Hive Master Passwort - wie wichtig ist das

avatar

Hi, liebe D-A-CH-Hivians, ich bins mal wieder 😀

Eigentlich habe ich heute schon einen Post in die Community geworfen und es liegt auch nicht in meiner Art, einen Post nach dem anderen herauszubringen.
Aber mir liegt das Thema Sicherheit auf Hive genauso am Herzen, wie es bei Euch der Fall sein sollte.

hiveflames.png Bild von @doze

Es ist nicht der Umgang mit dem Master Passwort und den jeweiligen privaten Schlüsseln was mich sorgt, denn ich hoffe sehr, dass jeder weis wie er sich diesbezüglich verhalten soll.
Meine Beobachtung der letzten Tage war, dass noch sehr viele Hivianer das Konto @steem als Recovery Account aufgeführt haben. Da dieses Konto "@steem" nicht in der Lage ist, Euer Hive-Konto nach einem Diebstahl wieder herzustellen, rate ich zum schnellen Handeln.

Im nun folgenden Text möchte ich Euch die Wichtigkeit dessen veranschaulichen.

Alles begann mit einer einfachen Frage von @double-u:

Wozu benötigt man das Master Password, wenn man mit dem Owner key sowieso schon alle Rechte besitzt?

Diese einfache Frage hat mich dann doch ganz schön in Bedrängnis gebracht.
Anscheinend hatte er recht. Ich kann mit dem Owner key sehr viel anstellen. Zum Beispiel reicht der Ownerkey aus, um das Master Passwort zu ändern.
Nach mehreren umherprobieren habe ich doch so einige Sachen gefunden, welche nur mit dem Master Passwort möglich sind.
So ist es mir nur mit dem Passwort gelungen, auf dem Hive Wallet alle privaten Schlüssel anzeigen zu lassen. Bei der Eingabe des privaten Owner key, wurde auch nur der Owner key angezeigt und alle anderen blieben verborgen.
Dieses ist im Grunde ja auch ganz logisch, da aus dem Master Passwort alle Keys errechnet werden.
So etwas kann aber auch nur unter Verwendung eines Schlüsselgenerator ermöglicht werden. Deshalb seit Ihr als normale Nutzer davon abhängig, dass Euch solche Werkzeuge zur Verfügung gestellt sind, welche auch von technisch nicht so begabten Personen leicht benutzt werden können.
Ich verlinke am Ende noch einiger dieser Werkzeuge.

Meine Schlussfolgerung daraus ist, dass wenn das Master Passwort verloren gegangen ist, gibt es keine Möglichkeit mehr den Owner key herauszufinden. Selbiges trifft im übrigen auch für alle anderen Schlüssel zu.

Sollte es mal dazu gekommen sein, rate ich jedem schleunigst ein neues Master Passwort zu setzen. Dieses ist zum Glück noch mit dem Owner key möglich.

Sehr leicht geht es auf https://wallet.hive.blog/ oder für die Peaked-Fans, auf https://peakd.com/@DEIN_ACCOUNT/permissions.

Speichert dieses neue Passwort nicht lokal auf dem Rechner und bewahrt es gut auf, denn es kann im schlimmsten Fall Euer Guthaben und Konto retten.

Und da sind wir schon am eigentlichen Punkt angelangt, den der Herr @reiseamateur aufzeigte.
Nur unter Verwendung des letzten mir bekannten Master Passwort war es mir möglich, einen Hive Account zurück zuholen.

Ich hatte es auch auf Steem versucht und da gelang mir es tatsächlich mit Hilfe von Steemworld, nur durch den Einsatz des letzten mir bekannten Owner Key, problemlos einen Account zuretten. Warum es mir da gelang und bei Hive nicht, konnte ich leider nicht herausfinden. Ich denke, dass es an den Werkzeugen lag, welche ich für diesen Vorgang nutzte.

Bei Verlust des Master Passwortes und Diebstahl des Owner key, ist die erfolgreiche Rettung Eures Account sehr gering. Und wenn dann der Recovery Account @steem heißt oder Ihr länger als 30 Tage mit der Wiederherstellung gewartet habt, na dann kannst es gleich vergessen.

