Этот пост – специально для новичков и гуманитариев. Если вы – технарь, то вам может быть интересно просто поржать. А специально для тех, кто в сфере компьютерной безопасности – такое же «дерево», как и я… ещё раз о паролях Голоса, самым простым языком, проще некуда)
Но сначала хочу поздравить @lindsay с тем, что она теперь кит! Если вы здесь новичок и по какой-то причине не знаете, кто такая Лин – уверен, вы её узнаете) Яркий пример того, как человек пришёл на проект без ничего и после трёх лет постоянных конфликтов и флаговых войн с держателями крупных стеков… Лин теперь кит! Мои искренние поздравления – я всегда верил, что этот момент настанет!!!
Возвращаемся к теме поста. Вчера ночью Лин меня поругала. Сильно поругала. Я долго пытался понять, за что. Оказалось – за то, что авторизуюсь мастер-паролем. Во время беседы я высказал тезис, что «95% гуманитариев Голоса точно так же авторизуются и подписывают все транзакции именно мастер-паролем». Напишите в комментариях, если я прав)
Более того, я раньше сам объяснял новичкам – «используйте основной пароль, он всегда подходит». Так вот, оказалось – я вам неправильно объяснял. Сейчас расскажу, как правильно.
Прежде всего, посоветую всем внимательно перечитать вот этот пост Лин и задонатить за него хоть несколько токенов, контент действительно полезный. Я его читал когда-то. Внимательно. Но по-прежнему подписывал каждую транзакцию мастер-паролем. До сегодняшнего дня.
Теперь объясняю, почему так делать не надо. Мои представления о компьютерной безопасности застряли где-то на уровне 2003 года. Возможно, ваши тоже. Я сроду не пользовался генераторами паролей (можно же просто вбить в качестве пароля свой день рождения), а все эти «ключи разного уровня» на Голосе и Стиме – «да зачем они нужны?»
В моей картине мира всё просто. При авторизации на любом сайте вводишь:
Логин: логин
Пароль: пароль
Была шутка в одной российской комедии «А я видел во всех американских фильмах, пароль – это шесть звёздочек, попробуй… надо же, подошло!»
В графеновских блокчейнах (Голос, Стимит, Хайв) всё несколько иначе. Даже если вы новичок-гуманитарий, у вас в файле наверняка сохранено что-то вроде:
Мастер-ключ: какие-то-символы
Активный ключ: какие-то-другие-символы
Owner ключ: символы-не-похожие-на-6-звёздочек
Постинг ключ: вообще-другие-символы
Мемо ключ: коньяк-шесть-звёзд-бухнуть-бы
У меня было понимание, что эти разные ключи – для разных операций в блокчейне. Например, для перевода токенов на другой аккаунт Голос всегда просит ввести активный ключ. Именно активный. Не постинг. Но вместо активного можно ввести тот самый «мастер ключ» или основной пароль. Оно подойдёт.
Если вы, подобно мне, везде вводите основной пароль – поздравляю, вы тот самый гуманитарий, для кого пишу этот пост.
А теперь – почему не надо этого делать. Стимит и Хайв пошли более простым путём. При попытке авторизации там, блокчейн настаивает на том, чтобы юзер ввёл именно постинг-ключ. Никакой другой. Для авторизации и большинства операций (кроме перевода токенов) вам достаточно именно постинг-ключа. Лучше им и пользоваться.
Потому что. Как мне объяснила Лин, у хакеров есть огромное количество самых разных возможностей перехватить ваш пароль. Каких именно возможностей – надеюсь, наши технари напишут в комментариях. Я всё равно не понял, как это делается.
Сложность и прелесть блокчейнов в том, что – если хакер перехватит ваш постинг-ключ или даже активный – вы не теряете контроль над аккаунтом. Заходите через мастер-ключ – и меняете пароли (кстати, при смене паролей блокчейн генерирует новые автоматически, что стало для меня большим сюрпризом. Я думал, придётся самому придумывать эти «символы-которые-не-шесть-звёздочек»).
На Голосе пока не появилась такая фишка, как на Стиме – там при попытке войти в аккаунт с использованием мастер-пароля, система реально ругается «Не будь идиотом, введи постинг!» Поэтому здесь придётся проявлять сознательность самим.
В общем, я теперь авторизуюсь постингом и не подписываю транзакции мастер паролем, чего и вам советую. Вопросы, обсуждения и троллинг – прошу в комментарии.
Кстати, у меня появился официальный аккаунт на Steemit и Hive – elmay, именно на нём стану публиковать англоязычные тексты по мере их появления. Пойду поставлю туда аватару. Подписывайтесь, зовите меня в русскоязычные сообщества – через какое-то время, возможно, и там поактивничаю, именно с ника elmay.
