Uno degli aspetti più importanti del gestire abilmente le nostre criptovalute è quello della sicurezza. L’assenza di intermediari e la custodia in wallet personali comportano che diventiamo la banca di noi stessi, con tutti i vantaggi che ci fanno amare il mondo cripto ma anche le responsabilità che ne derivano, vista la facilità con cui è possibile commettere una vasta gamma di errori o cadere vittima di truffe.
Le cose da capire e ricordare sono tante, ed è questo uno dei motivi per cui le criptovalute non sono per tutti. Una volta che abbiamo imparato a comprarle, trasferirle e venderle, dobbiamo sapere anche come conservarle in maniera inattaccabile.
Nello studiare come funzionano i wallet e come farne un uso ottimale emergono diverse componenti e una serie di concetti che possono mandare in confusione.
Un wallet infatti può essere munito di più di uno strato protettivo, e potremmo trovarci ad avere a che fare non solo con la Seed Phrase, ma anche con PassPhrase, Password e PIN.
Anche i portafogli più elementari forniscono diverse di queste funzionalità, e le domande che sorgono sono molte. Cosa sono e come contribuiscono a rendere sicuro il nostro portafoglio?
In questo articolo facciamo chiarezza sulle distinzioni e sulle applicazioni delle diverse soluzioni.
Punti Chiave:
Nel creare e gestire un wallet per criptovalute non custodial emergono una serie di componenti di sicurezza che vanno comprese per evitare errori: Seed Phrase, PassPhrase, Password e PIN.
La Seed Phrase è la serie di 12-24 parole inglesi che rappresentano il wallet e sono la chiave di accesso a tutti i fondi contenuti. E’ in assoluto l’elemento fondamentale da proteggere per garantire la sicurezza delle nostre monete.
La PassPhrase è una sorta di estensione della Seed Phrase, e di fatto è costituita da una tredicesima/venticinquesima parola, che aggiunta alla Seed crea un wallet del tutto nuovo e inaccessibile se non combinando Seed Phrase e PassPhrase.
Si tratta di un’opzione avanzata con la quale interagire idealmente solo dopo che si ha una buona dimestichezza col funzionamento di base dei wallet.
Custodial vs Non Custodial:
Quando parliamo di protezione delle nostre criptovalute è imprescindibile partire dall’aver chiara la differenza tra wallet custodial e non custodial. I primi sono i wallet di exchange e piattaforme: Bitcoin e monete si trovano su un nostro conto/account, che assomiglia in tutto e per tutto a quello di un qualsiasi istituto di credito.
Per accedervi usiamo delle credenziali (email, numero di telefono, nome utente), con password e autenticazione a due fattori. Come per un conto in banca, i fondi non sono realmente nostri ma della piattaforma alla quale accediamo, mediante la quale possiamo movimentarli per fare acquisti e transazioni.
Agli antipodi di questa dimensione, e in linea con la filosofia cripto, abbiamo invece i wallet non custodial, che come dice il nome non sono custoditi da terze parti.
Significa che ne siamo effettivi proprietari, e questo genera simultaneamente grande libertà d’azione ma anche maggiori responsabilità, dovute ai rischi che corriamo di perdere quanto in nostro possesso se non abbiamo ben chiaro cosa stiamo facendo.
Mentre nel primo caso dati di accesso, password ed eventuale PIN sono del tutto simili a ciò che troviamo in qualsiasi contesto centralizzato (dai social network al banking online), nel secondo non sono richieste credenziali sotto forma di informazioni personali, e abbiamo invece, come strumenti di accesso/controllo, i quattro elementi che sono oggetto di approfondimento di questo articolo.
Le informazioni che seguono sono adatte a wallet hardware, software, hot, cold, mobile app, desktop app, estensioni per browser, web/online wallet, paper wallet: in pratica qualsiasi wallet, purché non custodial.
Seed Phrase:Se abbiamo anche solo un minimo di esperienza ci è probabilmente chiaro che l’elemento cruciale attorno a cui ruota la sicurezza dei wallet non custodial è la Seed Phrase, anche detta ‘seed’, ‘recovery phrase’, ‘frase seme’ o ‘frase mnemonica’.
