Creare una passphrase per Nxt - v1.0
5
Click here to load reader
description
Guida per creare una passphrase robusta per il proprio account Nxt coin
Transcript of Creare una passphrase per Nxt - v1.0
Creare una passphrase per Nxt – v1.0
Dopo aver installato e avviato il client bisogna cliccare sul lucchetto arancione in alto a sinistra escrivere una passphrase che sarà la chiave per generare un account e per usarlo.
A differenza del Bitcoin non esiste un file wallet.dat, esiste solo la passphrase che viene usata siaper accedere all'account e sia per genere l'indirizzo pubblico.
In pratica Nxt funziona come un “brain wallet” cioè si può accedere all'account da qualunquecomputer dove è installato il client, senza bisogno di nessun file.
Quanto deve essere robusta la passphrase?
Ricordiamoci che l'account si trova nella blockchain quindi è pubblico, tutti possono vedere gliindirizzi e i saldi. Per i malintenzionati è un invito a nozze ma per svuotare un account bisognarisalire alla passphrase che lo ha generato.
Esistono dei bot automatici che provano sistematicamente milioni e milioni di combinazioni percrackare gli account!
Allora non è possibile stare tranquilli? Sì è possibile stare tranquilli, a condizione di usare unapassphrase robusta.
Quindi la domanda è: come creare una passphrase robusta?
Prima di tutto il client di Nxt mostra un avviso se l'utente sceglie una passphrase con meno di 30caratteri perchè questa è la lunghezza minima consigliata.
Il tipico errore dei principianti è di usare una password semplicissima come:
abc123giovanni88Principessa
Queste password sono inadeguate per qualunque uso e gli account Nxt sarebbero crackati infrazioni di secondo.
Poi ci sono password più serie, lunghe almeno 12 caratteri con lettere, numeri e simboli:
Abboott5aaF264S@d83g/fmd*+ddofDor5eCr5'j4t'3z32
Purtroppo anche queste password sono completamente inadeguate per proteggere un account Nxt.
Queste password vanno bene per la posta o altri servizi su internet perché i server permettono unnumero limitato di tentativi di accesso. Ma nel nostro caso un ladro può scaricare tutta la blockchainsul computer e provare milioni di combinazioni al secondo, per anni di seguito. Anche questepassword sarebbero crackate in poco tempo.
Allora come deve essere una passphrase per Nxt?
Deve essere lunga tra 30 e 100 caratteri casuali con lettere maiuscole e minuscole, simboli enumeri.
Questa per esempio è una robustissima passphrase di 96 caratteri:
&I+qIUT1Ut5ouwiusi*1rl8CHlac1EDIml9G+ucHoE*=Ag&E&5eWri1Tia9R6ARof4lukoe&r7uv1adlu5o7sWOephleB-A=
Una passphrase come questa è sicuramente inespugnabile però... però... ci sono diversi problemi: èimpossibile da imparare a memoria, è lunghissima da scrivere ed è facile sbagliare un tasto e doverricominciare da capo!
Perfortuna esiste un modo semplice di creare e gestire una simile passphrase grazie a unprogramma che si chiama Keepass2 http://keepass.info/http://www.keepassx.org/
Keepass è un programma open source di gestione password che include anche un generatoreinterno, quest'ultimo usa i movimenti del mouse e i tasti digitati come seme casuale per generarepassword complesse.
Il seme casuale è importantissimo perché i generatori che usano solo le funzioni random interne
non sono veramente casuali. Bisogna assolutamente evitare anche i siti web con generatori online.
Una guida di Keepass è presente in questo articolo:http://nextcoin.it/topic/18-keepass-per-gestire-le-proprie-password/
***
Però mettiamo di volere una passphrase da imparare a memoria o che dobbiamo accedereall'account da un computer dove Keepass non è installato o non abbiamo il file criptato del suodatabase. Esiste una soluzione?
Spesso viene suggerito di creare una passphrase partendo da un fatto reale conosciuto solo a noi.Per esempio una volta un ladrò rubò il furgone da lavoro di mio padre che fu ritrovato dopo qualchegiorno senza le attrezzature. Quindi creo una frase di questo tipo:
amiopadrefurubatoilfurgonemafuritrovatoqualchegiornodoposenzagliattrezzi
poi inserisco un po' di maiuscole, simboli e storpiature per evitare che sia di senso compiuto:
HamioL£padrefu&rubatoPHIUilfurgonemafu7ritroVatoqualkegiornooAGLdopPOsenzzagliattrezzi
Questa passphrase è abbastanza lunga, è complessa, non è eccessivamente difficile da scrivere e(con qualche sforzo) è possibile impararla a memoria.