Тщательно сохраняйте ваши пароли от Голоса в текстовых файлах! И хорошего вам майнинга!
@eldar-adov, знакомая история, вы мне напомнили одну историю, сейчас опубликую 😂
@eldar-adov, нет ничего плохого в тех кто использует мастер-пароли )
Они для этого и были сделаны, чтобы не мучить мозг обычным среднестатистическим пользователям, которые привыкли к тому что есть 1 пароль (а не связка ключей с необходимостью прохождения курсов обучения молодого бойца "какой, куда и зачем").
Нужно ли с порога кошмарить об опасности использования пароля, конечно нет, т.к. практически везде потеря пароля или его компрометация чревата определенными последствиями... К получению ключей нужно подготовиться
@lex, благодарю за комментарий, но... я могу ответить только одно) @lindsay, призываю тебя - если тебе есть, что высказать публично по этой теме, можно тут, в комментах.
@eldar-adov, Ну, учитывая заметку Лекса, могу добавить что серьезно заботиться о защите аккаунта стоит, если там есть что терять. К примеру если там китовый стек или ценные тексты. Ради нулевого акка с 1-2 постами типа "Всем привет", может быть и не стоит так заморачиваться.
@lindsay, да, когда есть что терять, или уже познакомился с тем "что такое блокчейн", или любопытно разобраться...
Понимаю твое беспокойство в плане что завтра появится новый клиент, кто-то запустит golos.mu и вводить там пароль не зная кто стоит за этим клиентом опасно (возвращаемся к п.1, опасно если на акке много токенов). Ну и вопрос, на заглушку "вы переходите хрен знает куда", никто не обращает внимание? )
@lex, ну дело еще в том, что теоретически владелец UI может перехватывать все что вводится в формы для заполнения, включая ключи.
К примеру если бы у меня был доступ к бэкэнду то я бы не удержалась от того чтоб перехватить ключи допустим своих злейших недругов. посему и сама стараюсь поменьше светить ключами в морде. В морде только постинг, а токены в основонм скриптами гоняю или методами cli через собственную же ноду.
Параноичка, что с меня взять =)
@eldar-adov, Хотя лично я сторонница приучения себя к сетевой дисциплине как говорится, смолоду, потому что потом сложно будет переучиться =)
@lex, тогда лучше давать к ним доступ после какого-то теста на уровень подготовленности, чтобы они не кошмарили новичков ). Они же их видят и начинается...
@eldar-adov, просто нужно быть аккуратным с полями, которые заполняешь. была опасность - засветить ключ в мемо. сейчас ее нет если я правильно помню.
я тоже раньше мастером пользовалась, но давно перестала. хотя было очень удобно.))))
@ladyzarulem, тут по большому счету вся разница куда пихать свой пароль или ключи, если в доверенный сервис или клиент, без разницы...
А чем ключи неудобнее? Добавляешь в менеджер паролей того же браузера постинг и актив ключи, и всё (актив записываешь как логин/active, чтобы работали оба).
@lex, че-то я добавила. че-то у меня не работают))
приходится вручную все равно вставлять. видимо, что-то непрвильно сделала)
@ladyzarulem, когда запоминаешь в браузер актив ключ, в поле логина впиши
ladyzarulem/activeтогда постинг у тебя будет к
ladyzarulem, а актив кladyzarulem/activeи выбирать между ними так легче...
@lex, а вот Леша. уточни пожалуйста. раньше можно было случайно свой активный засветить в мемо. сейчас вроде бы нельзя, да? не получится его засветить, даже если случайно и вставишь в поле?
@ladyzarulem, не получится, но попробуй )
а вдруг...
@eldar-adov, все стало гораздо яснее спасибо.
А вы не знаете, что можно сделать, чтобы мой аккаунт перестал отображаться блекло-серым цветом? Я с самого первого поста нарвался на дизлайк странного пользователя, который мне не отвечает и теперь мой блог выглядит как спам-аккаунт.
@meetyouat420, у вас очень специфическая тема блога, конечно. Я поддерживаю декриминализацию веществ - но только по той причине, что тогда с ними станет проще бороться. Проще объяснять подросткам, что курить траву - это лютый зашквар, а не "крутяк". Запретный плод сладок, а когда трава продаётся в каждом магазине как укроп... кому нужен этот укроп.
Ваш блог могут загнать в невидимость, если будет очень много дизлайков. Другие темы я бы поддержал лайками, но вашу тему - увы(
@eldar-adov, я и не топлю ни в коем случае за то, что это "крутяк")