Si tratta delle 12 o 24 parole inglesi (scelte da una lista di 2048 termini predefiniti) che vengono mostrate nel momento in cui creiamo un nuovo wallet, e che come viene ricordato senza sosta sono la chiave di accesso ai nostri fondi.
Perderle equivale, in caso di danneggiamento del wallet, a non poter in alcun modo recuperare le monete e gli NFT in esso custoditi.
Come spiegato in questo articolo di approfondimento sulle procedure di massima salvaguardia della Seed Phrase, vanno salvate con la massima cura, nell’ordine esatto, evitando di farne foto, screenshot o copie digitali e ricordando di non darle a nessuno, in nessuna circostanza, in quanto chi ne entra in possesso guadagna di fatto accesso e controllo dei fondi associati.
Infatti tutti i nostri account, indirizzi, chiavi pubbliche e private, di ciascuna moneta contenuta nel wallet, sono derivati da questa singola serie di parole, secondo il metodo introdotto nel 2013 col BIP39 (Bitcoin Improvement Proposal numero 39).
In caso di necessità è possibile inserire la Seed Phrase in qualsiasi wallet compatibile e rigenerare lì i nostri account.
Siccome i fondi non sono nel wallet ma su blockchain, anche in caso di wallet hardware l’elemento principale da salvaguardare rimane la Seed e non, come si tende a credere, il dispositivo fisico.
Questo infatti un giorno potrebbe anche rompersi o essere smarrito senza che ciò comporti alcuna perdita, a patto di avere la Seed Phrase al sicuro e pronta per un ripristino in un nuovo wallet.
PassPhrase:La PassPhrase, anche chiamata ‘Seed Extension’, ‘Extra Word’ o ‘BIP39 Password’ in base al wallet che la impiega, può essere considerata un’estensione della Seed Phrase. E’ un’altra componente dello standard BIP39, ed è quindi supportata da gran parte dei wallet che vi aderiscono.
Si tratta nella maggior parte dei casi di una funzione opzionale e avanzata, che non viene attivata di default ma messa a disposizione dai wallet di miglior qualità, per consentire agli utenti che lo desiderano di aggiungere alle 24 parole della Seed generata al momento della creazione del wallet una venticinquesima parola di propria scelta (o tredicesima in caso di Seed di 12 parole).
Il senso di farne uso è aggiungere uno strato protettivo in più. Possiamo infatti pensarla come una password o come un’autenticazione a due fattori, che viene abbinata alla Seed di 24 parole e che ci copre le spalle in caso le 24 parole vengano compromesse.
Difatti, se un malintenzionato dovesse entrare in possesso di una Seed protetta da PassPhrase, non se ne farebbe nulla.
Al contrario una Seed compromessa e non protetta da PassPhrase equivale a perdere i fondi contenuti nel wallet. E’ quindi ovvia la rilevanza di questa opzione.
La parola aggiuntiva può essere un qualsiasi termine o serie di caratteri preferiamo utilizzare. Può anche essere una serie di più parole, fino a un massimo di 100 caratteri. L’importante è che la salviamo con la massima precisione, spazi e caratteri speciali inclusi, prestando attenzione anche a maiuscole e minuscole che contano come caratteri diversi.
La cosa fondamentale è essere consapevoli di tutte le dinamiche del funzionamento della PassPhrase, perché i risvolti sono numerosi e non conoscerli rischia di comportare brutte sorprese.
Vediamo di seguito una serie di punti chiarificatori:
- L’aggiunta di una PassPhrase determina la generazione di un wallet completamente diverso, con account e indirizzi del tutto nuovi. Non possiamo creare un wallet, trasferirci dei fondi e poi decidere di aggiungergli una PassPhrase, perché da quel momento sarà un nuovo e diverso wallet.
Difatti ciò che succede è che la PassPhrase modifica il modo in cui il wallet interpreta la Seed Phrase e deriva chiavi private, indirizzi e account. Questo comporta che se la perdiamo neanche la Seed Phrase sarà in grado di rigenerare il wallet associato a Seed + PassPhrase.