Ja, ich bin mir bewusst, dass Ihr immer sehr sorgfältig mit den Schlüsseln umgeht, aber der Account @keys-defender findet hin und wieder doch einen Schlüssel, welcher versehentlich in der Blockchain geschrieben wurde. Diese Nutzer können sehr froh über die Arbeit dieses kleinen Bots sein. In den meisten Fällen wurden diese Schlüssel nämlich zusammen mit Links zu Bilder oder beim edit eines Kommentares per paste eingefügt.
Solche schweren Fehler können vermieden werden, in dem man alle Transaktionen auf der Hive- blockchain über Keychain oder Hivesigner verwalten lässt.

Punkt 1 - ändern des Recovery Account:

Auf Peaked kann der momentan gültige Recovery Account über https://peakd.com/@DeinAccount/permissions und dem Reiter "RECOVERY ACCOUNT" eingesehen und auch gleich geändert werden.

Bildschirmfoto_20200908_201954.png

Einfach unten anklicken und im Dialog einen neuen Account eintragen und mit dem Owner Key abschicken.

Bildschirmfoto_20200908_202210.png

Danach dauert es 4 Wochen, bis der neue Recovery Account in dem Konto angezeigt wird.

Weitere Möglichkeiten verlinke ich unten und auf Wunsch kann ich sie in einem nächsten Post kurz vorstellen.

Sollte Euer Recovery Account einen anderen Namen als @steem haben, rate ich zur Überprüfung, ob dieser Account noch auf Hive aktiv ist und Ihr den Eigentümer im Notfall erreichen könnt.
Wem Ihr am Ende da eintragt ist natürlich Euch überlassen. Achtet nur darauf das die Person auch technisch dazu in der Lage ist und dass Ihr ihm vertraut.
Es sollte auch jedem klar sein, dass Ihr nicht euren eigenen Account als Recovery Account setzen könnt, denn man benötigt zur Wiederherstellung einen gültigen Active Key, den Ihr im Falle eines Diebstahls ja nicht mehr habt.
Bei Accounts, welche Ihr selbst auf Hive erstellt habt, steht Ihr mit euren Namen als Recovery Account und braucht es nicht unbedingt ändern.

Beispiel: @muelli erstellt den Hive Account @liebchen. Dann wird @muelli als Recovery Account für @liebchen eingetragen.
Nun muss @liebchen nicht unbedingt beigehen und den Recovery Account ändern, denn @muelli ist durchaus in der Lage, @liebchen's Account zu retten, da er folgende Dokumentation kennt.

Punkt 2 - Account wiederherstellen (lassen)

Hört sich im ersten Augenblick ziemlich kompliziert an und wäre es auch, wenn es nicht ein einfach zu bedienendes Werkzeug gäbe.

Bevor man anfängt, sollte man wenn man nicht derjenige ist, der das Konto zurückholt,sich mit dem Inhaber des Recovery Accounts in Verbindung setzen.
Hier ist der einfachste Weg über Discord oder einen anderen Chat, welchen man mag.

Dann geht der mit dem geklauten Account auf die Seite https://reazuliqbal.com/HiveAccountRecovery/ und betätigt das blaue Fenster.

Bildschirmfoto_20200908_171130.png

Es öffnet sich nun die Seite und es wird auch gleich ein zufälliges Master Passwort angezeigt.

Bildschirmfoto_20200908_171151.png

(keine Sorge es wird auf dem Screenshot kein gültiges Passwort angezeigt)

Ganz oben wird der Accountname des Kontos eingetragen, was wiederhergestellt werden soll.
Dann klickt man rechts neben dem vermeintlichen Passwort und erhält ein neues.

