SSP Editorial Team

La tua checklist OpSec cripto

·6 min di lettura·Di SSP Editorial Team
Copertina sicurezza SSP con icone di wallet, chiave, scudo e chip per una checklist OpSec cripto

L'autocustodia non è una configurazione che si fa una volta sola: è una routine. Le tue chiavi restano al sicuro perché sei tu a tenerle al sicuro, trimestre dopo trimestre. Questa è la tua checklist di sicurezza operativa (OpSec): un audit di 15 minuti che esegui quattro volte l'anno per cogliere le piccole derive prima che diventino incidenti. I backup sbiadiscono, le estensioni si accumulano, le approvazioni si sommano e quel telefono di cui ti fidavi la primavera scorsa finisce venduto. Nessuno di questi problemi è un'emergenza da solo; insieme, dopo un anno di trascuratezza, sono il modo in cui le buone configurazioni marciscono in silenzio. Riserva una sera tranquilla all'inizio di ogni trimestre, stampa questa pagina e spunta le caselle una a una. Niente di tutto questo è difficile: tutto il valore sta nel farlo con regolarità invece che dopo che qualcosa è già andato storto.

L'OpSec è una disciplina presa in prestito da persone il cui modello di minaccia è serio per mestiere — le guide Surveillance Self-Defense della EFF sono una buona introduzione a questa mentalità. Per le criptovalute, la stessa idea si riduce a una manciata di domande: le mie chiavi sono recuperabili, i miei dispositivi sono puliti, capisco cosa sto firmando e gli account intorno al mio wallet sono protetti? Con la configurazione 2 di 2 di SSP, ogni spesa richiede già una seconda approvazione indipendente sulla tua SSP Key, così che un singolo dispositivo compromesso non dovrebbe bastare a muovere fondi — ma quella rete di sicurezza tiene solo se entrambe le metà restano sane e indipendenti. La checklist qui sotto le mantiene così.

Eseguila ogni trimestre. Spunta la casella solo quando è davvero vero, non quando hai intenzione di occupartene.

Chiavi e backup

Il tuo materiale di recupero è l'unica cosa che non puoi rigenerare, quindi parti da qui e correggi qualunque punto fragile prima di proseguire: la nostra guida alle buone pratiche per la frase seed copre i dettagli di conservazione. Un backup che dai per buono ma che non guardi da un anno è il singolo punto di guasto più comune nell'autocustodia.

  • Individua ogni backup della frase seed e conferma che ciascuno sia fisicamente leggibile, completo e non danneggiato da acqua, calore o inchiostro sbiadito.
  • Conferma che i backup si trovino in almeno due luoghi geograficamente separati, così che un singolo incendio, allagamento o furto non possa portarseli via entrambi insieme.
  • Verifica che entrambe le metà di SSP abbiano un backup: il wallet dell'estensione e la SSP Key possono essere ripristinati in modo indipendente l'uno dall'altro.
  • Controlla che nessuna frase seed sia mai stata digitata in un telefono, fotografata, inviata via e-mail o salvata in un gestore di password o in una nota cloud.
  • Conferma che chiunque abbia avuto la tua fiducia per un luogo di backup vi abbia ancora accesso e, cosa altrettanto importante, debba ancora averlo.

Dispositivi ed estensioni

Un dispositivo pulito è la base sotto ogni altro controllo, quindi tratta il tuo browser come parte del tuo wallet — l'igiene delle estensioni del browser per gli utenti cripto spiega perché una singola estensione malevola può riscrivere in silenzio ciò che firmi.

  • Aggiorna il sistema operativo, il browser e l'estensione SSP alle ultime versioni.
  • Aggiorna il dispositivo SSP Key e conferma che si associa, mostra le informazioni e firma ancora correttamente.
  • Esamina ogni estensione del browser installata e rimuovi tutto ciò che è inutilizzato, sconosciuto o non più mantenuto.
  • Conferma che l'editore e l'ID dello store dell'estensione SSP corrispondano alla scheda ufficiale — nessun clone imitatore si è intrufolato.
  • Esegui una scansione antimalware affidabile sia sul computer sia sul telefono che usi per fare transazioni.

Transazioni e approvazioni

La maggior parte delle perdite moderne non sono chiavi rubate: sono firme che hai concesso mesi fa e dimenticato, quindi controlla ciò che hai concesso con uno strumento come revoke.cash e rileggi la nostra spiegazione sulle approvazioni dei token.

