Creare una passphrase per Nxt v1.

0
Dopo aver installato e avviato il client bisogna cliccare sul lucchetto arancione in alto a sinistra e scrivere una passphrase che sar la chiave per generare un account e per usarlo.

A differenza del Bitcoin non esiste un file wallet.dat, esiste solo la passphrase che viene usata sia per accedere all'account e sia per genere l'indirizzo pubblico. In pratica Nxt funziona come un brain wallet cio si pu accedere all'account da !ualun!ue computer dove installato il client, senza bisogno di nessun file.

"uanto deve essere robusta la passphrase# $icordiamoci che l'account si trova nella blockchain !uindi pubblico, tutti possono vedere gli indirizzi e i saldi. %er i malintenzionati un invito a nozze ma per svuotare un account bisogna risalire alla passphrase che lo ha generato. &sistono dei bot automatici che provano sistematicamente milioni e milioni di combinazioni per crackare gli account' Allora non possibile stare tranquilli !" possibile stare tranquilli# a condi$ione di usare una passphrase robusta.

"uindi la domanda ( come creare una passphrase robusta# %rima di tutto il client di Nxt mostra un avviso se l'utente sceglie una passphrase con meno di %0 caratteri perch !uesta la lunghezza minima consigliata. Il tipico errore dei principianti di usare una pass)ord semplicissima come( abc1&% 'iovanni(( )rincipessa "ueste pass)ord sono inadeguate per !ualun!ue uso e gli account Nxt sarebbero crac*ati in frazioni di secondo. %oi ci sono pass)ord pi+ serie, lunghe almeno ,- caratteri con lettere, numeri e simboli( Abboott*aa+&,!.d(%'/0md12ddo0 3or*eCr*45-t4%$%& %urtroppo anche !ueste pass)ord sono completamente inade'uate per proteggere un account Nxt. "ueste pass)ord vanno bene per la posta o altri servizi su internet perch. i server permettono un numero limitato di tentativi di accesso. /a nel nostro caso un ladro pu scaricare tutta la bloc*chain sul computer e provare milioni di combinazioni al secondo, per anni di seguito. Anche !ueste pass)ord sarebbero crackate in poco tempo. Allora come deve essere una passphrase per Nxt# Deve essere lunga tra %0 e 100 caratteri casuali con lettere maiuscole e minuscole, simboli e numeri. "uesta per esempio una robustissima passphrase di 01 caratteri( 672q78918t*ouwiusi11rl(C:lac1;37ml<=2uc:o;1>A'6;6*e?ri19ia<@,A@o0-lukoe6r Auv1adlu*oAs?BephleBCA> 2na passphrase come !uesta sicuramente inespugnabile per ... per ... ci sono diversi problemi( impossibile da imparare a memoria, lunghissima da scrivere ed facile sbagliare un tasto e dover ricominciare da capo' %erfortuna esiste un modo semplice di creare e gestire una simile passphrase grazie a un programma che si chiama Deepass& http(33*eepass.info3 http(33))).*eepass4.org3 Deepass un programma open source di gestione pass)ord che include anche un generatore interno, !uest'ultimo usa i movimenti del mouse e i tasti digitati come seme casuale per generare pass)ord complesse. Il seme casuale importantissimo perch. i generatori che usano solo le funzioni random interne

non sono veramente casuali. 5isogna assolutamente evitare anche i siti )eb con generatori online. 2na guida di Deepass presente in !uesto articolo( http(33ne4tcoin.it3topic3,67*eepass7per7gestire7le7proprie7pass)ord3 888 %er mettiamo di volere una passphrase da imparare a memoria o che dobbiamo accedere all'account da un computer dove Deepass non installato o non abbiamo il file criptato del suo database. &siste una soluzione# 9pesso viene suggerito di creare una passphrase partendo da un fatto reale conosciuto solo a noi. %er esempio una volta un ladr rub il furgone da lavoro di mio padre che fu ritrovato dopo !ualche giorno senza le attrezzature. "uindi creo una frase di !uesto tipo( amiopadre0urubatoil0ur'onema0uritrovatoqualche'iornodoposen$a'liattre$$i poi inserisco un po' di maiuscole, simboli e storpiature per evitare che sia di senso compiuto( :amioEFpadre0u6rubato):78il0ur'onema0uAritroGatoqualke'iornooA=Edop)Bsen$$a'lia ttre$$i "uesta passphrase abbastanza lunga, complessa, non eccessivamente difficile da scrivere e :con !ualche sforzo; possibile impararla a memoria. /a una passphrase creata in !uesto modo abbastanza robusta # <a risposta ( dipende' "uella dell'esempio sicura# <a risposta ( Non lo sappiamoH %urtroppo non esiste un modo oggettivo di calcolare la robustezza di !uesto tipo di passphrase perch. oltre a lettere, simboli e numeri c' il 0attore umano, c' una parte di senso compiuto che potrebbe comprometterne la robustezza. =ppure no. 9emplicemente non c' nessun modo oggettivo di calcolare la sua robustezza' 888 Allora esiste una solu$ione che sia pratica# 0acile da ricordare# libera dal 0attore umano e la cui robuste$$a sia o''ettivamente calcolabile !"# per0ortuna esiste e si chiama 3iceware http(33)orld.std.com3>reinhold3dice)are.html Il metodo 3iceware prevede l'uso di dadi per scegliere casualmente delle parole da una lista selezionata di ???1 vocaboli. "uesto il lin* al vocabolario originale in inglese( http(33)orld.std.com3>reinhold3dice)are.)ordlist.asc "uesta invece una versione italiana( http(33))).taringamberini.com3do)nload3dice)are@it@IA3)ord@list@dice)are@in@italiano.t4t

