Hive Master Passwort - wie wichtig ist das

in Deutsch D-A-CH ‱ 2 months ago

Hi, liebe D-A-CH-Hivians, ich bins mal wieder 😀

Eigentlich habe ich heute schon einen Post in die Community geworfen und es liegt auch nicht in meiner Art, einen Post nach dem anderen herauszubringen.
Aber mir liegt das Thema Sicherheit auf Hive genauso am Herzen, wie es bei Euch der Fall sein sollte.

hiveflames.png Bild von @doze

Es ist nicht der Umgang mit dem Master Passwort und den jeweiligen privaten SchlĂŒsseln was mich sorgt, denn ich hoffe sehr, dass jeder weis wie er sich diesbezĂŒglich verhalten soll.
Meine Beobachtung der letzten Tage war, dass noch sehr viele Hivianer das Konto @steem als Recovery Account aufgefĂŒhrt haben. Da dieses Konto "@steem" nicht in der Lage ist, Euer Hive-Konto nach einem Diebstahl wieder herzustellen, rate ich zum schnellen Handeln.

Im nun folgenden Text möchte ich Euch die Wichtigkeit dessen veranschaulichen.


Alles begann mit einer einfachen Frage von @double-u:

Wozu benötigt man das Master Password, wenn man mit dem Owner key sowieso schon alle Rechte besitzt?

Diese einfache Frage hat mich dann doch ganz schön in BedrÀngnis gebracht.
Anscheinend hatte er recht. Ich kann mit dem Owner key sehr viel anstellen. Zum Beispiel reicht der Ownerkey aus, um das Master Passwort zu Àndern.
Nach mehreren umherprobieren habe ich doch so einige Sachen gefunden, welche nur mit dem Master Passwort möglich sind.
So ist es mir nur mit dem Passwort gelungen, auf dem Hive Wallet alle privaten SchlĂŒssel anzeigen zu lassen. Bei der Eingabe des privaten Owner key, wurde auch nur der Owner key angezeigt und alle anderen blieben verborgen.
Dieses ist im Grunde ja auch ganz logisch, da aus dem Master Passwort alle Keys errechnet werden.
So etwas kann aber auch nur unter Verwendung eines SchlĂŒsselgenerator ermöglicht werden. Deshalb seit Ihr als normale Nutzer davon abhĂ€ngig, dass Euch solche Werkzeuge zur VerfĂŒgung gestellt sind, welche auch von technisch nicht so begabten Personen leicht benutzt werden können.
Ich verlinke am Ende noch einiger dieser Werkzeuge.

Meine Schlussfolgerung daraus ist, dass wenn das Master Passwort verloren gegangen ist, gibt es keine Möglichkeit mehr den Owner key herauszufinden. Selbiges trifft im ĂŒbrigen auch fĂŒr alle anderen SchlĂŒssel zu.

Sollte es mal dazu gekommen sein, rate ich jedem schleunigst ein neues Master Passwort zu setzen. Dieses ist zum GlĂŒck noch mit dem Owner key möglich.

Sehr leicht geht es auf https://wallet.hive.blog/ oder fĂŒr die Peaked-Fans, auf https://peakd.com/@DEIN_ACCOUNT/permissions.

Speichert dieses neue Passwort nicht lokal auf dem Rechner und bewahrt es gut auf, denn es kann im schlimmsten Fall Euer Guthaben und Konto retten.

Und da sind wir schon am eigentlichen Punkt angelangt, den der Herr @reiseamateur aufzeigte.
Nur unter Verwendung des letzten mir bekannten Master Passwort war es mir möglich, einen Hive Account zurĂŒck zuholen.

Ich hatte es auch auf Steem versucht und da gelang mir es tatsĂ€chlich mit Hilfe von Steemworld, nur durch den Einsatz des letzten mir bekannten Owner Key, problemlos einen Account zuretten. Warum es mir da gelang und bei Hive nicht, konnte ich leider nicht herausfinden. Ich denke, dass es an den Werkzeugen lag, welche ich fĂŒr diesen Vorgang nutzte.

Bei Verlust des Master Passwortes und Diebstahl des Owner key, ist die erfolgreiche Rettung Eures Account sehr gering. Und wenn dann der Recovery Account @steem heißt oder Ihr lĂ€nger als 30 Tage mit der Wiederherstellung gewartet habt, na dann kannst es gleich vergessen.