Ma una passphrase creata in questo modo è abbastanza robusta ? La risposta è: dipende!
Quella dell'esempio è sicura? La risposta è: Non lo sappiamo!
Purtroppo non esiste un modo oggettivo di calcolare la robustezza di questo tipo di passphraseperché oltre a lettere, simboli e numeri c'è il fattore umano, c'è una parte di senso compiuto chepotrebbe comprometterne la robustezza. Oppure no.
Semplicemente non c'è nessun modo oggettivo di calcolare la sua robustezza!
***
Allora esiste una soluzione che sia pratica, facile da ricordare, libera dal fattore umano e lacui robustezza sia oggettivamente calcolabile? Sì, perfortuna esiste e si chiama Diceware
http://world.std.com/~reinhold/diceware.html
Il metodo Diceware prevede l'uso di dadi per scegliere casualmente delle parole da una listaselezionata di 7776 vocaboli.
Questo è il link al vocabolario originale in inglese:http://world.std.com/~reinhold/diceware.wordlist.asc
Questa invece è una versione italiana:http://www.taringamberini.com/download/diceware_it_IT/word_list_diceware_in_italiano.txt
Come si fa a creare una passphrase con Diceware? Si prende un dado e si tira cinque volte, ilnumero risultante corrisponde alla parola da usare. Per esempio usando il vocabolario italiano inumeri 5 1 4 3 3 corrispondono alla parola retto. Se voglio una passphrase di 10 parole ripeterò illancio altre 9 volte. Per esempio :
26416 fendo35352 fm65612 vivera64321 usiamo12461 ae23214 cw51425 reti31311 formi21242 celera
Quindi la mia passphrase sarà:
rettofendofmviverausiamoaecwretiformicelera
A prima vista non sembra particolarmente robusta, vero? Ma l'apparenza inganna e si puòdimostrare da un punto di vista matematico.
Una passphrase con 5 parole scelte col metodo Diceware ha 7776^5 combinazioni cioè:
2,843028803×10¹ ⁹
Una tale passphrase è più che adeguata per la protezioni della posta elettronica o per gli account sufacebook, ebay, amazon o qualunque altro sito web.
Una passphrase di almeno 6 o 7 parole può essere usata come master password per la protezionedi Keepass. Ma per proteggere un account Nxt quanto deve essere lunga?
Facciamo un confronto: il client Electrum per i Bitcoin, genera una passphrase di 12 parole cheviene usata come seme casuale per generare tutti gli indirizzi. Questa passphrase è basata su unvocabolario interno di 1600 parole.
In confronto Diceware ha un vocabolario di 7776 parole e la lunghezza è libera.
Quindi una passphrase di 10 parole con Diceware (7776^10 = 8,082812775×10³ ) è più robusta⁸della passphrase con 12 parole di Electrum (1600^12 = 2,814749767×10³ ).⁸
Una passphrase con 10 parole avrà una lunghezza media di 50-60 caratteri, nel mio esempio sonosolo 43 perché ho beccato tre volte delle parole con 2 caratteri. Se la passphrase risulta troppo cortabasta aggiungere un altra parola.
Bastano 10 parole? La differenza con i Bitcoin è che un ladro deve prima accedere al vostrocomputer per copiare il file wallet.dat, quindi l'antivirus e l'uso prudente del computerrappresentano la prima linea di difesa. Invece con Nxt è come se tutti i wallet.dat fosseroaccessibile a chiunque fin dall'inizio.
Quindi io consiglio una passphrase di almeno 12 parole che con 4,887367798×10 combinazioni⁴⁶è praticamente inespugnabile ma facile da scrivere e da imparare a memoria.
Comunque per i paranoici nulla vieta di creare due account: per esempio uno con 16 o 20 parolecome riserva per il grosso e uno di 12 parole con gli spiccioli per l'uso quotidiano.
Per rendere la passphrase ancora più sicura conviene aggiungere simboli, numeri e maiuscole? Ingenerale è meglio aggiungere una parola che inserire caratteri speciali, ogni parola aumenta larobustezza in maniera esponenziale senza compromettere la semplicità di scrittura e dimemorizzazione.
Con il metodo Diceware abbiamo la sicurezza di una passphrase:
• Matematicamente robusta• Veramente casuale• Priva di fattori umani• Facile da scrivere• Facile da memorizzare
***
Una volta creata la propria passhphrase resta una cosa importante da fare: il proprio account èprotetto da una chiave pubblica a soli 64 bit fino a quando non viene effettuata unatransazione in uscita. Per avere la protezione a 256 bit è sufficiente inviare 1 Nxt a sé stessi o aqualunque altro indirizzo!
