[编译]:Yao (BTS:yao, Steemit:imyao)
[日期]: 2016年7月18日
英文原帖:@dan/steemit-releases-groundbreaking-account-recovery-solution
解决方案是怎样运行的
当一个账户被黑客攻击了,将会有两个或更多的主张所有权的比赛,因为多方都能访问密码。区块链只需要一种方法来打破僵局,选择其中一个主张跳过其他的。这需要三件事:· 时间
· 监测
· 一个值得信任的人为你担保
时间
如果这个时间段没有人换过钥匙是可以应对的,那么第一个换掉锁的人胜出。如果你应对的时间越长,你就越难把别人支开(可能被别人捷足先登)。监测
如果你没有注意(特意重视),那么世界上所有的时间都不会被使用(时间就那样溜走了)。每一次你的房子钥匙换了你都需要被通知到(因为你是房子的主人)。这个通知会给你最长的时间去找到一个值得信赖的人——可以为你担保的人。一个可信赖的人
一个值得信赖的人是一个可以独立识别你的钥匙的人。Steemit 可以通过用户的电子邮件、Facebook 登录、Reddit 登录(如果你是通过他们注册的账户的话)来识别用户。你也可以使用你母亲、妻子、雇主、朋友或者其它的第三方提供者。(恢复账户的)流程
当你注意到你的账户已经被黑客攻击,你及时联系你的账户恢复合作伙伴(受信任的个人),并让他们提交一个更改你账户的锁的提议(冻结账户的请求)。他们可以用任何符合要求的方式来识别你(证明你是你,^_^),然后向区块链提交一个提议以更换一把锁(用房门锁做形象比喻,区块链里就是换一组公钥-私钥对)交给那个你信赖的人(也是发起换锁请求的人)。一旦这个提议(换锁的请求)提交给区块链,你将有 24 小时的时间用你的旧钥匙和旧钥匙(也可以称之为密码、私钥)一起登录。在过去 30 天内使用的任何钥匙(密码、私钥)足矣。如果你及时登录,那么钥匙就会换掉,黑客的钥匙将被锁定(失效,打不开了)。
假如你没有一个过去 30 天内曾使用过的钥匙,那么你的账户将不能被恢复。
为什么它是安全的
这个过程严格意义上讲已经比目前的任何加密货币提供的方案都更安全。你信任的账户恢复合作伙伴(第三方)无权访问你的账户,因为他们没有你的任何钥匙(私钥)。这就意味着你的账户是安全的,除非你是被你的账户恢复合作伙伴(第三方)黑了。因为你知道谁是你的账户恢复合作伙伴(第三方),所以他们还是有一丝机会黑你然后消失的。如果你的恢复合作伙伴也别攻击了呢?
在这种情况下,他们只能求助于他们自己的账户恢复合作伙伴。一旦他们恢复了他们的账户,然后他们就可以跟你一起来恢复你的账户。黑客是绝对不可能在一个非常长的账户恢复合作伙伴的链条里攻击所有的账户的。换掉你的合作伙伴
任何时候账户所有者都可以要求换掉他们的(账户)恢复合作伙伴。经过 30 天的等待期(在此期间做变更是可以操作的),换掉恢复合作伙伴的请求就可以变更完成。这意味着如果你从别人手里买了一个账号,那么你可以放心,(经过 30 天的等待期)他们是没法拿回去的。同时也意味着,如果你不喜欢你的合作伙伴,(经过 30 天的等待期)你可以彻底地换掉它。恢复合作伙伴在这个过程中没有发言权(你是账号的所有者,你说了算)。卖掉/转让账号
在这个系统下仍然是可以转让账号的。你必须通知你的账户恢复合作伙伴或者换掉恢复合作伙伴。如果你们(账号转让双方)都信任这个恢复合作伙伴,账号转让可以是即时生效的,如果你们不信任这个恢复合作伙伴可以选择换掉账户恢复合作伙伴然后等待 30 天。让马待在马棚里
当一个小偷闯入了你的房子,你把锁换了(让他出不来),他仍然可以搞很多破坏。任何放在周围的现金都可以被他拿走。也许你能拿回你的房子(账户),但是钱不见了。转换成 STEEM POWER
在 Steeem 里,90% 及以上的财富都以 STEEM POWER 的形式持有。这意味着即使小偷进入你的房子(黑客黑了你的账户),他也必须等待时间锁安全解锁(译注:STEEM POWER 是锁定的,转换成可以随意支配的 STEEM 需要线性解锁,锁定两年,一年 52 周,一周解锁一次,每周解锁 1/104)才能拿走你的现金(STEEM 就相当于你在 Steemit 里的现金)。只要你能在账户资金解锁(Power Down 即把 STEEM POWER 解锁成 STEEM,一周解锁一次,每次解锁 1/104)前——也就是一周的时间内——恢复你的账户,那么你账户里 99% 的(译注:有约 1% 是之前已经解锁了的,你未及时转移的) STEEM POWER 都将是安全的。接下来的工作
现在我们有了一个坚实的账户恢复的流程,我们将为用户账户里持有的 STEEM 和 Steem Dollars 添加时间锁“储蓄”账户。这些“储蓄”账户将对任何转账请求添加一个几天的延迟。加入你的账户被黑客攻击,那么在你的“储蓄”有被盗走的风险之前,你将有几天的时间(来恢复账户)。结论
Steemit 创造了一个账户安全的解决方案,这个方案是完全去中心化的(控制权分散的)且基于真实世界的身份,而不是一个单一的私钥的可怜的替代品。整个社会网络共同来互相保护和互相验证。它既不引入一个高级别的信任,也不需要一个中心化的服务提供商。在这种模式下,应对黑客攻击完全不需要硬分叉。任何造成损失的资金都会是很小的流动现金——未被解锁成 STEEM 的 STEEM POWER 或者时间锁储蓄账户以外的那部分资金。
由于这些额外的措施,Steemit 可以继续提供一个基于 web 的界面(就像目前这个样子)尽管不时还会遭遇被盗。不会被盗的是账户的身份,这就是它(Steemit 提供的)的不同之处。