Ja, ich bin mir bewusst, dass Ihr immer sehr sorgfĂ€ltig mit den SchlĂŒsseln umgeht, aber der Account @keys-defender findet hin und wieder doch einen SchlĂŒssel, welcher versehentlich in der Blockchain geschrieben wurde. Diese Nutzer können sehr froh ĂŒber die Arbeit dieses kleinen Bots sein. In den meisten FĂ€llen wurden diese SchlĂŒssel nĂ€mlich zusammen mit Links zu Bilder oder beim edit eines Kommentares per paste eingefĂŒgt.
Solche schweren Fehler können vermieden werden, in dem man alle Transaktionen auf der Hive- blockchain ĂŒber Keychain oder Hivesigner verwalten lĂ€sst.


Punkt 1 - Àndern des Recovery Account:

Auf Peaked kann der momentan gĂŒltige Recovery Account ĂŒber https://peakd.com/@DeinAccount/permissions und dem Reiter "RECOVERY ACCOUNT" eingesehen und auch gleich geĂ€ndert werden.

Bildschirmfoto_20200908_201954.png

Einfach unten anklicken und im Dialog einen neuen Account eintragen und mit dem Owner Key abschicken.

Bildschirmfoto_20200908_202210.png

Danach dauert es 4 Wochen, bis der neue Recovery Account in dem Konto angezeigt wird.

Weitere Möglichkeiten verlinke ich unten und auf Wunsch kann ich sie in einem nÀchsten Post kurz vorstellen.

Sollte Euer Recovery Account einen anderen Namen als @steem haben, rate ich zur ÜberprĂŒfung, ob dieser Account noch auf Hive aktiv ist und Ihr den EigentĂŒmer im Notfall erreichen könnt.
Wem Ihr am Ende da eintragt ist natĂŒrlich Euch ĂŒberlassen. Achtet nur darauf das die Person auch technisch dazu in der Lage ist und dass Ihr ihm vertraut.
Es sollte auch jedem klar sein, dass Ihr nicht euren eigenen Account als Recovery Account setzen könnt, denn man benötigt zur Wiederherstellung einen gĂŒltigen Active Key, den Ihr im Falle eines Diebstahls ja nicht mehr habt.
Bei Accounts, welche Ihr selbst auf Hive erstellt habt, steht Ihr mit euren Namen als Recovery Account und braucht es nicht unbedingt Àndern.

Beispiel: @muelli erstellt den Hive Account @liebchen. Dann wird @muelli als Recovery Account fĂŒr @liebchen eingetragen.
Nun muss @liebchen nicht unbedingt beigehen und den Recovery Account Àndern, denn @muelli ist durchaus in der Lage, @liebchen's Account zu retten, da er folgende Dokumentation kennt.


Punkt 2 - Account wiederherstellen (lassen)

Hört sich im ersten Augenblick ziemlich kompliziert an und wÀre es auch, wenn es nicht ein einfach zu bedienendes Werkzeug gÀbe.

Bevor man anfĂ€ngt, sollte man wenn man nicht derjenige ist, der das Konto zurĂŒckholt,sich mit dem Inhaber des Recovery Accounts in Verbindung setzen.
Hier ist der einfachste Weg ĂŒber Discord oder einen anderen Chat, welchen man mag.

Dann geht der mit dem geklauten Account auf die Seite https://reazuliqbal.com/HiveAccountRecovery/ und betÀtigt das blaue Fenster.

Bildschirmfoto_20200908_171130.png

Es öffnet sich nun die Seite und es wird auch gleich ein zufÀlliges Master Passwort angezeigt.

Bildschirmfoto_20200908_171151.png

(keine Sorge es wird auf dem Screenshot kein gĂŒltiges Passwort angezeigt)

Ganz oben wird der Accountname des Kontos eingetragen, was wiederhergestellt werden soll.
Dann klickt man rechts neben dem vermeintlichen Passwort und erhÀlt ein neues.

Bildschirmfoto_20200908_210532.png

Bevor man nun unten den abschließenden Befehl gibt, sollte man unbedingt das neue Passwort gut abspeichern, denn dieses wird unten im letzten Schritt zwingend benötigt.
Da das Passwort nach dem ZurĂŒcksetzen sowieso erneuert wird, kann dieses hier ausnahmsweise lokal auf dem Rechner gespeichert werden.
Wenn es dann gespeichert wurde, kann unten der abschließende Klick durchgefĂŒhrt werden und man erhĂ€lt den öffentlichen SchlĂŒssel von dem Owner Key.

