Danke, wichtige Info! Ich bin nun ja wieder dabei und nutze noch meine Steemit Keys. Gab es da eine generelle Empfehlung, dass die geändert werden sollen?
Ich bin normalerweise ähnlich paranoid wie @oliverschmid und wollte das Thema Sicherheit auch alsbald angehen. Hast du weitere Tipps, Olli?
You are viewing a single comment's thread from:
Du solltest dringend dein Passwort hier zurücksetzen, da es mit hoher Wahrscheinlichkeit bei Justin Sun in einer Datenbank liegt. Wenn du dein Master Password zurücksetzt, werden auch alle Keys neu generiert. Keiner kann mit Sicherheit sagen, ob Steemit diese nicht abgegriffen hat. Das gilt übrigens auch für diverse Frontends hier auf Hive, daher nutze ich auch nach wie vor nur hive.blog und PeakD bzw. ausschließlich Dienste, die mit Keychain zugänglich sind. Die direkte Eingabe von Keys (egal welche) unterlässt man.
Das Zurücksetzen des Master Passwords macht man in Ruhe und nicht übereilt, um keinen Fehler zu machen. Wenn man sich unsicher ist, übt man den Ablauf mit einem Alt Account, so habe ich das auch immer gemacht.
Das Thema Sicherheit ist ein Fass ohne Boden. Man fährt ganz gut, wenn man nicht an zig Stellen Permissions vergibt und vorzugsweise Keychain nutzt. Außerdem studiert man hier ausführlich die Unterschiede der Keys & Permissions.
Habe gerade eine Antwort-Mail von Quentin bekommen, in der er darauf hinweist, dass bei Keychain alle Keys verschlüsselt auf den eigenen Rechner liegen. Also sehe ich ebenfalls Keychain als sicherste Lösung an.
Genau das ist auch mein Wissensstand.
Danke! Verwende jetzt nur noch ausschließlich Keychain.
Danke! Verwende jetzt nur noch ausschließlich Keychain.
Danke!!! Guter Einwand mit Justin Sun und Steemit.
Ich werde mit einem Alt-Account zunächst üben, um nicht den Zugang zu verlieren und dann hier mein Master Passwort ändern.
Sehr gut.
Habe ich direkt für drei Accounts gemacht. Drei weitere nutze ich sicherlich nicht mehr. :P
Hat alles easy geklappt. Man muss nur konzentriert dabei sein.
Sehr gut.
Drei Accounts würde mich überfordern, ich habe zwei, @/oliverschmid und @/muenchen.
Nur mit dem Master Password kannst du alles zurücksetzen. Wenn du jetzt noch das Master Password abschreibst, das Papier laminierst und an einem sicheren Ort lagerst (Erdbeben, Brand, Plünderung, Überfall etc. berücksichtigen), bist du ganz gut aufgestellt. Anschließend entfernst du das Master Passwort vom Rechner. Ich gehe davon aus, dass du einen Mac nutzt und diesen stetig aktualisierst, denn dann ist die Wahrscheinlichkeit sehr niedrig, dass du mit irgendeinem Scheiß infiziert bist (Tastatur-Tracer). Manche schrieben es auch zweimal ab und lagern es an zwei Orten, das birgt aber wieder ein neues Risiko. Wenn du dich vor Brand, Vergilbung usw. schützen willst, kannst du eine Cryptosteel Capsule nutzen.
Herzlichen Glückwunsch, du hast dir das Badge Not your Key, not your Money verdient.
Fun-Facts: Ein sehr bekannter User hat HIVE und Splinterlands Assets im Wert von über 200k USD verloren, da er sein Master Password nur auf dem Laptop hatte und diesen am Flughaften vergessen hat. Vitalik Buterin halbiert seine Private Keys (Das Äquivalent des Master Passwords auf Ethereum) und lagert jeweils die Hälfte an einem sicheren Ort. Die Winklevoss Zwillinge haben BTC in "kleinen" Tranchen in Schließfächern auf dem gesamten Planeten verteilt.
Einen weiteren Account @thefittest nutze ich nur für Actifit und will hier niemand damit zuspammen. Auf /@sussy möchte ich zukünftig größere Einzahlungen tätigen, die sich dann nicht auf den ersten Blick direkt mit mir verbinden lassen. Mit /@muenchen hat es bei dir bestimmt den gleichen Hintergrund.
Bezgl. Sicherung/Verwahrung des Master-PWs stimme ich dir komplett zu - das ist die sicherste Methode. Ich verfahre da ähnlich. Den Seed für meinen Ledger habe ich laminiert und verwahre diesen an zwei Orten, sollte es an einem brennen oder so. Ein Ort davon ist eine Art Schließfach, das rund um die Uhr geschützt ist und ich zugleich rund um die Uhr Zugang habe. Meine weiteren Passwörter und Seeds verwahre ich auf einem verschlüsselten Stick, der sich nur mechanisch mit einem Code entschlüsseln lässt. Das ist im Alltag etwas praktikabler und gibt dennoch Sicherheit. Ansonsten hattest du recht: ich bin Apple-User und habe so automatisch ein wenig mehr Sicherheit.
