- сейчас и стандартный (входящий в дистрибутив Nxt) web-клиент подписывает транзакции приватным ключом пользователя на стороне клиента (т.е. в браузере), и передаёт на Nxt-сервер raw-транзакцию (набор байт), и серверу остаётся только разослать этот набор байт соседним нодам для включения в очередной форжащийся блок.

Онлайн-кошелёк от MyNXT.info делает то же самое (т.е. пользователь должен вводить свой "master password" для перемещения своих NXT), но ещё добавляет email/пароль для входа в кошелёк (видимо, чтобы сохранять настройки интерфейса для удобства пользователя. Восстановить свой master password это не позволит).


- поскольку кейлоггеры находятся на стороне клиента, это не спасает.
До некоторой степени обмануть кейлоггеры можно при помощи виртуальной клавиатуры, или менеджера паролей типа keypass.