Bildschirmfoto_20200908_211016.png

Diesen öffentlichen Owner Key sendet man zu den Inhaber des Recovery Accounts und wenn Ihr nicht diese Person seit, dann mĂŒsst Ihr nun warten, bis er euch das Zeichen fĂŒr den nĂ€chsten Schritt gibt.

Nicht das neu generierte Passwort verschicken, das darf selbst der Recovery Account nicht erfahren. Er benötigt fĂŒr seine Arbeit ausschließlich nur diesen öffentlichen und von jedermann frei einsehbaren Owner key!

Der Recovery Account-Besitzer geht nun bei und fĂŒhrt ĂŒber das grĂŒne mittige Fenster die Request Recovery aus.

Bildschirmfoto_20200908_211728.png

Oben wird wieder der zu rettende Account angegeben.
Darunter wird nun der neue öffentliche Owner Key eingetragen.
Dann trÀgt sich der Recovery Account-Inhaber unter "Trustee Account" selber ein.
Und zum Schluss muss er seinen privaten Activ Key eintragen, so dass er den Request abschicken kann.

Bildschirmfoto_20200908_172405.png

So, mehr hat der nicht zu tun. Nun seit Ihr wieder an der Reihe und begebt Euch wieder auf das blaue Fenster und scrollt zu Schritt 3 und fĂŒllt die Spalten aus.

Bildschirmfoto_20200908_212738.png

In der ersten Zeile wird der zu rettende Accountname eingetragen.
Spalte zwei tragt Ihr das neue Passwort ein, welches in den ersten Schritten erstellt wurde. (nicht den Key der an den Recovery Account gesendet wurde)
Und in der letzten Spalte wird das Master Passwort eingetragen, was vor dem Diebstahl des Kontos noch gĂŒltig war.

Senden und auf die BestÀtigung warten

Bildschirmfoto_20200908_173118.png


Ist es alles erledigt kann das Konto sofort wieder eingesetzt werden und nach ungefĂ€hr einer Stunde sollte aus GrĂŒnden der Sicherheit das Master Passwort erneuert werden. - Manchmal kann man einfach nicht paranoid genug sein ;)

Letzter Punkt: Master Passwort erneuern und sichern

Das geht auf Hive Wallet und Peaked gleichermaßen leicht.

Bildschirmfoto_20200908_221906.png

Screenshot Hive-Wallet

Einfach wieder die Seite "Change Password" aufrufen und unter "CURRENT PASSWORD" das neue Passwort eingeben und auf "CLICK TO GENERATE PASSWORD" ein neues erstellen lassen.
In der Zeile darunter wird das neu Erstellte Passwort eingetragen und mit den beiden HĂ€kchen und den Klick auf "Update Password" wird die Anfrage gesendet.
Im nĂ€chsten Dialog werden alle neuen SchlĂŒssel angezeigt und mĂŒssen sicher abgespeichert werden.


Die versprochenen Links:

https://wallet.hive.blog/ (Passwort und SchlĂŒssel Ă€ndern, Account recovery wenn hive.block der Recovery account ist)
https://peakd.com/ (Passwort, SchlĂŒssel und Recovery account Ă€ndern)
https://reazuliqbal.com/HiveAccountRecovery/ (ZurĂŒckholen eines Hive/Steem Account und Ă€ndern des Recovery Account)


Bildquellen:
Hive Flames by @doze
Screenshots
https://peakd.com/
https://wallet.hive.blog/
https://reazuliqbal.com/ (HiveAccountRecovery by @reazuliqbal)


Da ich dieses Thema als sehr wichtig erachte, bitte ich bei UnverstÀndnis oder Fragen um einen Kommentar.

Sort:  

Lieber @condeas,

wow, da hast du dir aber echt viel Arbeit fĂŒr uns gemacht.
Herzlichen Dank dafĂŒr!
Das ist eine ganz tolle Zusammenfassung.

Ein kleiner, wie ich finde, Widerspruch ist mir aufgefallen.
Du schreibst:

So ist es mir nur mit dem Passwort gelungen, auf dem Hive Wallet alle privaten SchlĂŒssel anzeigen zu lassen. Bei der Eingabe des privaten Owner key, wurde auch nur der Owner key angezeigt und alle anderen blieben verborgen.

Und weiter unten schreibst du:

Meine Schlussfolgerung daraus ist, dass wenn das Master Passwort verloren gegangen ist, gibt es keine Möglichkeit mehr den Owner key herauszufinden.

Also, noch mal vielen Dank!

