Hallo zusammen,

zu jedem STEEM Account gehören ein Passwort und 4 weitere Schlüsselpaare. Diese Komplexität ist insbesondere für neue Benutzer sehr verwirrend und schwer zu verstehen.

Image Credit Pixabay

Dieser Beitrag soll ein wenig in die Thematik einführen, da Kenntnisse des STEEM-Schlüssel-Konzeptes notwendig sind, wenn man auf lange Sicht verhindern will, daß man den Zugriff auf seinen Account durch Unachtsamkeit, Schadsoftware, Phishing-Seiten oder Hackerangriffe verliert.

Das Passwort - der Generalschlüssel eines Accounts

Legt man einen neuen STEEM Account an, fordert steemit.com den Benutzer zum Abspeichern des Passworts auf. Standardmäßig wird dieses Passwort von steemit.com generiert (rote Zeichenkette im Textfeld GENERATED PASSWORD). Dieses Passwort muss nochmals im Eingabefeld RE-ENTER GENERATED PASSWORD eingegeben werden, bevor man es durch Klicken auf UPDATE PASSWORT ändern kann.

Dieses Passwort darf man NIEMALS verlieren oder anderen Personen mitteilen! Es ist der Generalschlüssel für Deinen STEEM Account.

Verlierst Du ihn, kannst Du nicht mehr auf Deinen Account zugreifen, und niemand kann Dir helfen. Deshalb das Passwort unbedingt mehrfach sichern, d.h. beispielsweise mehrmals auf Papier aufschreiben und diese Kopien an mehreren Orten hinterlegen.

Falls Du das Passwort aus Versehen anderen Personen mitgeteilt hast, dann solltest Du es so schnell wie möglich über https://steemit.com/change_password ändern.

In der Vergangenheit kam es leider schon öfters vor, daß Benutzer ihr Passwort bei STEEM-Überweisungen in das MEMO-Feld eingetragen hatten. Dadurch wird das Passwort für jedermann lesbar in die Blockchain geschrieben. Es ist nur eine Frage der Zeit, bis dieser Fehler erkannt wird, und eine fremde Person das Passwort dieses Accounts ändert. Falls Dir das passiert, dann hilft nur noch ein Stolen Accounts Recovery via https://steemit.com/recover_account_step_1, was aber nur in den ersten 30 Tagen nach dem "Diebstahl" eines Accounts möglich ist.

Aus dem Passwort werden 4 Schlüsselpaare abgeleitet

Wie bereits erwähnt wurde, ist das Passwort der Generalschlüssel eines STEEM Accounts. Mit Kenntnis des Passworts kann man unter anderem

• Beiträge und Kommentare scheiben
• Beiträge und Kommentare voten
• STEEM und SBD zu anderen Accounts transferieren
• das Passwort des Accounts ändern

Es kommt immer wieder vor, daß ein Computer mit Schadsoftware befallen ist, welche Passwörter auslesen und an Angreifer versenden kann. Auch wurden in letzter Zeit erste Phising-Angriff auf Steem-Benutzer berichtet. Aus dem Grund sollte man sich NIEMALS mit dem Passwort auf steemit.com einloggen oder dieses auf fremden Webseiten oder in Smartphone Apps eingeben.

Stattdessen werden auf der STEEM Blockchain mittels eines asymmetrischen Verschlüsselungsverfahrens für jeden Benutzer 4 Schlüsselpaare generiert, welche man für die verschiedenen Aktivitäten benutzen sollte. Man kann sich die öffentlichen Schlüssel jedes Benutzers der STEEM Blockchain anschauen, beispielsweise mit https://steemd.com.

Die privaten Schlüssel eines Accounts kann dagegen nur der Besitzer des Accounts einsehen. Dazu öffnet man seine Wallet und klickt auf den Reiter Permissions.

Auch hier werden zunächst wieder nur die öffentlichen Schlüssel angezeigt (Screenshot oben), die privaten Schlüssel sieht man nur, wenn man auf die Schaltflächen SHOW PRIVATE KEY bzw. LOGIN TO SHOW klickt (Screenshot unten).

Um auf den ersten Blick zu Erkennen, ob ein Schlüssel öffentlich oder privat ist, reicht es den Anfang an des Schlüssels anzuschauen. Beginnt der Schlüssel mit den Buchstaben STM, dann handelt es sich um einen öffentlichen Schlüssel, beginnt er dagegen mit der Zahl 5 oder mit P5, dann ist es ein privater Schlüssel oder das Passwort.

