Steemit sicher nutzen
Wir alle nutzen Steemit - doch sind unsere Accounts auch sicher gegenüber Angriffen ?
Im Folgenden sollen grundlegende Sicherheitsaspekte von Steemit durchleuchtet und eine Empfehlung zur sicheren Nutzung gegeben werden.
Permission / Keys
Unter "Wallet"->"Permissions" stehen vier verschiedene Schlüssel zur Nutzung des Steemit Accounts zur Verfügung. (Witnesse haben zusätzlich einen Signing Key, welcher in diesem Beitrag bewusst nicht erwähnt wird)
Diese werden dort knapp erläutert, allerdings möchte ich an dieser Stelle etwas genauer auf deren Funktionalität sowie optimaler Nutzung eingehen.
Posting Key
Der Posting Key kann zum Posten von Beiträgen / Kommentaren, Folgen sowie zum Upvoten genutzt werden.
Nutzung: Der Posting Key ist der Schlüssel, mit dem man sich zur normalen alltäglichen Nutzung anmelden sollte. Hierfür kann dieser in einem Passwortmanager gehalten werden.
Active Key
Der Active Key besitzt die selben Rechte wie der Posting Key. Zusätzlich ist es mit diesem möglich Transaktionen in der Wallet durchzuführen
Nutzung: Diesen Schlüssel sollte man nur dann nutzen, wenn man eine Transaktion in der Wallet vornehmen möchte.
Memo Key
Der Memo Key kann genutzt werden, um Nachrichten verschlüsselt zu Übertragen.
Nutzung: Diesbezüglich hat @flurgx einen Beitrag geschrieben.
Owner Key
Der Owner Key ist der Schlüssel mit den höchsten Privilegien. Mit diesem kann auch der Account unter Umständen wiederhergestellt werden (wie später erklärt wird)
Nutzung: Der Owner Key sollte mit Ausnahme der Wiederherstellung nie (!) genutzt werden. Dieser Schlüssel sollte unbedingt Offline gehalten werden.
Notiz am Rande:
Im Allgemeinen sollte man sich in IT-Systemen immer nur mit den Berechtigungen anmelden, die man für die aktuelle Aufgabe benötigt, auch wenn dies oft nicht sehr bequem ist.
Wie sichere ich meinen Owner Key sicher ?
Unter "Wallet"->"Password" kann ein neues Password gesetzt werden. Dort stehen sieben Regeln,die ich lustig und zutreffend finde. Daher seien diese hier kurz Zitiert:
The first rule of Steemit is: Do not lose your password.
The second rule of Steemit is: Do not lose your password.
The third rule of Steemit is: We cannot recover your password.
The fourth rule: If you can remember the password, it's not secure.
The fifth rule: Use only randomly-generated passwords.
The sixth rule: Do not tell anyone your password.
The seventh rule: Always back up your password.
In einem Artikel über die sichere Aufbewahung von Seeds habe ich ein Verfahren vorgestellt, welches ich in diesem Kontext erneut aufgreifen möchte:
Was ist bei der physischen Sicherung zu beachten ?
Der Schlüssel sollte:
- anderen unzugänglich sein (Diebstahl etc.)
- Gegen äußere Umstände gesichert sein (Beispielsweise gegen Feuer, Wasser etc.)
Gegenüber den äußeren Faktoren ist es eine Möglichkeit den Schlüssel an mehreren Orten aufzubewahren. Hierbei steigt jedoch die Gefahr, dass jemand anderes Zugang zu diesem Schlüssel hat.
Eine weitere Möglichkeit besteht darin den Schlüssel elektronisch zu speichern, zu verschlüsseln und zu vervielfältigen.
Dies würde ich allerdings nur empfehlen, wenn man sich wirklich auskennt und weiß was man tut. Prinzipiell rate ich davon allerdings ab.
Meine persönliche Empfehlung ist die Folgende:
Papier RAID 5
Der Owner Key wird in 3 Teile aufgeteilt: je 17 (bzw. einmal 18) Zeichen.
Anschließend notieren wir die Teile auf 3 verschiedene Blätter mit Bleistift (diese können anschließend noch eingeschweißt werden)
- Teil 1,2 auf Blatt 1
- Teil 1,3 auf Blatt 2
- Teil 2,3 auf Blatt 3
Diese Blätter werden nun an 3 verschiedenen Orten hinterlegt.
Beispielsweise:
- Blatt 1 : Zuhause
- Blatt 2 : Bankschließfach
- Blatt 3 : Bei einem Familienangehörigen / Freund(in)
Somit kann einer der Blätter gestohlen, verloren oder kaputt gehen. Man benötigt nur einen (egal welchen) der Blätter um den Schlüssel zusammenzusetzen.
Steemconnect
Was ist Steemconenct ?
Steemconnect ist ein ein Interface, welches Drittanbieter nutzen können um auf den Account eines Nutzers zuzugreifen. Aktuell gibt es Version 2 von Steemconnect, bei dem die privaten Schlüssel nicht mehr verschlüsselt in einem Cookie gehalten werden müssen.
Warum Steemconnect ?
