关于 steemit 账号安全, 提几点建议
早上看到小山村的账号被盗了, 转账转了不少, 之前被小山村点赞了很多次, 这次也很是愤慨, 盗号者可恨可气.
气愤之余, 也想想后面怎么不发生类似的事情, 先说结论:
除了在 steemit 上面登录以外, 其他一切第三方产品, 我不是针对谁, 我是说所有的, 无论是什么 app 还是什么浏览器插件还是什么代理还是什么 steemconnect 还是什么银行还是什么 utopian 还是什么 esteem 还是什么 dtube 或者 dlive 还是什么鬼, 如果不是使用 private posting key 登录, 就是耍流氓. 请不要在第三方产品上使用别的 key, 尤其是你的 password.
如果你用过第三方产品, 并且不确定自己是不是使用 private posting key 登录, 那么请重置密码, 重置其他 key. 因为哪天你忘了 steemit, 或者你长时间不用 steemit 了, 或者你睡觉了, 你赚来的 steem 就会被别人转走, 而你根本不知道, 即使知道了也毫无办法.
你登录第三方无非图利, 但是套用 p2p 时候的名言: 你看重的是利息, 人家看重的是你的本金. 别傻.
说完结论说说建议, 这是对系统说的:
第一, 希望 steemit 增加 IP 记录机制, 这样可以有效追踪账号使用者在哪里登录了账号, 也可以识别出是否是安全的登录行为, 如果 IP 变化, 可以采用二次认证, 如短信验证码等. 即使没有二次认证, 有了犯罪者的 IP 信息, 至少可以报案立案.
第二, 像前面说的, 希望 steemit 增加二次认证机制, 无论是短信验证码, 还是 email 验证码, 或者物理 key, 都可以对犯罪成本和犯罪技术的要求度有所增加, 有效防止低劣的犯罪手段
第三, 增加定时强制更新 key 要求. 很多用户在不知情的情况下被模糊的宣传暂时上了贼船, 用了第三方服务, 却忘了下贼船, 或者贼船变更了服务条款, 也傻乎乎的不知情, 所以这种让用户自己更新 key 的功能基本无用, 因为懂得自己更新 key 的用户基本也不会上贼船. 所以希望系统能够定时强制用户更新 key 的服务. 具体机制可以好好设计一下.
对于普通用户, 其实还是结论最重要, 第三方服务, 请只使用 private posting key, 千万不要用 active key 或者密码. 那都是流氓行径.
尤其是那些自动点赞的服务,千万小心,反正我从来不用。