Ledger 101 - Parte 3: best practice quando si utilizza un portafoglio hardware

Le precedenti puntate della serie Ledger 101 hanno dimostrato la necessità di utilizzare un portafoglio hardware e l'importanza di utilizzare chip sicuri per costruirli.

I portafogli hardware ti danno la proprietà e il controllo delle tue risorse crittografiche. Ma con grandi poteri derivano grandi responsabilità: essere la tua banca non è certo banale e richiede disciplina. L'uso di un portafoglio hardware non ti rende invincibile contro ingegneria sociale, minacce fisiche o errori umani. Devi sempre usare il buon senso e applicare i principi di sicurezza di base.

Ci sono cinque regole d'oro di base

  • Non condividere mai la tua frase di recupero di 24 parole, in qualsiasi forma, con nessuno.
  • Non memorizzare mai la frase di recupero su un computer o smartphone.
  • Mantieni il tuo foglio di recupero fisicamente sicuro per assicurarti di non poterlo perdere o distruggerlo per caso.
  • Fidati solo di ciò che puoi vedere sullo schermo del tuo portafoglio hardware. Verifica il tuo indirizzo di ricezione e le informazioni di pagamento sul tuo dispositivo.
  • Trattare sempre con attenzione le informazioni visualizzate sullo schermo del computer o dello smartphone. Supponiamo che il software possa essere compromesso in qualsiasi momento.

La frase di recupero di 24 parole

Quando si inizializza il portafoglio hardware per la prima volta, verrà richiesto di scrivere 24 parole su un foglio di ripristino. Queste 24 parole sono chiamate frase di recupero e sono un backup leggibile dall'uomo da cui derivano tutte le tue chiavi private. Sono utilizzati per ripristinare l'accesso alle tue risorse crittografiche su un altro dispositivo Ledger o qualsiasi altro portafoglio compatibile.

Foglio di recupero del libro mastro contenente la frase di recupero di 24 parole

Principi generali di sicurezza

Esistono due motivi di base per cui è necessario accedere alla frase di recupero:

  • Perdita o distruzione del portafoglio hardware: è possibile inserire la frase di recupero su un nuovo dispositivo per ripristinare l'accesso completo alle risorse crittografiche;
  • Clonazione su un nuovo dispositivo: inserendo le tue 24 parole su un altro dispositivo, sarai in possesso di due portafogli hardware che puoi utilizzare indipendentemente. Ad esempio, uno in ufficio e uno a casa tua, impedendoti di trasportarlo sempre. Un altro motivo per clonare un dispositivo sarebbe quando si passa a un modello più recente.

Come puoi facilmente dedurre da ciò, chiunque ottenga l'accesso a queste 24 parole avrebbe accesso immediato alle tue risorse crittografiche. Il codice PIN sul tuo portafoglio hardware è una protezione relativa solo al tuo dispositivo ed è totalmente inutile per il recupero delle chiavi private.

Pertanto, è della massima importanza che la fase di recupero sia correttamente protetta. Qualsiasi compromesso, in qualsiasi momento, potrebbe portare a perdite catastrofiche;

  • Non scattare mai una foto del tuo foglio di recupero. Lo smartphone non è sicuro e, peggio ancora, potrebbe essere caricato automaticamente sul tuo cloud storage;
  • Non inserire mai la tua frase di recupero su nessun computer o smartphone: potresti avere keylogger e la memorizzazione di queste informazioni online (anche crittografate) vanifica completamente lo scopo di utilizzare un portafoglio hardware;
  • Non mostrare o condividere le tue 24 parole a nessuno (compresi amici e parenti). Se decidi di condividere, tieni pienamente conto che hanno un potenziale accesso a tutte le tue risorse crittografiche, in qualsiasi momento e senza un modo semplice per revocare l'accesso;
  • Conservare il foglio di recupero in un luogo sicuro, protetto da luce solare, umidità e fuoco. Se viene distrutto per qualsiasi motivo, è necessario spostare immediatamente la crittografia su un portafoglio hardware appena impostato;

Inoltre, è fondamentale assicurarsi di aver generato personalmente la frase di recupero di 24 parole. Mai e poi mai usare un dispositivo preconfigurato. Mai e poi mai usare un set di 24 parole fornito altrove che sul dispositivo stesso. Devi assicurarti di essere l'unico al mondo ad avere conoscenza di questa specifica frase di recupero.

Poiché la disponibilità della frase di recupero è fondamentale, potresti voler verificare di averla scritta correttamente e di poterla effettivamente leggere senza errori. Per un Ledger Nano S, puoi verificarlo con l'app Recovery Check. Questa app ti consente di inserire la frase di recupero di 24 parole e controlla se corrisponde alle chiavi private sul tuo dispositivo. Per ulteriori informazioni, consultare il video dedicato.