Bildschirmfoto_20200908_210532.png

Bevor man nun unten den abschließenden Befehl gibt, sollte man unbedingt das neue Passwort gut abspeichern, denn dieses wird unten im letzten Schritt zwingend benötigt.
Da das Passwort nach dem Zurücksetzen sowieso erneuert wird, kann dieses hier ausnahmsweise lokal auf dem Rechner gespeichert werden.
Wenn es dann gespeichert wurde, kann unten der abschließende Klick durchgeführt werden und man erhält den öffentlichen Schlüssel von dem Owner Key.

Bildschirmfoto_20200908_211016.png

Diesen öffentlichen Owner Key sendet man zu den Inhaber des Recovery Accounts und wenn Ihr nicht diese Person seit, dann müsst Ihr nun warten, bis er euch das Zeichen für den nächsten Schritt gibt.

Nicht das neu generierte Passwort verschicken, das darf selbst der Recovery Account nicht erfahren. Er benötigt für seine Arbeit ausschließlich nur diesen öffentlichen und von jedermann frei einsehbaren Owner key!

Der Recovery Account-Besitzer geht nun bei und führt über das grüne mittige Fenster die Request Recovery aus.

Bildschirmfoto_20200908_211728.png

Oben wird wieder der zu rettende Account angegeben.
Darunter wird nun der neue öffentliche Owner Key eingetragen.
Dann trägt sich der Recovery Account-Inhaber unter "Trustee Account" selber ein.
Und zum Schluss muss er seinen privaten Activ Key eintragen, so dass er den Request abschicken kann.

Bildschirmfoto_20200908_172405.png

So, mehr hat der nicht zu tun. Nun seit Ihr wieder an der Reihe und begebt Euch wieder auf das blaue Fenster und scrollt zu Schritt 3 und füllt die Spalten aus.

Bildschirmfoto_20200908_212738.png

In der ersten Zeile wird der zu rettende Accountname eingetragen.
Spalte zwei tragt Ihr das neue Passwort ein, welches in den ersten Schritten erstellt wurde. (nicht den Key der an den Recovery Account gesendet wurde)
Und in der letzten Spalte wird das Master Passwort eingetragen, was vor dem Diebstahl des Kontos noch gültig war.

Senden und auf die Bestätigung warten

Bildschirmfoto_20200908_173118.png

Ist es alles erledigt kann das Konto sofort wieder eingesetzt werden und nach ungefähr einer Stunde sollte aus Gründen der Sicherheit das Master Passwort erneuert werden. - Manchmal kann man einfach nicht paranoid genug sein ;)

Letzter Punkt: Master Passwort erneuern und sichern

Das geht auf Hive Wallet und Peaked gleichermaßen leicht.

Bildschirmfoto_20200908_221906.png

Screenshot Hive-Wallet

Einfach wieder die Seite "Change Password" aufrufen und unter "CURRENT PASSWORD" das neue Passwort eingeben und auf "CLICK TO GENERATE PASSWORD" ein neues erstellen lassen.
In der Zeile darunter wird das neu Erstellte Passwort eingetragen und mit den beiden Häkchen und den Klick auf "Update Password" wird die Anfrage gesendet.
Im nächsten Dialog werden alle neuen Schlüssel angezeigt und müssen sicher abgespeichert werden.

Die versprochenen Links:

https://wallet.hive.blog/ (Passwort und Schlüssel ändern, Account recovery wenn hive.block der Recovery account ist)
https://peakd.com/ (Passwort, Schlüssel und Recovery account ändern)
https://reazuliqbal.com/HiveAccountRecovery/ (Zurückholen eines Hive/Steem Account und ändern des Recovery Account)

Bildquellen:
Hive Flames by @doze
Screenshots
https://peakd.com/
https://wallet.hive.blog/
https://reazuliqbal.com/ (HiveAccountRecovery by @reazuliqbal)

Da ich dieses Thema als sehr wichtig erachte, bitte ich bei Unverständnis oder Fragen um einen Kommentar.

deutsch palnet trude german
0
0
0.000
20 comments
avatar
(Edited)

Steht jetzt auf der " To Do Liste " ganz oben.
Danke. 😎
... und natürlich ein !BEER für´s erinnern.