Lustige und interessante Facts. Man muss in diesem Space einfach sehr besonnen sein. Obwohl ich paranoid und sehr gewissenhaft bin, ist mir neulich nach 5 Jahren auch erstmalig ein Fehler unterlaufen. Durch Unachtsamkeit habe ich eine Transaktion versemmelt und Coins an eine Adresse in einem anderen Netzwerk gesendet, hier DOT an MATIC. Da war ich einfach nicht fokussiert. Zum Glück war der Geldwert davon überschaubar.
Ja, das macht natürlich Sinn.
Jain, diesen Account kann und will ich nicht verstecken. Dieser Account ist halt mein HBD Lager und das Sicherheitskonzept ist Endlevel.
Das klingt äußerst hochkarätig gesichert bei dir. Das gefällt mir! Ich hab auch keinen besonderen Fable für Sicherheit, es geht mir sogar auf die Nerven, es ist aber eben wichtig und die Basis von allem. Alle reden hier über 'Not your Keys, not your Money' haben aber keinen blassen Schimmer was das eigentlich ist und haben auch kein Sicherheitskonzept. Aber ich missioniere nicht mehr, ich antworte gerne, aber nur wenn ich gefragt werde.
Solche Fehler passieren, ja, Ich hab auch schon einige tausend Dollar "verbrannt". Passiert. Man wird halt noch vorsichtiger. Passt.
viel Erfolg :)
Hat alles wunderbar geklappt. :)
Wenn Du in der Vergangenheit mit den Keys sorgsam umgegangen bist, ist es nicht umbedingt nötig diese zu erneuern.
Du solltest aber unbedingt den Recovery Account von Steem auf einen anderen ändern.
Du kannst dir dafür ruhig einen zweiten Account erstellen, mit welchen Du im Falle dein Hauptkonto zu jeder Zeit und zuverlässig selber retten kannst.
Lesetipp:
https://peakd.com/hive-121566/@condeas/hive-master-passwort-wie-wichtig-ist-das
https://peakd.com/hive-121566/@condeas/das-neue-hive-whitepaper
Servus @condeas,
Nach überlegen wie das sein kann, kam mir ein Gedanke da du das
BuildTeam nanntest, denk mal ganz scharf nach, wer da zugriff auf die Webseite hat....
könnte sein, muss aber nicht sein....
wäre aber für mich die logischste Erklärung,
So werd nun auch gleich wieder alles erneuern....
lg
Richtig. Daran hatte ich auch schon gedacht, aber ich persönlich hatte keinen Streit mit ihm.
Dieser gefälschte Kommentar ist in seiner Form überzogen boshaft und hat nicht das geringste mit der Diskussion zu tun, so das ich vermute, dass ich ihn sehen sollte.
Ironischer weise beschwerte ich mich darüber, dass ich nicht sicher sein kann, mit wem ich gerade kommuniziere. Und wenig später kommen solche eigenartigen Kommentare.
Durch die Authoritys hatte ich ja auch kaum Überblick über meine Aktivitäten. Up- und Downvotes, sowie Kommentare bekommt man ja gar nicht mit. Da war Steemworld damals doch recht hilfreich.
Jedenfalls sieht man wieder mal,
selbst kontrolle ist wichtiger den je...
Ich ändere meine Keys eigentlich alle 6 Monate,
diesmal nun etwas früher...
Hoffe das damit nun bei dir damit Ruhe und die
Sicherheit das nur du zugriff hast, einkehrt....
View or trade
BEER.Hey @condeas, here is a little bit of
BEERfrom @isnochys for you. Enjoy it!Learn how to earn FREE BEER each day by staking your
BEER.Thank you for your witness vote!
Have a !BEER on me!
To Opt-Out of my witness beer program just comment STOP below
Ist schon komisch, dass ausgerechnet bei mir so kommentiert wird: https://peakd.com/@jnmarteau/re-condeas-rqus0b
Die berühmte "Nazikeule", welche letztendlich auf Blurt zur Eskalation führte. Ich glaube unser Verdacht ist gar nicht so unbegründet.
Danke, das sehe ich mir an!
Auf PeakD wird man sehr aufdringlich darauf hingewiesen, seinen Recovery Account zu ändern. Habe das mit dem Tool von /@arcange gemacht. Das Thema sollte in zwei Wochen erledigt sein.
Noch ne Idee, wo ich die alten Permissions von Steemit einsehen kann? Oder gelten die auch für Hive?
Ja, aber die funktionieren nicht auf Hive. Wenn Du keinen Autovoter nutzt kannst Du ruhig unter https://peakd.com/@eikejanssen/permissions alle Authoritys löschen.
Da gebe ich Oli ebenfalls recht, dass das alleine nicht ausreicht und man sollte dann ebenfalls seine Keys erneuern. Nur um ganz sicher zugehen.
Habe da jetzt nur hive.blog und PeakD als Berechtigte. Alle anderen sind raus.
Wenn Du Keychain nutzt, kannst Du diese Authoritys ebenfalls löschen
Würde ich auch empfehlen das zu tun
Alles klar, danke.