随着 @xiaoshancun 的 steem 钱包被盗,又掀起了一轮讨论 steem 账号安全的热潮。我大略读了一下大家的帖子,发现仍然是那句老话:今月曾经照古人。
往历史看,钱包被盗,已经不是什么新鲜事了。光是中文用户,光是我印象深刻的,算上这次,最近几个月就发生了三起。
首先中招并且损失最大的,是声望 67 的 @twinkledrop。钱损失了 633 SBD 。当时以为整个账号连同 3000 SP 都没了,好在后来又找回来了。
然后是 @catwomanteresa,她损失了 540 SBD。
这次是 @xiaoshancun,损失了大约 230 SBD。相比之下,是损失最少的。
以上三个案例,盗窃的作案手法各有不同,但有两个结果是相同的:
- 丢的钱就是丢了,永远找不回来。
- 小偷永远抓不住。
我们当然是要首先谴责盗贼不要脸,然而除此之外对小偷无可奈何,只能从自己身上找原因了。
往未来看,可以预测的有三件事:
- 被盗原因有些至今没有查明,所以悲剧还会重演,就看谁是那个倒霉蛋了。说不定是我。
- 本次讨论仍会沉底。下次发生被盗,仍然还会掀起一轮讨论热潮,把 steem 的各种密钥和注意事项再解释一遍。循环往复。
- 下回,我本人大概是不会再对这个话题感兴趣了。
之所以有第 3 点,是因为大家的帖子已经讲得很全面。唯一的问题是比较分散。于是,我做了三个汇总,应该是够以后用了。如有缺漏,欢迎大家补充。
“汇总一”和“汇总二”里只列出了提纲,具体的操作见“汇总三”,也可以自己搜。
汇总一:失窃后第一时间应该做什么?
- 用你现在的 master key,修改出一个新的 master key,并将随之产生的各种新密码备份。
- 如果是 master key 被小偷篡改,那么立刻通过官方渠道申请恢复,30 天内有效。如果你的账号是代理申请的,那么找你的代理商帮忙。
- 查询你的 Power Down Routes,如果有问题,立刻改。
- 如果自己搞不定,速来华语区的微信群里向高人求助。
汇总二:为了避免失窃,应该做哪些防范?
- 永远不要在任何场合使用主密码(master key),除非你需要修改主密码,相当于手机上的”恢复出厂设置“。
- 任何情况下登录,都只用发帖密码(posting key),除非跟钱和 steemconnect 打交道时,才使用活跃密码(Active key)。
- 不要让浏览器记住你的密码。用 keepass 或 lastpass 来管理密码。
- 防盗的最好办法是没钱可盗。STEEM 钱包里有两种钱: STEEM 和 STEEM DOLLARS(即 SBD)是可以被随时转走的,而 STEEM POWER 和SAVINGS 是无法马上取出的。把 STEEM 和 SBD 保留到最小额度,最好是0;多余的要么变现,要么 power up,要么存到 SAVINGS 里。Power up 的钱需要花 13 周才能全部取出,SAVING 里的钱需要花三天才能取出,二者都能随时中止。这样,即使发现钱包出现异常,也可以把损失降至最低。
汇总三:一些关于账号安全、密码管理的帖子精选:
- Thief of Steem有贼 @nationalpark
- 再次提醒大家防范钓鱼信息,就在昨晚CN区一个声望分67级的账户被盗!!! @oflyhigh
- 丢账号怎么办?过来人手把手帮你找回账号@twinkledrop
- 一个疏忽导致数据丢失之后的小思考 @jubi
- 微信公众号支持查询Power Down Routes (又称为:Withdraw Routes) @oflyhigh
- 分享一下我的密码管理方案 @skenan
- 你的密码安全吗?推荐一款靠谱的密码管理工具Keepass @yuxi
- 帐户安全小建议 - 用Steemconnect登入的网站,记得清空cookies或revoke token @wyp
- 新人生存指南之十五:密码即一切 @lemooljiang
- 如何为posting private key 设置个友好的密码?@oflyhigh
- 再谈STEEMIT上密钥的重要性!3分钟内彻底弄明白STEEM/SBD/SP/SAVING/POST key/ACTIVE key /MASTER key @rivalhw
- Steem 新手必须做的第一件事 @dapeng