Lieben Gruß, @double-u

Naja, falsch ist es nicht. Auf Hive hat man ein Passwort und vier verschiedene SchlĂŒssel.
Nehmen wir mal an, dass man eine Datei mit vier verschiedenen SchlĂŒssel hat, welche man nicht zuordnen kann. Dann könnte man versuchen, durch Anmelden auf Hive Wallet oder auf Peaked mit dem "Key Validator", herauszufinden, welcher SchlĂŒssel der einzelne ist.

Bildschirmfoto_20200909_215522.png

Wenn alle vier SchlĂŒssel vorhanden sind, ist es kein Problem und man könnte ohne dem Einsatz des Master Passwort die SchlĂŒssel zuordnen. Sind aber nur noch drei SchlĂŒssel vorhanden und ausgerechnet der Owner Key ist nicht dabei, dann kann man unter "REVEAL ALL KEYS" durch Eingabe des Master Passwortes den Owner Key wieder sehen und abspeichern.
Ist nun aber der Owner Key und das Master Passwort weg, dann gibt es keine Möglichkeit mehr, jemals Passwort und SchlĂŒssel zu Ă€ndern. Sobald aber einer von beiden noch vorhanden ist, ist es immer noch durch Ă€ndern des Passwortes möglich, alle SchlĂŒssel zu erneuern und wieder abzuspeichern.
es muss also immer mindestens einer dieser SchlĂŒssel vorhanden sein, dann hat man immer noch die Möglichkeit alle SchlĂŒssel und das Passwort zu Ă€ndern.

Danke dir!

Ich speichere deinen Post jetzt mal unter WICHTIG ab ;-)

Thanks for the mention @condeas!
By the little bot @keys-defender =]

Danke fĂŒr diesen absoluten Mehrwert. Muss meinen Recovery account auch noch Ă€ndern. Wird heute abend gemacht.

LG Michael

!invest_vote
!jeenger

Ist wirklich das vernĂŒnftigste was man machen sollte.
Das Beste ist immer, man erstellt sich einen Zweitaccount und setzt diesen dann als Recovery Account ein.

Puh, bin ich froh, dass ich das schon vor einigen Wochen erledigt hab.
!invest_vote
!engage 33
!BEER

 2 months ago (edited)

Steht jetzt auf der " To Do Liste " ganz oben.
Danke. 😎
... und natĂŒrlich ein !BEER fĂŒrÂŽs erinnern.

Bei Dir kÀme als Recovery Account @mister.reatard in Frage. Dann wÀrst Du nicht auf die Zeit anderer Leute angewiesen und könntest zu jeder Zeit dein Konto wiederherstellen ;)

Erledigt.
Jetzt hoffe ich nur, das der Tag nie kommen wird, an dem @mister.reatard sein technisches Talent unter Beweis stellen muss.
Hier noch ein !BEER von uns beiden. đŸ˜ŽđŸ»


Hey @condeas, here is a little bit of BEER from @muelli for you. Enjoy it!

Learn how to earn FREE BEER each day by staking your BEER.

Du wurdest als Member von @investinthefutur gevotet!
Dazu noch ein kleines !BEER


Hey @condeas, here is a little bit of BEER from @investinthefutur for you. Enjoy it!

Learn how to earn FREE BEER each day by staking your BEER.

!BEER


Hey @condeas, here is a little bit of BEER from @muelli for you. Enjoy it!

Learn how to earn FREE BEER each day by staking your BEER.

Congratulations @condeas! You have completed the following achievement on the Hive blockchain and have been rewarded with new badge(s) :

You distributed more than 22000 upvotes. Your next target is to reach 23000 upvotes.

You can view your badges on your board and compare yourself to others in the Ranking
If you no longer want to receive notifications, reply to this comment with the word STOP

Do not miss the last post from @hivebuzz:

HiveBuzz supports meetups of the Hive UK Community

Hey @condeas, here is a little bit of BEER from @udabeu for you. Enjoy it!

Learn how to earn FREE BEER each day by staking your BEER.

@udabeu denkt du hast ein Vote durch @investinthefutur verdient!
@udabeu thinks you have earned a vote of @investinthefutur !

@mima2606 denkt du hast ein Vote durch @investinthefutur verdient!
@mima2606 thinks you have earned a vote of @investinthefutur !

Congratulations @condeas! You received a personal badge!

Power Up Helper

You can view your badges on your board and compare yourself to others in the Ranking

Do not miss the last post from @hivebuzz:

Hive Power Up Day - Introducing the Power Up Helper!