L’unico modo di aprire un wallet prodotto dalla sua aggiunta è di inserirla, così come creata in origine, nella app di gestione del portafoglio. - Se vogliamo trasferire i fondi di un wallet creato senza PassPhrase all’interno del corrispondente nuovo wallet che invece ne è munito, l’unico modo di procedere è ricorrere a vere e proprie transazioni on chain, inviando ciascuna moneta dagli indirizzi del wallet iniziale a quelli nuovi forniti dal wallet con PassPhrase.
- Al contrario di una normale password, la PassPhrase non può in alcun modo essere recuperata se la perdiamo. Infatti, mentre la Seed è conservata al sicuro all’interno del dispositivo (o dei file dedicati se si tratta di una app), e mentre una comune password ha procedure che consentono di recuperarla/resettarla, la PassPhrase non è salvata da nessuna parte. Ne va fatto personalmente un backup manuale.
- Utilizzare la PassPhrase consente di creare una moltitudine di wallet da una stessa Seed (infiniti, se il costruttore/sviluppatore lo permette). Questo dà modo di generare wallet distinti, del tutto indipendenti e suddivisi ad esempio per categorie (spese, DeFi, trading, hodling etc.), risparmiandoci le difficoltà connesse al dover salvare e proteggere più di una Seed Phrase.
- La PassPhrase può anche essere pensata come un modo di nascondere un wallet, il quale sarà attivabile solo a seguito dell’autenticazione con PassPhrase associata. Per capirci:
Seed 1 = Wallet A. (Visibile con la sola Seed Phrase).
Seed 1 + PassPhrase X = Wallet B = Wallet Nascosto A.
Seed 1 + PassPhrase Y = Wallet C = Wallet Nascosto B. E così via.
Le implicazioni sono notevoli, perché se da una parte questo permette una migliore organizzazione delle nostre cripto, dall’altra la PassPhrase facilita l’elaborazione di strategie di protezione intelligenti come lasciare pochi fondi sul wallet associato alla sola Seed e conservare la sostanza del nostro patrimonio nel wallet protetto da PassPhrase, in modo da ingannare e lasciare all’asciutto un eventuale malintenzionato che entri in possesso del nostro wallet fisico o della sua Seed.
In sintesi i vantaggi sono che:
- Protegge un wallet hardware anche da attacco fisico, nel caso venga rubato o hackerato materialmente. La Seed verrebbe esposta, ma senza PassPhrase questo non avrebbe alcuna conseguenza.
- Protegge da qualsiasi compromissione della Seed.
- Protegge da attacchi alla nostra persona. Nel malaugurato scenario in cui qualcuno cercasse di costringerci con la forza a esporre il nostro wallet, potremmo dissimulare facilmente i nostri reali possedimenti aprendo un wallet minimale creato a tale scopo o uno dei nostri wallet meno forniti.
- Protegge la nostra privacy perché ogni wallet ha indirizzi diversi, limitando il possibile tracciamento delle nostre movimentazioni (ricordiamo che la blockchain è anonima ma è pubblica, e quindi si può vedere tutto quello che avviene su un indirizzo, anche se non si sa chi ne è proprietario).
Una PassPhrase più lunga e complessa garantisce, come per qualsiasi password, maggiori livelli di inattaccabilità. E’ fondamentale però rispettare due regole per non incappare in brutte esperienze:
- Scriverla correttamente la prima volta. Non esiste una PassPhrase sbagliata. Se la digitiamo con un errore rispetto a come l’abbiamo pensata, quella sarà la PassPhrase valida e riconosciuta dal wallet.
- Salvarla correttamente, rispettando, come accennato prima, spazi, minuscole, maiuscole e caratteri speciali.
E’ buona pratica familiarizzare preventivamente con i dispositivi, app e software che intendiamo usare in caso di emergenza, facendo esperimenti con Seed di prova per verificare di aver capito i passaggi e di ottenere i risultati desiderati.
In definitiva utilizzare una PassPhrase comporta un aumento di responsabilità proporzionale alla maggiore sicurezza e alle aumentate funzionalità che garantisce.
