果你的账号是代理申请的,那么找你的代理商帮忙。
- 查询你的 Power Down Routes,如果有问题,立刻改。
- 如果自己搞不定,速来华语区的微信群里向高人求助。
汇总二:为了避免失窃,应该做哪些防范?
- 永远不要在任何场合使用主密码(master key),除非你需要修改主密码,相当于手机上的”恢复出厂设置“。
- 任何情况下登录,都只用发帖密码(posting key),除非跟钱和 steemconnect 打交道时,才使用活跃密码(Active key)。
- 不要让浏览器记住你的密码。用 keepass 或 lastpass 来管理密码。
- 防盗的最好办法是没钱可盗。STEEM 钱包里有两种钱: STEEM 和 STEEM DOLLARS(即 SBD)是可以被随时转走的,而 STEEM POWER 和SAVINGS 是无法马上取出的。把 STEEM 和 SBD 保留到最小额度,最好是0;多余的要么变现,要么 power up,要么存到 SAVINGS 里。Power up 的钱需要花 13 周才能全部取出,SAVING 里的钱需要花三天才能取出,二者都能随时中止。这样,即使发现钱包出现异常,也可以把损失降至最低。
汇总三:一些关于账号安全、密码管理的帖子精选:
- Thief of Steem有贼 @nationalpark
- 再次提醒大家防范钓鱼信息,就在昨晚CN区一个声望分67级的账户被盗!!! @oflyhigh
- 丢账号怎么办?过来人手把手帮你找回账号@twinkledrop
- 一个疏忽导致数据丢失之后的小思考 @jubi
- 微信公众号支持查询Power Down Routes (又称为:Withdraw Routes) @oflyhigh
- 分享一下我的密码管理方案 @skenan
- 你的密码安全吗?推荐一款靠谱的密码管理工具Keepass @yuxi
- 帐户安全小建议 - 用Steemconnect登入的网站,记得清空cookies或revoke token @wyp
- 新人生存指南之十五:密码即一切 @lemooljiang
- 如何为posting private key 设置个友好的密码?@oflyhigh
- 再谈STEEMIT上密钥的重要性!3分钟内彻底弄明白STEEM/SBD/SP/SAVING/POST key/ACTIVE key /MASTER key @rivalhw
- Steem 新手必须做的第一件事 @dapeng
有不少人还傻傻的用着master key
我刚来时也是用了很久 master key。
我在昨天之前都一直傻乎乎的用owner key做一切事情,看了以后立马重置了密码,然后用1password记录所有密码信息。虽然现在账户本来也没多少钱,但送给小偷还是心有不甘的
都是这么过来的呀
关注大鹏哥了,这个帖子非常有用。不过我也有一个疑惑:steemit市场是可以交易sp的,盗号者如果拿你账号去交易sp换成sbd之类的,岂不sp也不安全?
SP不可交易的,SP要POWER DOWN才可以交易。每次POWER DOWN要7天,一共13周才可以把全部SP转化为可以交易的STEEM。SP是很安全的了。
好吧,我搞错了
正解。
很好的文章及汇总,果断转了
转是真爱
因为疏忽大意导致钱包被盗,现在变得越来越频繁。从侧面也说明盗窃者变得越来越猖獗。密码被盗多数情况下是因没有严格按照程序规则操作所致,最稳妥的办法是把应该做的一定要做,而且要做好,不要心存侥幸,千万不能怕麻烦。天下没有后悔药,只有你且只有你自己可以保护你的钱包。@ dapeng
问题是什么才算“应该做的”,不太好界定。总有可做可不做的灰色区域,而盗贼钻的就是这个空子。
感谢大鹏哥的分享!我觉得大鹏哥最后说到点子上了,大家最好还是不要留太多资产在账户里,让那些窃贼们含笑而来,含泪而走。钱只有躺在自己的口袋里才是最安心的。账户里的资产虽然多的令人心花怒放,但更多的还是提心吊胆,没准哪一天就回到了解放前。三思!慎行!
这句话大概应该溯源到 @nationalpark,原话大概是:光脚的不怕穿鞋的,无产阶级失去的只有枷锁。
大鹏哥,给你转了哈,得让更多的人知道啊,尽管是老生常谈的问题,但我想肯定还会有此类事故发生的,希望大家有点防范意识!
很是全面!关键看用不用心了!谢谢您!
其实大多数人都一样不用心。看到你被盗,我是过了好几个小时才想起来把自己的sbd转到saving里。
+1
我也是,没有立刻行动,总觉得这种事情不会发生在自己身上,其实正是这种心理导致了我们的懒惰,并给小偷可乘之机。以后一定要提高警惕。谢谢大鹏提醒。转走了。
人之初,性本懒......
@dapeng 谢谢大鹏哥的建议。我刚刚拜读了@wyp的帖,已经把全部的apps都revoke了。
还是老话那句:“防范胜于治疗”~
听过很多道理,依然过不好这一生。
这个帖子很全面啊,可操作性强
但愿永远不需要去做这些操作……
相关贴文为什么不汇总到新人指南?Steemit 是线性时间线,也没有置顶机制,不把相关贴文汇总在流量入口就必然是
讨论沉底 -> 下次被盗 -> 掀起讨论
的循环。已经在 http://steemr.org/ 里更新了。