Der bedeutende Vorteil ist, dass sich nicht jeder Entwickler Gedanken darüber machen muss, wie er den Authentifikationsprozess und das halten der sensiblen Daten sicher gestalten kann. In der Informatik insbesondere der Kryptographie ist üblich bereits bewährte Verfahren und Funktionen zu nutzen anstatt das "Rad" immer neu zu erfinden. Somit minimiert sich die Wahrscheinlichkeit, dass Entwickler Fehler bei der Implementierung dieser Funktionen machen.
Der Quellcode ist offen und kann hier eingesehen werden.
Auf den ersten Blick macht Steemconnect einen guten Eindruck auf mich. Ich möchte jedoch darauf hinweisen, dass ich kein vollständiges Code Review durchgeführt habe.
Auch möchte ich in diesem Beitrag nicht tiefer in technische Details eingehen, um technisch nicht so versierte Leser nicht zu verwirren. Bei weiterem Interesse kann ich gerne einen gesonderten Beitrag hierzu schreiben. Anderenfalls werden die wichtigen Schritte hier beschrieben.
Account Recovery
Sollte aus irgendeinem Grund der Owner Key gestohlen und anschließend geändert werden, so ist es möglich innerhalb von 30 Tagen eine Wiederherstellung zu starten. Hierfür muss allerdings der vorherige Owner Key bekannt sein. Sollte der Owner Key verloren gegangen sein, ist auch eine Wiederherstellung nicht möglich.
Ferner ist zu beachten, dass die Wiederherstellung nur dann möglich ist, wenn "Steemit" der Recovery Account ist (Bei einer „normalen“ Anmeldung sollte dies der Fall sein).
Der Recovery Account kann beispielsweise unter https://steemd.com/@deinName eingesehen werden.
Zum weiteren Ablauf der Recovery (Bsp. Zeitliche Aspekte) kann ich nichts sagen (und möchte es nicht probieren wollen :P)
Scheinbar werden diese Fälle „händisch“ vom Support abgewickelt. Vermutlich ist auch der Zugang zum bei der Anmeldung genutzten E-Mail Konto notwendig.
Vielleicht hat jemand Erfahrungen oder weitere Kenntnisse diesbezüglich und kann diese in den Kommentaren teilen.
In jedem Fall sollte man sich nicht auf diese Wiederherstellung verlassen. Wer seinen Owner Key wie oben beschrieben sichert, sollte niemals in diese Situation kommen :)
Allgemeine Sicherheitsvorkehrungen
Neben der Sicherheit spezifisch für Steemit sollten allgemeine Praktiken zum sicheren Umgang mit Webdiensten beachtet werden. Da es in diesem Beitrag um die Sicherheit von Steemit geht, werde ich hierbei nicht ins Detail gehen. Dennoch sind sie erwähnenswert, da die Sicherheit auch von diesen Abhängt.
- Aufmerksam gegenüber Phishing-Angriffen sein (URL sowie deren Zertifikate beachten)
- Niemals private Schlüssel oder Kennwörter weitergeben (auch wenn die E-Mail anscheinend von Steemit direkt bzw. deren Support kommt)
In diesem Sinne: Nehmt euch die Zeit um euren Zugang zu sichern, damit dieser auch euch bleibt :)
Sehr gut :) Den Unterschied zwischen Public und Private Key könntest du noch einbauen! lg
Danke für deine Anmerkung !
Bezüglich Public und Private Keys werde ich zeitnah noch einen eigenen Beitrag verfassen.
Ich habe das Gefühl, das führt öfters zu verwirrung..
Sehr gute Übersicht. Resteemed :-)
Danke - sehr gute Übersicht.
Nice, sowas habe ich gesucht. Resteemed
Zum Active Key ist mir glaube ich noch ein Fehler aufgefallen - Soweit ich weiß, kann man mit diesem nicht posten/voten - Also zumindest ich kann mich mit dem nicht normal bei Steemit einloggen sondern nur ins Wallet z.b. ;)
Danke für die Anmerkung. Du hast Recht.
Dies werde ich ich im Artikel anpassen !
Heißt aber nicht, dass er das theoretisch nicht kann - Das glaube ich nämlich eigtl. schon gelesen zu haben!
Ich hatte das auch mehrmals gelesen. Habe eben aber mal versucht mich mit diesem einzuloggen - ist bei mir auch nur ins Wallet möglich. Ich schaue mal ob ich diesbezüglich noch etwas rausfinden kann.
Schau dir die Artikel von @Noisy an (vor 8m ca), er geht da auf sehr viele technische Details ein, mit denen ich eher wenig anfangen kann - du denke ich mal eher ;)
Vielen DANK für diesen Beitrag - man kann nicht vorsichtig genug sein!
Hey :) Sehr cooler Beitrag, hat mir als einsteiger nen sehr guten Einblick in das gegeben, was die Keys eigentlich so genau bedeuten.
Super Überblick über die Thematik!
tolle arbeit!
danke für die erwähnung ;)
Das finde ich kann man gar nicht oft genug sagen. :)
Man ist sooft zu bequem dafür. Finde ich sehr gut, auch weil es mich selber erinnert.
Das Paper Raid ist super genial und kann auch von jedem sehr gut umgesetzt werden. Auch ohne technische Hilfmittel.
Toller Beitrag zur Sicherheit. Danke schön. :D