Presentación de Hive Account Recovery
Afortunadamente, cada cuenta en la blockchain de Hive está vinculada a una cuenta de recuperación que puede restablecer la clave del propietario de la cuenta comprometida, permitiendo a su propietario original actualizarla con una nueva contraseña y claves.
¿Cómo funciona el proceso de recuperación?
Usted genera una nueva contraseña y un conjunto de pares de claves públicas y privadas relacionadas.
Pides a la cuenta de recuperación que restablezca tu contraseña proporcionándole la nueva clave pública de propietario.
La cuenta de recuperación inicia el cambio de tus credenciales
Tienes 24 horas para confirmar el cambio.
Este post no explicará en detalle cómo realizar estas operaciones, sino que explicará el problema que puede surgir y la solución que propongo para remediarlo.
Para conocer los detalles de cómo afrontar el proceso de recuperación, puedes leer este excelente post escrito por @abitcoinskeptic. Aunque está un poco desactualizado, sigue siendo muy didáctico.
La Cuenta de Recuperación - Una piedra angular de confianza
¿Qué es la cuenta de recuperación?
La cuenta de recuperación es otra cuenta de Hive que es capaz de iniciar la recuperación de tu cuenta, en caso de que la solicites después de que tu cuenta haya sido comprometida. Para que la recuperación sea posible, a menudo hay que pasar por un proceso. En Steemit, Inc. necesitas enviarles una contraseña reciente de tu cuenta, utilizada hace no más de 30 días. Se requerirá más información para determinar que eres el propietario legítimo.
¿Cuál es el papel de la cuenta de recuperación?
El deber del titular de la cuenta de recuperación es asegurarse de que quien solicita la recuperación de la cuenta es el verdadero propietario de la cuenta que se va a recuperar antes de iniciar el procedimiento de recuperación de la cuenta.
¿Qué pasa si la Cuenta de Recuperación no inicia el proceso de recuperación?
¡Estás jodido! Esta cuenta es la única que puede iniciar el proceso de recuperación.
Como puede ver, sin que la cuenta de recuperación realice los pasos 3 del proceso de recuperación, es imposible finalizar el proceso de restablecimiento de su clave de propietario.
¿Por qué el titular de la cuenta de recuperación no inicia el proceso de recuperación?
Puede haber muchas razones para ello.
Su propietario podría no ser capaz de verificar que usted es el verdadero dueño de la cuenta a recuperar
Su propietario podría no responder (estar ilocalizable o incluso muerto)
Su propietario podría pedirte un rescate para realizar la tarea
Has engañado al propietario con su mujer o marido y ahora se venga negándose a cumplir.
... y muchas otras razones.
Bromas aparte, creo que los casos 1 y 2 son los más probables, el punto 2 es el que tiene más factor de riesgo.
Muchas de las cuentas en la blockchain de Hive han sido creadas por Steemit, inc y todavía tienen @steem como cuenta de recuperación. No estoy seguro de que muchos sigan confiando en ellos como cuenta de recuperación.
Esto también es un problema para las cuentas que son creadas por usuarios regulares que han reclamado tickets de cuenta usando sus créditos de recursos no utilizados y los están usando para crear cuentas para otros.
Cuando crean una cuenta utilizando sus tickets disponibles, se establecen por defecto como "cuenta de recuperación". Una responsabilidad que quizás no sabían que tenían, no pidieron y no quieren. Algunos pueden volverse inactivos con el tiempo o estar ilocalizables cuando alguien los necesite para recuperar su cuenta.
Entonces hay un problema.
Cómo mitigar estos riesgos.
Por lo tanto, la elección de su cuenta de recuperación es de suma importancia. Necesita una persona de confianza pero, sobre todo, fiable que
sea capaz de identificarle con seguridad.
pueda contactar en cualquier momento en el futuro.
Cambiar tu cuenta de recuperación de @steem a @hive.io no solucionará nuestro problema. Principalmente porque hive.io no es una entidad que pueda ser totalmente "confiable" aunque la mayoría de las personas que están involucradas en su desarrollo sean personas confiables. Tampoco es "fiable" porque no se ha puesto en marcha ninguna estructura que garantice dicho servicio y disponibilidad 24x7.
Aquí es donde entra Hive Recovery.