0
0
0.000
Reply
avatar

Bei Dir käme als Recovery Account @mister.reatard in Frage. Dann wärst Du nicht auf die Zeit anderer Leute angewiesen und könntest zu jeder Zeit dein Konto wiederherstellen ;)

0
0
0.000
Reply
avatar

Erledigt.
Jetzt hoffe ich nur, das der Tag nie kommen wird, an dem @mister.reatard sein technisches Talent unter Beweis stellen muss.
Hier noch ein !BEER von uns beiden. 😎🍻

0
0
0.000
Reply
avatar

Congratulations @condeas! You have completed the following achievement on the Hive blockchain and have been rewarded with new badge(s) :

You distributed more than 22000 upvotes. Your next target is to reach 23000 upvotes.

You can view your badges on your board and compare yourself to others in the Ranking
If you no longer want to receive notifications, reply to this comment with the word STOP

Do not miss the last post from @hivebuzz:

HiveBuzz supports meetups of the Hive UK Community
0
0
0.000
Reply
avatar

Puh, bin ich froh, dass ich das schon vor einigen Wochen erledigt hab.
!invest_vote
!engage 33
!BEER

0
0
0.000
Reply
avatar

Lieber @condeas,

wow, da hast du dir aber echt viel Arbeit für uns gemacht.
Herzlichen Dank dafür!
Das ist eine ganz tolle Zusammenfassung.

Ein kleiner, wie ich finde, Widerspruch ist mir aufgefallen.
Du schreibst:

So ist es mir nur mit dem Passwort gelungen, auf dem Hive Wallet alle privaten Schlüssel anzeigen zu lassen. Bei der Eingabe des privaten Owner key, wurde auch nur der Owner key angezeigt und alle anderen blieben verborgen.

Und weiter unten schreibst du:

Meine Schlussfolgerung daraus ist, dass wenn das Master Passwort verloren gegangen ist, gibt es keine Möglichkeit mehr den Owner key herauszufinden.

Also, noch mal vielen Dank!

Lieben Gruß, @double-u

0
0
0.000
Reply
avatar

Naja, falsch ist es nicht. Auf Hive hat man ein Passwort und vier verschiedene Schlüssel.
Nehmen wir mal an, dass man eine Datei mit vier verschiedenen Schlüssel hat, welche man nicht zuordnen kann. Dann könnte man versuchen, durch Anmelden auf Hive Wallet oder auf Peaked mit dem "Key Validator", herauszufinden, welcher Schlüssel der einzelne ist.

Bildschirmfoto_20200909_215522.png

Wenn alle vier Schlüssel vorhanden sind, ist es kein Problem und man könnte ohne dem Einsatz des Master Passwort die Schlüssel zuordnen. Sind aber nur noch drei Schlüssel vorhanden und ausgerechnet der Owner Key ist nicht dabei, dann kann man unter "REVEAL ALL KEYS" durch Eingabe des Master Passwortes den Owner Key wieder sehen und abspeichern.
Ist nun aber der Owner Key und das Master Passwort weg, dann gibt es keine Möglichkeit mehr, jemals Passwort und Schlüssel zu ändern. Sobald aber einer von beiden noch vorhanden ist, ist es immer noch durch ändern des Passwortes möglich, alle Schlüssel zu erneuern und wieder abzuspeichern.
es muss also immer mindestens einer dieser Schlüssel vorhanden sein, dann hat man immer noch die Möglichkeit alle Schlüssel und das Passwort zu ändern.

0
0
0.000
Reply
avatar

Danke dir!

Ich speichere deinen Post jetzt mal unter WICHTIG ab ;-)

0
0
0.000
Reply
avatar

Danke für diesen absoluten Mehrwert. Muss meinen Recovery account auch noch ändern. Wird heute abend gemacht.

LG Michael

!invest_vote
!jeenger

0
0
0.000
Reply
avatar

Ist wirklich das vernünftigste was man machen sollte.
Das Beste ist immer, man erstellt sich einen Zweitaccount und setzt diesen dann als Recovery Account ein.

0
0
0.000
Reply