Bome si fa a creare una passphrase con 3iceware# 9i prende un dado e si tira cin!ue volte, il numero risultante corrisponde alla parola da usare. %er esempio usando il vocabolario italiano i numeri * 1 - % % corrispondono alla parola retto. 9e voglio una passphrase di ,C parole ripeter il lancio altre 0 volte. %er esempio ( -1D,1 EFEF1F1,1DE-, ,-D1, -E-,D F,D-F E,E,, -,-Dfendo fm vivera usiamo ae c) reti formi celera

"uindi la mia passphrase sar( retto0endo0mviverausiamoaecwreti0ormicelera A prima vista non sembra particolarmente robusta, vero# /a l'apparenza inganna e si pu dimostrare da un punto di vista matematico. 2na passphrase con * parole scelte col metodo 3iceware ha ???1GF combinazioni cio( -,6DEC-66CEH,CI 2na tale passphrase pi+ che adeguata per la protezioni della posta elettronica o per gli account su faceboo*, ebaJ, amazon o !ualun!ue altro sito )eb. 2na passphrase di almeno 1 o ? parole pu essere usata come master password per la protezione di Deepass. /a per proteggere un account Nxt !uanto deve essere lunga# Kacciamo un confronto( il client ;lectrum per i Bitcoin, genera una passphrase di ,- parole che viene usata come seme casuale per generare tutti gli indirizzi. "uesta passphrase basata su un vocabolario interno di ,1CC parole. In confronto 3iceware ha un vocabolario di ???1 parole e la lunghezza libera. Iuindi una passphrase di 10 parole con 3iceware JAAA,K10 > (#0(&(1&AA*L10MN piO robusta della passphrase con 1& parole di ;lectrum J1,00K1& > &#(1-A-<A,AL10MN. 2na passphrase con ,C parole avr una lunghezza media di FC71C caratteri, nel mio esempio sono solo DE perch. ho beccato tre volte delle parole con - caratteri. 9e la passphrase risulta troppo corta basta aggiungere un altra parola. 5astano ,C parole# <a differenza con i Bitcoin che un ladro deve prima accedere al vostro computer per copiare il file wallet.dat, !uindi l'antivirus e l'uso prudente del computer rappresentano la prima linea di difesa. Invece con Nxt come se tutti i wallet.dat fossero accessibile a chiun!ue fin dall'inizio. "uindi io consiglio una passphrase di almeno ,- parole che con D,66?E1??06H,C combinazioni praticamente inespugnabile ma facile da scrivere e da imparare a memoria.

Bomun!ue per i paranoici nulla vieta di creare due account( per esempio uno con ,1 o -C parole come riserva per il grosso e uno di ,- parole con gli spiccioli per l'uso !uotidiano. %er rendere la passphrase ancora pi+ sicura conviene aggiungere simboli, numeri e maiuscole# In generale meglio aggiungere una parola che inserire caratteri speciali, ogni parola aumenta la robustezza in maniera esponenziale senza compromettere la semplicit di scrittura e di memorizzazione. Bon il metodo 3iceware abbiamo la sicurezza di una passphraseP /atematicamente robusta Leramente casuale %riva di fattori umani Kacile da scrivere Kacile da memorizzare 888 2na volta creata la propria passhphrase resta una cosa importante da fare( il proprio account protetto da una chiave pubblica a soli ,- bit 0ino a quando non viene e00ettuata una transa$ione in uscita. )er avere la prote$ione a &*, bit su00iciente inviare 1 Nxt a sQ stessi o a qualunque altro indiri$$oH