最近大家的热情可能被PAL的空投燃爆了,毕竟天上掉馅饼还是不是陷阱的事不是时常都有的。
(图源 :pexels.com)
不过对于我这种从来不在其它第三方网站填入私钥的用户,要在申领空投时输入密码或者Active Key,是对我心理的一大挑战。
好吧,其实我是相信steemconnect以及steem-engine网站作者都是好的,网站都是安全的,可是万一他们站点被黑了呢?万一我的浏览器被劫持了呢?(强迫症伤不起)
难道就放弃即将到手的肥肉嘛?这也和我性格不符,一定要想个办法,既能拿到空投,又能让私钥/密码不存在泄露的风险。
还别说,真有这样的方法,答案是给账户附加临时的Active Key,用后再删除掉。
操作步骤
至于如何实现,也很简单啦,把大象装冰箱大致分为四步:
- 创建公私钥对
这个可以使用steem-python的PasswordKey来实现pwk = PasswordKey("youraccount", "yourpasswd", role='active')print("Posting private key:", pwk.get_private())print("Posting public key:", pwk.get_public()) - 将上述代码生成密钥对绑定到账户
active权限组steempy allow --account oflyhigh --permission active STM7Dk7PLNDfq2ixxxxx - 用上述密钥对中的私钥(Active key)去欢快地领空投
- 删除密钥对和账户的关联
steempy disallow --account oflyhigh --permission active STM7Dk7PLNDfq2ixxxxx
Posting key登录steem-engine的问题
上述方式生成临时active key领空投没问题,但是我生成posting key用来登录steem-engine好像行不通,不知道是我操作有误还是他们代码处理不妥,不过无所谓了,Posting key毕竟没那么重要。
换密码
好吧,其实换领空投后换个密码似乎也是不错的办法,可是因为我的私钥有一些其它关联,换密码就影响我私钥的关联了,所以只能用上述笨方法了。
补充说明
操作之前先要安装steem-python库,以及将当前的active私钥导入到钱包。你可能会问,这个不是还是要私钥嘛?不也存在泄露密钥的风险嘛?答案是我装的版本代码我review过,不存在风险。(当前版本我没看过,风险自负)
再有就是只要是合法的公私钥对就可以,其实上述代码中的账户啊、密码啊、以及角色啥的都没用的,除非你想直接用密码。
重要提示
使用文中脚本和代码风险自负,除非你理解你做的每项操作,否则请不要轻易尝试。
尤其是不要直接使用上述代码生成的密钥对,必须改成适合自己的内容,否则有可能导致账户被盗。
不当的操作可能导致你的账户无法使用。
有一个不知道是谁的马甲 @sct.dean 曾在我帖子底下回复:
新创建了一个active key专门用于授权。 這是啥意思?? 怎麼搞??
当时忙,况且也不认识,就没搭理他,这里一并回复了。
https://steemit.com/~witnesses type in
oflyhigh and click VOTE
Vote @oflyhigh via Steemconnect
Thank you!
This page is synchronized from the post: ‘使用临时私钥安全地拿空投,兼答复@sct.dean’