  • Esamina le approvazioni dei token attive e revoca tutte quelle obsolete, illimitate o legate a una dapp che non usi più.
  • Conferma di leggere ogni transazione sullo schermo della SSP Key prima di approvarla — l'importo, la destinazione e la rete.
  • Controlla a campione le transazioni in uscita recenti in un block explorer rispetto a ciò che intendevi davvero inviare.
  • Verifica di nuovo che i segnalibri salvati di contratti e dapp puntino ancora agli indirizzi reali e attuali, e non a uno sostituito.

Gli account intorno al tuo wallet

Gli aggressori raramente violano prima il wallet: violano l'account e-mail o di exchange accanto e si spostano verso l'interno, quindi Secure Our World della CISA è una base in linguaggio semplice e la 2FA mobile fatta bene copre le trappole specifiche delle cripto.

  • Sposta gli account e-mail, di exchange e cloud dalla 2FA via SMS a TOTP o passkey, che non possono subire un SIM swap.
  • Conferma una password unica e robusta su ogni account che tocca le tue cripto, generata e conservata in un gestore di password.
  • Esamina la tua rubrica di indirizzi salvata e rimuovi o riverifica qualunque voce di cui non puoi più garantire personalmente.
  • Controlla le opzioni di recupero di ogni account — e-mail di riserva, numero di telefono, domande di sicurezza — in cerca di anelli deboli da cui un aggressore potrebbe passare.

Pronti contro il phishing

Il phishing è l'attacco che affronterai davvero, e diventa sempre più convincente, quindi tieni freschi gli schemi con gli attacchi di phishing rivolti agli utenti cripto e allena i tuoi riflessi prima che arrivi un'esca reale.

  • Salva di nuovo tra i segnalibri il sito ufficiale di SSP e i tuoi exchange, e raggiungili solo tramite quei segnalibri — mai da un annuncio di ricerca o da un link in un messaggio diretto.
  • Conferma di non approvare mai una transazione né di inserire una frase seed in risposta a un messaggio, una chiamata o un "agente di supporto" non richiesti.
  • Esamina e-mail e messaggi diretti recenti in cerca di qualcosa su cui hai cliccato e non avresti dovuto — e ruota le credenziali interessate se hai dubbi.
  • Ricorda a chiunque condivida le tue finanze che SSP, e qualsiasi supporto legittimo, non chiederà mai una frase seed.

Prova di recupero ed eredità

Un backup che non hai mai testato è solo un'ipotesi, quindi una volta a trimestre dimostra che potresti davvero recuperare invece di darlo per scontato — parti da recuperare SSP quando perdi il browser.

  • Fai un'esercitazione di perdita del browser: ripristina l'estensione SSP dal backup su un profilo pulito e conferma che i tuoi saldi compaiano.
  • Fai un'esercitazione di perdita del telefono: conferma di poter ristabilire la SSP Key e completare un'approvazione 2 di 2 dall'inizio alla fine.
  • Documenta l'accesso di emergenza e di eredità — dove sono i backup, cosa serve e chi contattare — per una persona di cui ti fidi.
  • Conferma che quel documento sia conservato in modo sicuro e che la persona di fiducia sappia che esiste, senza apprendere i segreti in anticipo.

Stampala, pianificala

Una checklist funziona solo se viene davvero eseguita, quindi rendi automatico l'audit del prossimo trimestre invece di affidarti alla memoria.

  • Stampa questa checklist o salvala offline in un posto dove la rivedrai davvero.
  • Imposta un promemoria trimestrale ricorrente sul calendario, fissato alla stessa settimana ogni trimestre.
  • Annota la data in cui hai completato l'audit di oggi e tutto ciò che hai rimandato, così il prossimo trimestre inizia esattamente dove è finito questo.

Condividi questo articolo

Articoli correlati

Seed phrase di dodici parole stampata su un cartoncino accanto a un hardware wallet

Buone pratiche per la seed phrase

Cos'è realmente una seed phrase, come conservarla senza perderla né farla trapelare, e come il multisig 2-of-2 di SSP cambia il modello di minaccia.

7 min read
Copertina sulla sicurezza SSP con icone di wallet, chiave, scudo e chip, che illustra una guida agli attacchi di phishing crypto.

Attacchi di phishing contro gli utenti crypto (e come riconoscerli)

Il phishing crypto prende di mira te, non la crittografia. Impara i pattern — wallet drainer, approval phishing, address poisoning — e come SSP aiuta.

7 min read
Copertina di sicurezza SSP con icone di wallet, chiave, scudo e chip su una scheda quadrata blu navy

Igiene delle estensioni del browser per utenti crypto

Sicurezza delle estensioni per la self-custody: valuta cosa installi, usa il privilegio minimo e LavaMoat; il 2 di 2 di SSP argina un'estensione malevola.

6 min read