Principi generali di sicurezza

Avere un portafoglio hardware configurato con un backup verificato in un luogo sicuro può proteggerti da un attacco digitale, ma sei ancora vulnerabile a potenziali minacce fisiche come un furto con scasso o una situazione di ostaggio. Ecco perché è necessario seguire queste regole di base:

  • Non dire mai a nessuno che possiedi criptovalute. In tal caso, assicurati di mantenere il valore reale delle tue risorse per te. Se le persone ti chiedono quanti bitcoin possiedi, rispondi semplicemente alla domanda chiedendoti quanti euro / dollari possiedono;
  • Se sei attivo nella comunità di criptovaluta online, proteggi la tua vera identità e fai sempre attenzione alle informazioni che condividi. Non vuoi diventare il bersaglio di una rapina;
  • Non conservare il foglio di recupero in una cassaforte a casa. Un caveau di una banca è molto più sicuro. Non avere accesso immediato al backup aumenta la capacità di recupero dalle minacce fisiche;
  • Se hai grandi quantità di criptovalute a cui non hai bisogno di un accesso frequente, tieni al sicuro anche il tuo portafoglio hardware in banca. È possibile utilizzare un altro portafoglio hardware con importi inferiori per un uso frequente;

Affidati solo al tuo portafoglio hardware

Il tuo portafoglio hardware richiede un'app associata per interagire con te e accedere a Internet, in modo da poter controllare il saldo sul computer, ottenere la cronologia delle transazioni e trasmettere nuove transazioni. Ledger Live è l'applicazione di Ledger disponibile per PC, Mac e Linux. I dispositivi di contabilità generale funzionano anche con applicazioni non create da Ledger.

In linea di principio, è molto difficile verificare l'integrità del software sul computer. È quindi necessario presumere che il computer sia compromesso e che ciò che vedi sullo schermo possa essere manipolato.

Puoi fidarti solo del tuo portafoglio hardware.

Passaggi di sicurezza per verificare il tuo indirizzo di ricezione

Quando devi condividere il tuo indirizzo di ricezione in modo da poter essere il destinatario di un pagamento, devi prendere ulteriori precauzioni per assicurarti di non cadere vittima di un uomo nel mezzo dell'attacco. Un utente malintenzionato che controlla lo schermo del tuo computer potrebbe mostrarti un indirizzo errato che lo renderebbe il beneficiario di qualsiasi transazione inviata ad esso.

È necessario verificare l'indirizzo di ricezione visualizzato sullo schermo visualizzandolo sul dispositivo.

Quando si richiede un indirizzo di ricezione su Ledger Live, viene richiesto di connettere il portafoglio hardware e aprire l'app corrispondente. L'indirizzo verrà quindi mostrato sul display sicuro del dispositivo e sarai in grado di verificare che corrisponda a quello sullo schermo.

Se stai utilizzando il codice QR per trasmettere l'indirizzo, assicurati di verificare l'indirizzo dopo averlo scansionato.

Se stai utilizzando un portafoglio software senza questa funzione (molte applicazioni di terzi sono compatibili con i dispositivi Ledger), ti consigliamo di inviare prima una piccola quantità, per assicurarti di averlo ricevuto correttamente. Questo test dovrebbe idealmente essere eseguito su un altro computer. Puoi riutilizzare l'indirizzo che hai appena verificato per il test.

Passaggi di sicurezza per verificare l'indirizzo del beneficiario

Quando si desidera inviare una transazione, in genere si ottiene l'indirizzo del destinatario su una pagina Web o tramite un servizio di comunicazione. Un banale attacco per un malware sarebbe quello di sostituire questo indirizzo con uno proprio. Alcuni software dannosi stanno semplicemente monitorando gli Appunti per sostituire l'indirizzo appena copiato da uno appartenente all'attaccante.

Per evitare di cadere vittima di questo attacco, verifica sempre l'indirizzo del beneficiario sul dispositivo prima di approvare la transazione e inoltre ricontrolla sempre usando un secondo canale di comunicazione. Ad esempio, richiedere che l'indirizzo venga inviato tramite SMS o un'altra app di messaggistica in modo da poterlo verificare. Se stai effettuando un deposito in uno scambio, invia prima un piccolo importo e verifica che sia arrivato correttamente prima di inviare importi maggiori.

Essere la tua banca non è banale e richiede disciplina. Avere un portafoglio hardware non ti rende invincibile. Ma speriamo che questi consigli di sicurezza ti aiutino a proteggerti mentre li usi.

Come sempre, usa il buon senso. Non fidarti, verifica.