СПЕЦИАЛЬНО ДЛЯ ГУМАНИТАРИЕВ И НОВИЧКОВ! Снова о паролях Голоса


Этот пост – специально для новичков и гуманитариев. Если вы – технарь, то вам может быть интересно просто поржать. А специально для тех, кто в сфере компьютерной безопасности – такое же «дерево», как и я… ещё раз о паролях Голоса, самым простым языком, проще некуда)

Но сначала хочу поздравить @lindsay с тем, что она теперь кит! Если вы здесь новичок и по какой-то причине не знаете, кто такая Лин – уверен, вы её узнаете) Яркий пример того, как человек пришёл на проект без ничего и после трёх лет постоянных конфликтов и флаговых войн с держателями крупных стеков… Лин теперь кит! Мои искренние поздравления – я всегда верил, что этот момент настанет!!!

Возвращаемся к теме поста. Вчера ночью Лин меня поругала. Сильно поругала. Я долго пытался понять, за что. Оказалось – за то, что авторизуюсь мастер-паролем. Во время беседы я высказал тезис, что «95% гуманитариев Голоса точно так же авторизуются и подписывают все транзакции именно мастер-паролем». Напишите в комментариях, если я прав)
Более того, я раньше сам объяснял новичкам – «используйте основной пароль, он всегда подходит». Так вот, оказалось – я вам неправильно объяснял. Сейчас расскажу, как правильно.

Прежде всего, посоветую всем внимательно перечитать вот этот пост Лин и задонатить за него хоть несколько токенов, контент действительно полезный. Я его читал когда-то. Внимательно. Но по-прежнему подписывал каждую транзакцию мастер-паролем. До сегодняшнего дня.

Теперь объясняю, почему так делать не надо. Мои представления о компьютерной безопасности застряли где-то на уровне 2003 года. Возможно, ваши тоже. Я сроду не пользовался генераторами паролей (можно же просто вбить в качестве пароля свой день рождения), а все эти «ключи разного уровня» на Голосе и Стиме – «да зачем они нужны?»
В моей картине мира всё просто. При авторизации на любом сайте вводишь:

Логин: логин
Пароль: пароль

Была шутка в одной российской комедии «А я видел во всех американских фильмах, пароль – это шесть звёздочек, попробуй… надо же, подошло!»

В графеновских блокчейнах (Голос, Стимит, Хайв) всё несколько иначе. Даже если вы новичок-гуманитарий, у вас в файле наверняка сохранено что-то вроде:

Мастер-ключ: какие-то-символы

Активный ключ: какие-то-другие-символы

Owner ключ: символы-не-похожие-на-6-звёздочек

Постинг ключ: вообще-другие-символы

Мемо ключ: коньяк-шесть-звёзд-бухнуть-бы

У меня было понимание, что эти разные ключи – для разных операций в блокчейне. Например, для перевода токенов на другой аккаунт Голос всегда просит ввести активный ключ. Именно активный. Не постинг. Но вместо активного можно ввести тот самый «мастер ключ» или основной пароль. Оно подойдёт.
Если вы, подобно мне, везде вводите основной пароль – поздравляю, вы тот самый гуманитарий, для кого пишу этот пост.

А теперь – почему не надо этого делать. Стимит и Хайв пошли более простым путём. При попытке авторизации там, блокчейн настаивает на том, чтобы юзер ввёл именно постинг-ключ. Никакой другой. Для авторизации и большинства операций (кроме перевода токенов) вам достаточно именно постинг-ключа. Лучше им и пользоваться.
Потому что. Как мне объяснила Лин, у хакеров есть огромное количество самых разных возможностей перехватить ваш пароль. Каких именно возможностей – надеюсь, наши технари напишут в комментариях. Я всё равно не понял, как это делается.

Сложность и прелесть блокчейнов в том, что – если хакер перехватит ваш постинг-ключ или даже активный – вы не теряете контроль над аккаунтом. Заходите через мастер-ключ – и меняете пароли (кстати, при смене паролей блокчейн генерирует новые автоматически, что стало для меня большим сюрпризом. Я думал, придётся самому придумывать эти «символы-которые-не-шесть-звёздочек»).

На Голосе пока не появилась такая фишка, как на Стиме – там при попытке войти в аккаунт с использованием мастер-пароля, система реально ругается «Не будь идиотом, введи постинг!» Поэтому здесь придётся проявлять сознательность самим.

В общем, я теперь авторизуюсь постингом и не подписываю транзакции мастер паролем, чего и вам советую. Вопросы, обсуждения и троллинг – прошу в комментарии.