Password:La Password è una soluzione meno sofisticata e usata più tipicamente dai wallet software, al contrario della PassPhrase che, con alcune eccezioni, è una funzionalità standard nei wallet hardware.
Ha la stessa semplice finalità a cui siamo abituati nelle applicazioni generiche dei nostri dispositivi digitali, ovvero impedire che terzi non autorizzati possano accedere a nostri account e informazioni personali.
In pratica i wallet ai quali abbiamo associato una Password richiedono il suo inserimento per poter essere aperti.
Essendo una funzione attivata localmente sullo specifico dispositivo, la cosa importante da capire è che usando una Password stiamo proteggendo esclusivamente l’installazione su quel pc o smartphone dal venire aperta e utilizzata.
In altre parole la Password non tutela il wallet in sé e per sé, e quindi chi dovesse entrare in possesso della Seed Phrase potrà facilmente scavalcare la Password, semplicemente ricreando il wallet associato su un qualsiasi altro dispositivo e in una nuova installazione, che naturalmente non saprà nulla della Password da noi impostata in origine.
Alcuni wallet richiedono o consentono di stabilire che la Password venga inserita non solo all’apertura ma ad esempio anche per autorizzare transazioni o per visualizzare chiavi private e Seed e modificare altre impostazioni sensibili.
In sostanza, la PassPhrase protegge la Seed, mentre la Password lavora a un livello molto più superficiale, tutelando semplicemente l’installazione specifica dall’essere aperta e usata abusivamente.
PIN:Il PIN è uno strato protettivo utilizzato essenzialmente dai wallet hardware e da alcuni wallet per mobile. PIN è l’acronimo di Personal Identification Number: ha la stessa funzione di una comune Password, nel senso che impedisce l’accesso a chi non ne è in possesso, e in questo modo salvaguarda la specifica installazione e dispositivo da individui terzi non autorizzati.
Al contrario di una Password però è costituito esclusivamente da numeri (e quindi ha il vantaggio di non richiedere una tastiera estesa per essere inserito) e ha una lunghezza da 4 a 9 caratteri.
La sua praticità lo rende la soluzione di riferimento per accedere ad account e firmare transazioni nei wallet hardware, tipicamente muniti di piccoli display che coi soli numeri sono più gestibili.
Così come per la Password, perdere il PIN ha implicazioni minori, in quanto si può ricreare facilmente il wallet associato ricorrendo alla Seed Phrase.
Avendo PIN e Password essenzialmente la stessa funzione, i wallet usano in genere una sola delle due soluzioni.
Alcune app in versione mobile impiegano di default lo stesso PIN dello smartphone in cui vengono installate. Altre offrono in luogo di PIN e Password opzioni di accesso come l’autenticazione tramite riconoscimento biometrico (impronta digitale o scansione di riconoscimento facciale).
Combinazioni e Distinzioni:Il fatto che esistano Seed Phrase, PassPhrase, PassWord e PIN non significa che li useremo tutti simultaneamente in ciascuno dei nostri wallet.
L’assetto più comune è quello nel quale alla Seed abbiniamo una Password oppure un PIN di accesso al wallet, in quanto come abbiamo capito questi due strati assolvono alla stessa funzione.
In aggiunta, e in maniera del tutto svincolata dal fatto di avere già una Password e/o un PIN, alcuni wallet offrono la possibilità di associare una PassPhrase alla Seed. Tutto qui.
Se normalmente avremo solo due dei quattro elementi da gestire (Seed + Password/PIN), nei casi più avanzati ne avremo tre (Seed + PassPhrase + Password/PIN) e solo in casi eccezionali li avremo tutti e quattro: uno di questi è lo scenario con wallet hardware Ledger (che richiede un PIN di default) al quale aggiungiamo una PassPhrase e che colleghiamo ad app Ledger Live protetta da Password.
Riepiloghiamo qualche utile distinzione:
- PIN e Password proteggono il nostro dispositivo dall’essere usato. La PassPhrase protegge invece Seed Phrase e wallet dall’essere usati.