Hive Recovery es un servicio que he puesto en marcha para que funcione de forma ininterrumpida y es completamente autónomo.
Navegue hasta https://tools.hivechain.app/recovery
Es una página web muy sencilla donde puedes definir de forma segura @hive.recovery tiene tu cuenta de recuperación y asegurar tu (futuro) proceso de recuperación.
A - ¿Cómo configurar la cuenta de recuperación?
Rellene el formulario con:
su nombre de usuario (sin la @)
su contraseña maestra (lea más abajo por qué se pide)
su dirección de correo electrónico. Esto es opcional pero añadirá más seguridad al proceso de recuperación (más adelante en este post)
una frase de contraseña secreta que tú y sólo tú conocerás (puedes encontrar un generador de frases de contraseña en línea muy interesante aquí)
Una vez listo, haz clic en el botón Enviar
En este paso del proceso, la página web cifrará el nombre de tu cuenta y tu dirección de correo electrónico (si la has proporcionado) utilizando tu frase de contraseña (llamemos al resultado de este cifrado E1).
A continuación, la página web
encriptar el E1 una vez más utilizando tanto su clave memo como la de @hive.recovery e insertarlo en el memo de una microtransferencia
cambiará tu cuenta de recuperación a @hive.recovery
Ambas operaciones se realizan de forma atómica, lo que significa que si una de las operaciones falla, ninguna de ellas queda registrada en la blockchain.
Confirma la difusión de las operaciones y ya está.
Guarda de forma segura tu frase de contraseña secreta (separada de la contraseña de tu cuenta y de las claves).
¡La necesitarás más adelante si alguna vez necesitas recuperar tu cuenta!
Después de configurar tu @hive.recovery como tu cuenta de recuperación, tienes que esperar 30 días antes de que @hive.recovery se convierta en tu cuenta de recuperación y antes de que puedas iniciar una recuperación. Esto es para asegurar que alguien que acceda a tu cuenta no pueda actualizar la información de recuperación en su propio beneficio y luego iniciar el proceso de recuperación y bloquearte.
¿Por qué necesitan mi contraseña maestra?
Su contraseña maestra se utiliza para recuperar
su clave privada de propietario: esta clave es obligatoria para emitir la operación change_recovery_account al blockchain. También se utilizará para enviar la operación de (micro)transferencia.
su clave privada de memo: esta clave se utilizará para encriptar el memo de la mencionada transferencia.
Su contraseña maestra o sus claves privadas NO serán almacenadas ni enviadas por Internet por el proceso de configuración de la recuperación de la cuenta.
B - ¿Cómo recuperar mi cuenta?
Sólo puede iniciar una solicitud de recuperación de su cuenta al menos 30 días después de realizar el paso anterior, ya que sólo a partir de este momento @hive.recovery será oficialmente su cuenta de recuperación.
Así que, digamos que tu cuenta ha sido desgraciadamente comprometida y ahora es el momento de recuperarla.
Navega a https://tools.hivechain.app/recovery y ve a la segunda parte de la página
Rellena el formulario con:
Tu nombre de usuario (sin la @)
La frase de contraseña secreta que has utilizado para configurar tu cuenta de recuperación (paso A).
La clave pública del propietario de un nuevo conjunto de contraseñas y claves que hayas generado previamente para tu cuenta (más adelante)
A continuación, haga clic en el botón "Generar correo electrónico". Esto hará que su cliente de correo electrónico predeterminado cree un nuevo correo electrónico listo para enviar con los campos "para", "asunto" y "cuerpo" previamente rellenados.
Si su cliente de correo electrónico no se abre, puede enviar un correo electrónico manualmente a recovery[at]hivechain.app y copiar el texto de Recovery Request Payload en el cuerpo de su correo electrónico. El asunto no importa. Puedes poner lo que quieras ahí.
ADVERTENCIA: Si proporcionaste una dirección de correo electrónico a tu memo cuando configuraste la cuenta de recuperación, ¡debes enviar el correo electrónico desde la misma dirección de correo electrónico!