Кстати, у меня появился официальный аккаунт на Steemit – elmay, именно на нём стану публиковать англоязычные тексты по мере их появления. Пойду поставлю туда аватару. Подписывайтесь, зовите меня в русскоязычные сообщества – через какое-то время, возможно, и там поактивничаю, именно с ника elmay.

Тщательно сохраняйте ваши пароли от Голоса в текстовых файлах! И хорошего вам майнинга!


Comments 26


@eldar-adov, нет ничего плохого в тех кто использует мастер-пароли )

Они для этого и были сделаны, чтобы не мучить мозг обычным среднестатистическим пользователям, которые привыкли к тому что есть 1 пароль (а не связка ключей с необходимостью прохождения курсов обучения молодого бойца "какой, куда и зачем").

Нужно ли с порога кошмарить об опасности использования пароля, конечно нет, т.к. практически везде потеря пароля или его компрометация чревата определенными последствиями... К получению ключей нужно подготовиться 😎

12.01.2021 21:26
0

@lex, тогда лучше давать к ним доступ после какого-то теста на уровень подготовленности, чтобы они не кошмарили новичков ). Они же их видят и начинается...

12.01.2021 21:45
0

@lex, благодарю за комментарий, но... я могу ответить только одно) @lindsay, призываю тебя - если тебе есть, что высказать публично по этой теме, можно тут, в комментах.

12.01.2021 22:39
0

@eldar-adov, Ну, учитывая заметку Лекса, могу добавить что серьезно заботиться о защите аккаунта стоит, если там есть что терять. К примеру если там китовый стек или ценные тексты. Ради нулевого акка с 1-2 постами типа "Всем привет", может быть и не стоит так заморачиваться.

12.01.2021 22:58
0

@lindsay, да, когда есть что терять, или уже познакомился с тем "что такое блокчейн", или любопытно разобраться...

Понимаю твое беспокойство в плане что завтра появится новый клиент, кто-то запустит golos.mu и вводить там пароль не зная кто стоит за этим клиентом опасно (возвращаемся к п.1, опасно если на акке много токенов). Ну и вопрос, на заглушку "вы переходите хрен знает куда", никто не обращает внимание? )

12.01.2021 23:09
0

@lex, ну дело еще в том, что теоретически владелец UI может перехватывать все что вводится в формы для заполнения, включая ключи.
К примеру если бы у меня был доступ к бэкэнду то я бы не удержалась от того чтоб перехватить ключи допустим своих злейших недругов. посему и сама стараюсь поменьше светить ключами в морде. В морде только постинг, а токены в основонм скриптами гоняю или методами cli через собственную же ноду.Параноичка, что с меняя взять =)😊 😊 😂

12.01.2021 23:35
0

@lindsay, ага, админ-панель - это именно бекенд. Дура необразованная. У тебя же интернет под рукой, позорище! 😂 😂 😂 Впрочем, Бигдата делегат опять обосрался. Ничего нового.

14.01.2021 08:44
0

@eldar-adov, Хотя лично я сторонница приучения себя к сетевой дисциплине как говорится, смолоду, потому что потом сложно будет переучиться =)

12.01.2021 23:03
0

@eldar-adov, просто нужно быть аккуратным с полями, которые заполняешь. была опасность - засветить ключ в мемо. сейчас ее нет если я правильно помню.

я тоже раньше мастером пользовалась, но давно перестала. хотя было очень удобно.))))

12.01.2021 22:31
0

@ladyzarulem, тут по большому счету вся разница куда пихать свой пароль или ключи, если в доверенный сервис или клиент, без разницы...

А чем ключи неудобнее? Добавляешь в менеджер паролей того же браузера постинг и актив ключи, и всё (актив записываешь как логин/active, чтобы работали оба).

12.01.2021 22:50
0

@lex, че-то я добавила. че-то у меня не работают))
приходится вручную все равно вставлять. видимо, что-то непрвильно сделала)

12.01.2021 22:52
0

@ladyzarulem, когда запоминаешь в браузер актив ключ, в поле логина впиши ladyzarulem/active
тогда постинг у тебя будет к ladyzarulem, а актив к ladyzarulem/active
и выбирать между ними так легче...

12.01.2021 22:55
0

@lex, а вот Леша. уточни пожалуйста. раньше можно было случайно свой активный засветить в мемо. сейчас вроде бы нельзя, да? не получится его засветить, даже если случайно и вставишь в поле?

12.01.2021 22:53
0

@ladyzarulem, не получится, но попробуй )
а вдруг...

12.01.2021 22:56
0