- PIN e Password bloccano l’accesso al dispositivo ma non proteggono il wallet se qualcuno entra in possesso di Seed e PassPhrase. Di conseguenza se ci vengono rubati PIN e Password abbiamo un problema molto minore che se vengono compromesse Seed e PassPhrase.
Naturalmente nel caso di estensioni e wallet software che necessitano della sola Password per autorizzare transazioni, farsela sottrarre può comunque significare veder sparire le proprie criptovalute. - PIN e Password non sono connessi a wallet e indirizzi, ma solo al dispositivo che proteggono. Potremmo avere la stessa Seed in due wallet, con due Password/PIN differenti, e questi aprirebbero lo stesso wallet.
- Se rigeneriamo un wallet dalla sua Seed Phrase (ed eventuale PassPhrase), Password e PIN precedentemente impostati non saranno attivi e non verranno richiesti.
Backup:Naturalmente quando parliamo di strati di sicurezza non possiamo non discutere anche i rispettivi metodi di backup.
Partiamo da quelli più immediati: se al posto di PIN e Password usiamo l’identificazione biometrica ci risparmiamo di dover fare il backup di questi dati.
In caso contrario la Password e i numeri del PIN potranno essere custoditi come qualsiasi altra password, e quindi usando un password manager di qualità, evitando di farne dei backup online, evitando di salvarli su pc/smartphone in formato testo/immagine e così via.
Passando a Seed Phrase e PassPhrase, sono due i punti cardine da tenere presenti: innanzitutto usare per entrambe procedure che aderiscano allo stesso elevato standard di sicurezza, e in secondo luogo salvare queste due componenti in località distinte.
Difatti, conservare Seed e PassPhrase nello stesso luogo (ad esempio una stessa cassetta di sicurezza) espone i nostri fondi all’identico livello di rischio che avremmo senza PassPhrase, vanificandone l’utilità.
C’è chi opta per la pura memorizzazione della PassPhrase, pratica alquanto avventurosa poiché in caso di perdita di memoria i nostri fondi saranno definitivamente e irrimediabilmente irrecuperabili.
In realtà una tecnica basilare come trascrivere manualmente su carta sia Seed che PassPhrase, in più di una copia, e tenere ogni copia in location separate e sicure, può essere un ottimo ed efficacissimo punto di partenza.
Cosi facendo infatti se qualcuno trova la nostra Seed i fondi sono comunque al sicuro. Questa procedura elementare si può poi perfezionare usando, anziché carta, placche o capsule di metallo a prova di acqua e fuoco (come la Cryptosteel Capsule o il Keystone Tablet) e anziché luoghi ‘segreti’ in casa propria delle casseforti o cassette di sicurezza in istituti specializzati.
L’importante è evitare il digitale e fare invece delle copie fisiche: il motivo primario per cui in molti compromettono la Seed Phrase è che la salvano in file di testo sul pc, o su cloud o in una chiavetta Usb, esponendola anche ai meno sofisticati attacchi di hacker e truffatori.
Conclusioni:
Come vediamo le possibilità sono molte. Tuttavia se siamo agli inizi è probabilmente una buona idea familiarizzare per qualche tempo con il funzionamento del nostro wallet così com’è, gestendo capitali simbolici e capendo gradualmente le implicazioni di ogni strato aggiuntivo in modo da scegliere quali soluzioni fanno al caso nostro con cognizione di causa.
Il miglior setup è quello che conosciamo alla perfezione e siamo in grado di gestire senza alcuno sforzo.
Non c’è necessariamente bisogno di complicare le cose, perché va ricordato che più lo facciamo più aumenta il rischio di rimanere noi stessi bloccati fuori dai nostri wallet.
10 Errori da Evitare con le Criptovalute – Guida Gratuita
Come Evitare di Essere Truffati e Perdere Criptovalute – 10 Strategie
I Passaggi per Comprare, Custodire e Vendere Bitcoin o Qualsiasi Criptovaluta
Tenere al Sicuro Criptovalute e NFT – Wallet + Seed – Best Practices
Come Investire in Bitcoin e Criptovalute e Strutturare un Portfolio – Principi – Gestione – Esempi
Share