Steemit sicher nutzen

Wir alle nutzen Steemit - doch sind unsere Accounts auch sicher gegenüber Angriffen ?
Im Folgenden sollen grundlegende Sicherheitsaspekte von Steemit durchleuchtet und eine Empfehlung zur sicheren Nutzung gegeben werden.

Permission / Keys

Unter "Wallet"->"Permissions" stehen vier verschiedene Schlüssel zur Nutzung des Steemit Accounts zur Verfügung. (Witnesse haben zusätzlich einen Signing Key, welcher in diesem Beitrag bewusst nicht erwähnt wird)
Diese werden dort knapp erläutert, allerdings möchte ich an dieser Stelle etwas genauer auf deren Funktionalität sowie optimaler Nutzung eingehen.

---

Posting Key

Der Posting Key kann zum Posten von Beiträgen / Kommentaren, Folgen sowie zum Upvoten genutzt werden.

Nutzung: Der Posting Key ist der Schlüssel, mit dem man sich zur normalen alltäglichen Nutzung anmelden sollte. Hierfür kann dieser in einem Passwortmanager gehalten werden.

---

Active Key

Der Active Key besitzt die selben Rechte wie der Posting Key. Zusätzlich ist es mit diesem möglich Transaktionen in der Wallet durchzuführen

Nutzung: Diesen Schlüssel sollte man nur dann nutzen, wenn man eine Transaktion in der Wallet vornehmen möchte.

---

Memo Key

Der Memo Key kann genutzt werden, um Nachrichten verschlüsselt zu Übertragen.

Nutzung: Diesbezüglich hat @flurgx einen Beitrag geschrieben.

---

Owner Key

Der Owner Key ist der Schlüssel mit den höchsten Privilegien. Mit diesem kann auch der Account unter Umständen wiederhergestellt werden (wie später erklärt wird)

Nutzung: Der Owner Key sollte mit Ausnahme der Wiederherstellung nie (!) genutzt werden. Dieser Schlüssel sollte unbedingt Offline gehalten werden.

---

Notiz am Rande:
Im Allgemeinen sollte man sich in IT-Systemen immer nur mit den Berechtigungen anmelden, die man für die aktuelle Aufgabe benötigt, auch wenn dies oft nicht sehr bequem ist.

---

---

Wie sichere ich meinen Owner Key sicher ?

Unter "Wallet"->"Password" kann ein neues Password gesetzt werden. Dort stehen sieben Regeln,die ich lustig und zutreffend finde. Daher seien diese hier kurz Zitiert:

The first rule of Steemit is: Do not lose your password.
The second rule of Steemit is: Do not lose your password.
The third rule of Steemit is: We cannot recover your password.
The fourth rule: If you can remember the password, it's not secure.
The fifth rule: Use only randomly-generated passwords.
The sixth rule: Do not tell anyone your password.
The seventh rule: Always back up your password.

In einem Artikel über die sichere Aufbewahung von Seeds habe ich ein Verfahren vorgestellt, welches ich in diesem Kontext erneut aufgreifen möchte:

Was ist bei der physischen Sicherung zu beachten ?

Der Schlüssel sollte:

• anderen unzugänglich sein (Diebstahl etc.)
• Gegen äußere Umstände gesichert sein (Beispielsweise gegen Feuer, Wasser etc.)

Gegenüber den äußeren Faktoren ist es eine Möglichkeit den Schlüssel an mehreren Orten aufzubewahren. Hierbei steigt jedoch die Gefahr, dass jemand anderes Zugang zu diesem Schlüssel hat.

Eine weitere Möglichkeit besteht darin den Schlüssel elektronisch zu speichern, zu verschlüsseln und zu vervielfältigen.
Dies würde ich allerdings nur empfehlen, wenn man sich wirklich auskennt und weiß was man tut. Prinzipiell rate ich davon allerdings ab.

Meine persönliche Empfehlung ist die Folgende:

Papier RAID 5

Der Owner Key wird in 3 Teile aufgeteilt: je 17 (bzw. einmal 18) Zeichen.