Cuando reciba su correo electrónico, @hive.recovery analizará esta carga útil y
verificar que es la cuenta de recuperación de la cuenta proporcionada
buscará la micro-transferencia con el memo encriptado
verifica que puede descifrar el memo usando la frase de contraseña proporcionada
verificar si el nombre de la cuenta en el correo electrónico coincide con el nombre de la cuenta en el memo descifrado
si se ha proporcionado una dirección de correo electrónico en el paso A, verificar si la dirección de correo electrónico utilizada para enviar la carga útil es la misma que la dirección de correo electrónico del memorándum descifrado.
Si se superan todas estas pruebas, @hive.recovery iniciará el procedimiento de recuperación utilizando la nueva clave pública de propietario
Lo último que tendrás que hacer es confirmar la solicitud de recuperación en un plazo de 24 horas.
¿Cómo de seguro es este servicio?
Teniendo en cuenta que tu cuenta es segura al hacer el paso A, tú eres el único que puede hacer la microtransferencia usando tu clave activa y encriptar la información usando tu clave memo. Si un hacker cambia tu contraseña, tus claves también cambiarán. De esta manera, @hive.recovery puede identificarte con seguridad.
Además, recuerda que se utiliza un doble proceso de encriptación
encriptación de tus datos usando tu frase de contraseña -> E1
encriptación de E1 usando claves de memo -> E2
Con este proceso de doble cifrado, sólo tú y @hive.encrypted podéis acceder a E2 y leer E1, pero @hive.encrypted no puede descifrar E1 porque no tiene tu frase de contraseña. Nadie, ni siquiera @hive.recovery, puede leer el contenido de E1 hasta que proporciones la frase de contraseña para descifrarlo.
Incluso si un actor malicioso encuentra tu frase de contraseña, no podrá acceder a E1 porque primero necesitará tu clave privada de memo para descifrar E2.
Un atacante necesitaría obtener tu frase de contraseña Y tu clave memo (Y opcionalmente tu dirección de correo electrónico y su control) para poder bloquearte en el proceso de recuperación.
Por otro lado, si estos son seguros y si @hive.recovery puede descifrar E1 y la información que contiene coincide con tus datos, entonces puede identificarte con certeza e iniciar con seguridad el proceso de recuperación por ti.
Un poco de privacidad.
El único elemento privado que comunicas a @hive.recovery (y por tanto a mí) es una dirección de correo electrónico. Por razones obvias, esta dirección de correo electrónico no puede ser temporal. Por lo tanto, podemos considerar que usted podría ser identificado con esta dirección de correo electrónico.
Un poco sobre la privacidad
El único elemento privado que comunicas a @hive.recovery (y por tanto a mí) es una dirección de correo electrónico. Por razones obvias, esta dirección de correo electrónico no puede ser temporal. Por lo tanto, podemos considerar que usted podría ser identificado con esta dirección de correo electrónico.
Sin embargo, recuerde que esta información está encriptada con su frase de acceso. Por lo tanto, nadie que no tenga esta frase de contraseña tiene acceso a ella. Este es también el caso de @hive.recovery y el mío, que sólo podrá acceder a ella desde el momento en que inicies un procedimiento de recuperación
Para los más paranoicos que aún no se fían de mí, lo cual es perfectamente aceptable, pueden libremente no utilizar esta opción. Sólo se proporciona para añadir un nivel adicional de seguridad.
Haga su propia investigación
La página web está alojada en https://tools.hivechain.app/recovery
No la ejecute desde un sitio web que no sea de confianza
Ejerce la debida diligencia (no debes confiar en mí ? ).
El código fuente está disponible en Github. Puedes descargarlo y ejecutarlo localmente.
ACTUALIZACIÓN:
Varias personas me han señalado con razón que la extensión Hive Keychain no funciona cuando la página web no está alojada en un servidor remoto. Por lo tanto, he decidido eliminar la integración de Hive Keychain para que ahora se pueda ejecutar completamente de forma local y sin tener que utilizar a un tercero.
La buena noticia es que también solucionará el problema de las personas que se sentían excluidas por usar Hivesigner.
El único inconveniente es que ahora hay que introducir datos sensibles. Por lo tanto, sea precavido y compruebe dos veces desde dónde está ejecutando la página y, si es posible, audite el código que está ejecutando.
Soporte
El soporte para este servicio se proporciona en el servidor de Hivechain.app en Discord. Utiliza el canal dedicado a la recuperación de cuentas.
fuente: https://peakd.com/hive/@arcange/introducing-hive-account-recovery