Der POSTING Key

Für die meisten Aktivitäten auf Steemit.com reicht der POSTING Key vollkommen aus. Mit diesem Schlüssel kann man Artikel schreiben, kommentieren und voten. Es ist empfehlenswert, nur diesen Key für die Anmeldung auf steemit.com oder den diversen anderen Portalen und Apps rund um die STEEM Blockchain zu verwenden, da der POSTING KEY keine Rechte hat, STEEM bzw. SBD aus Deiner Wallet in eine andere Wallet zu senden bzw. das Passwort Deines Accounts zu ändern.

Der ACTIVE Key

Für sicherheitskritische Aktivitäten wie beispielsweise das Versenden von STEEM oder SBD an andere Accounts benötigt man den ACTIVE Key. Es ist empfehlenswert, diesen Schlüssel nur dann zu verwenden, wenn steemit.com explizit den Active Key anfordert.

Der oben gezeigte Dialog erscheint, wenn ein Transfer von STEEM oder SBD signiert werden soll. Steemit.com fordert hier entweder den Active Key, den Owner Key oder das Passwort. Da der Active Key der Schwächste der 3 Schlüssel ist, sollte man diesen verwenden. Außerdem sollte man kein Häkchen bei Keep me logged in setzten, da sonst der Active Key im Browser gespeichert wird.

Der MEMO Key

Der MEMO Key ist der Schwächste der 4 Schlüssel. Mit ihm kann man verschlüsselte Nachrichten an andere STEEM Accounts senden. Eine gute deutsche Anleitung zu dem Thema hat @flurgx geschrieben.

https://steemit.com/deutsch/@flurgx/wie-du-verschluesselte-nachrichten-auf-steemit-versendest

Der OWNER Key

Der OWNER Key führt meiner Erfahrung nach zu den größten Verwirrungen. Ich bin auch mehr als ein Jahr lang fälschlicherweise davon ausgegangen, daß das Passwort und der Owner Key identisch sind. Das ist aber nicht so. Diese Fehlannahme wurde insbesondere dadurch genährt, daß man sich den OWNER Key nicht in der eigenen Wallet unter Permissions anzeigen lassen kann.

Der OWNER Key ist der Mächtigste der 4 Schlüssel, mit ihm kann man schreiben, kommentieren, voten, STEEM/SBD transferieren und das Passwort sowie die 4 Keys des Accounts ändern.

Aus dem Passwort werden 4 Schlüsselpaare generiert

Um den Zusammenhang zwischen dem Passwort und den 4 Account Keys zu verstehen, schauen wir uns einfach mal an, was STEEM intern beim Ändern des Passworts eines Accounts passiert.

Auf der STEEM Blockchain wird eine account_update Transaktion gespeichert, welche die 4 neuen öffentlichen Schlüssel für OWNER, ACTIVE, POSTING und MEMO bekanntgibt.

Man kann sich die 4 Schlüsselpaare auch offline berechnen lassen. Dafür werden nur der Account-Name und das Account Passwort benötigt. @noisy hat dafür eine schöne Anleitung geschrieben:

https://steemit.com/security/@noisy/public-and-private-keys-how-to-generate-all-steem-user-s-keys-from-master-password-without-a-steemit-website-being-offline

Unten eine etwas angepaßte Version vom Skript von @noisy für Steem Python, in welchem man nur die Werte für den Account-Name (account) und das Account-Passwort (password) ändern muss.

Das Skript generiert die Schlüsselpaare für die 4 Keys.

STEEM-intern werden die Zeichenketten von

• Account-Name
• Schlüsselart (owner, posting, active, memo)
• Account-Passwort

aneinandergehangen und mit SHA256 gehashed. Das ergibt den Private Key des jeweiligen Schlüssels. Hier der entsprechende Code-Schnipsel aus Steem Python.

Der dazugehörige Public Key wird direkt aus den Private Keys generiert (nicht im Code dargestellt).

Das Passwort ist nicht in der Blockchain gespeichert

Abschließend noch ein paar Sätze zum Unterschied zwischen Passwort und Owner Key. In der Blockchain ist das Passwort eines Accounts nicht gespeichert, sondern nur der aus dem Passwort abgeleitete öffentliche Owner Key, welcher (vereinfacht dargestellt) mit der Funkion

• PUBLIC_KEY_FROM( SHA256( Accountname + "owner" + Accountpasswort ))

berechnet wird.

Du kannst Dich dennoch mit Deinem Passwort auf Steemit.com einloggen, weil man aus dem Passwort mit der oben genannten SHA256-Funktion den zugehörigen Owner Key berechnen und diesen Wert mit dem in der Blockchain abgespeicherten öffentlichen Owner Key vergleichen kann. Stimmen beide Owner Keys überein, dann hat der Benutzer das richtige Passwort eingegeben.