Anschließend notieren wir die Teile auf 3 verschiedene Blätter mit Bleistift (diese können anschließend noch eingeschweißt werden)

• Teil 1,2 auf Blatt 1
• Teil 1,3 auf Blatt 2
• Teil 2,3 auf Blatt 3

Diese Blätter werden nun an 3 verschiedenen Orten hinterlegt.
Beispielsweise:

• Blatt 1 : Zuhause
• Blatt 2 : Bankschließfach
• Blatt 3 : Bei einem Familienangehörigen / Freund(in)

Somit kann einer der Blätter gestohlen, verloren oder kaputt gehen. Man benötigt nur einen (egal welchen) der Blätter um den Schlüssel zusammenzusetzen.

---

---

Steemconnect

Quelle

Was ist Steemconenct ?

Steemconnect ist ein ein Interface, welches Drittanbieter nutzen können um auf den Account eines Nutzers zuzugreifen. Aktuell gibt es Version 2 von Steemconnect, bei dem die privaten Schlüssel nicht mehr verschlüsselt in einem Cookie gehalten werden müssen.

Warum Steemconnect ?

Der bedeutende Vorteil ist, dass sich nicht jeder Entwickler Gedanken darüber machen muss, wie er den Authentifikationsprozess und das halten der sensiblen Daten sicher gestalten kann. In der Informatik insbesondere der Kryptographie ist üblich bereits bewährte Verfahren und Funktionen zu nutzen anstatt das "Rad" immer neu zu erfinden. Somit minimiert sich die Wahrscheinlichkeit, dass Entwickler Fehler bei der Implementierung dieser Funktionen machen.

Der Quellcode ist offen und kann hier eingesehen werden.
Auf den ersten Blick macht Steemconnect einen guten Eindruck auf mich. Ich möchte jedoch darauf hinweisen, dass ich kein vollständiges Code Review durchgeführt habe.

Auch möchte ich in diesem Beitrag nicht tiefer in technische Details eingehen, um technisch nicht so versierte Leser nicht zu verwirren. Bei weiterem Interesse kann ich gerne einen gesonderten Beitrag hierzu schreiben. Anderenfalls werden die wichtigen Schritte hier beschrieben.

---

---

Account Recovery

Sollte aus irgendeinem Grund der Owner Key gestohlen und anschließend geändert werden, so ist es möglich innerhalb von 30 Tagen eine Wiederherstellung zu starten. Hierfür muss allerdings der vorherige Owner Key bekannt sein. Sollte der Owner Key verloren gegangen sein, ist auch eine Wiederherstellung nicht möglich.

Ferner ist zu beachten, dass die Wiederherstellung nur dann möglich ist, wenn "Steemit" der Recovery Account ist (Bei einer „normalen“ Anmeldung sollte dies der Fall sein).
Der Recovery Account kann beispielsweise unter https://steemd.com/@deinName eingesehen werden.

Zum weiteren Ablauf der Recovery (Bsp. Zeitliche Aspekte) kann ich nichts sagen (und möchte es nicht probieren wollen :P)
Scheinbar werden diese Fälle „händisch“ vom Support abgewickelt. Vermutlich ist auch der Zugang zum bei der Anmeldung genutzten E-Mail Konto notwendig.
Vielleicht hat jemand Erfahrungen oder weitere Kenntnisse diesbezüglich und kann diese in den Kommentaren teilen.

In jedem Fall sollte man sich nicht auf diese Wiederherstellung verlassen. Wer seinen Owner Key wie oben beschrieben sichert, sollte niemals in diese Situation kommen :)

---

---

Allgemeine Sicherheitsvorkehrungen

Neben der Sicherheit spezifisch für Steemit sollten allgemeine Praktiken zum sicheren Umgang mit Webdiensten beachtet werden. Da es in diesem Beitrag um die Sicherheit von Steemit geht, werde ich hierbei nicht ins Detail gehen. Dennoch sind sie erwähnenswert, da die Sicherheit auch von diesen Abhängt.

• Aufmerksam gegenüber Phishing-Angriffen sein (URL sowie deren Zertifikate beachten)
• Niemals private Schlüssel oder Kennwörter weitergeben (auch wenn die E-Mail anscheinend von Steemit direkt bzw. deren Support kommt)

---

In diesem Sinne: Nehmt euch die Zeit um euren Zugang zu sichern, damit dieser auch euch bleibt :)