Basic safety and security tips for MetaMask
Ti stai avvicinando per la prima volta alle criptovalute e al web3?
Vai su MetaMask Learn per accedere a un'esperienza di apprendimento intuitiva, concepita appositamente per coloro che si avvicinano per la prima volta al web3. È completamente gratuito, disponibile in più lingue e offre strumenti utili come le simulazioni per aiutarti a orientarti con MetaMask.
Che cos'è una frase di recupero segreta e come eseguirne il backup?
L'uso di una frase di ripristino, o frase di recupero segreta, è uno standard utilizzato dalla maggior parte dei portafogli di criptovalute. It's generated randomly when you create your MetaMask wallet, and provides access to all the accounts (addresses) within that wallet.
When you first create a wallet, you will be prompted to write down your Secret Recovery Phrase (SRP), or connect your Google or Apple account to MetaMask. While both options have an associated SRP, they function differently in the backend.
If you secure your SRP, and do not connect your Google or Apple account to MetaMask, then MetaMask does not control any of your personal or private data on our servers. Tutto viene crittografato nel tuo browser e protetto tramite la tua password MetaMask. So, if you lose your MetaMask accounts and need to restore them, you can only do that with your SRP. In this case, your SRP is your single point of failure for access to your accounts.
If you connect your Google or Apple account to MetaMask, your SRP is encrypted and sharded across five different nodes. Only your Google or Apple account and password can access and decrypt all five shards. In this case, your Google/Apple account and password are your two points of failure. Because of this, make sure you do not reuse your Google/Apple password for your MetaMask password. The two passwords should be completely unique. We also recommend you still secure your SRP in case you lose your password or Google/Apple account.
Why you need to store your Secret Recovery Phrase
MetaMask is a self-custody wallet. Whoever has access to an SRP has access to all of its accounts. If your device breaks, is lost, stolen, or has data corruption, there is no way for the MetaMask Support team to recover your SRP for you.
Don't share your Secret Recovery Phrase and private keys
Anyone who has your SRP or private keys can control your assets, and therefore send tokens out of your accounts. Non condividerle mai con nessuno, incluso il team di MetaMask o chiunque dichiari di rappresentarci.
We will never ask you to provide your SRP. If someone claims that we do, insist on not sharing. If you encounter someone who claims to be a MetaMask or MetaMask Support team member, or asks for your SRP and/or private keys, report them by getting in touch with Support. If anyone else asks for your SRP and/or private keys, assume they are trying to steal all of your assets.
Ciò vale anche per siti web e app. The only legitimate situations where you'll need to enter your SRP are:
- Quando crei il tuo portafoglio per la prima volta, poiché devi inserire determinate parole della frase per confermare di averla registrata.
- Se stai ripristinando il tuo portafoglio su un nuovo dispositivo o da una nuova installazione, oppure stai reimpostando la tua password (un processo simile).
Esistono, però, dei truffatori che cercano di simulare queste due situazioni. Per maggiori informazioni, leggi qui: Come faccio a riconoscere il vero MetaMask?
Se hai molti token nei tuoi account, considera di acquistare un wallet hardware.
I wallet hardware sono comunemente ritenuti il modo più sicuro per conservare i tuoi token. Spesso sono definiti portafogli "cold" poiché sono scollegati da Internet per la maggior parte o per tutto il tempo. Questo approccio fa sì che le tue chiavi private non siano mai raggiungibili da utenti malintenzionati online, poiché il portafoglio hardware stesso è necessario per firmare (autorizzare) qualsiasi transazione.
Don't share your password(s)
You should never share any of your passwords with anyone, but for now, we will focus on your MetaMask password. If you connect your Google or Apple account to MetaMask, your password is required to access your accounts.
MetaMask Support will never ask you to share your password. If someone has access to your password and your Google/Apple account, they can access all of your MetaMask accounts.
If you don't have your Google or Apple account connected to MetaMask, your password functions differently. Having access to your password will not give someone access to your accounts. However, you should still secure your password and practice good password hygiene.
- Use a strong password, with a mixture of uppercase and lowercase letters, numbers, and special characters.
- Use a different password for each account.
- Store your passwords in a secure, offline location. Cloud services and password managers can be hacked, and are not the most secure way to store your passwords.
- NEVER share your password with anyone.
La sicurezza non è mai troppa. Questa guida di base non è da considerarsi completa. Informati sempre su come proteggere al meglio i tuoi token, imparando dalla community, dai materiali informativi o dai canali di discussione.
Additional resources
Ecco alcune risorse aggiuntive su come proteggere il tuo computer:
- Windows - Proteggi il tuo computer a casa
- Mac - Configura il tuo Mac per proteggerlo
Cosa sono le approvazioni dei token e perché sono importanti?
Le approvazioni dei token concedono a una dapp l'autorizzazione ad accedere e spostare un tipo e una quantità specifici di token dal tuo portafoglio. La mancata attenzione alle approvazioni dei token accettati nel tuo portafoglio MetaMask potrebbe potenzialmente rappresentare una via di attacco per svuotare il tuo portafoglio.
Per evitare che ciò accada, prova ad attenerti alle seguenti linee guida:
- Controlla sempre cosa sta effettivamente richiedendo una dapp, prima di cliccare su "Approva". In MetaMask, puoi anche modificare l'importo al quale la dapp ha accesso. Se consenti l'accesso solo al 10% dei tuoi token, e la dapp si rivela una truffa, si tratta comunque di un risultato notevolmente migliore rispetto a quello che otterresti se concedessi un accesso illimitato.
- Svolgi le tue ricerche personali. Il momento migliore per iniziare a effettuare una due diligence su qualsiasi dapp prima di interagire con essa era sei mesi fa; il secondo momento migliore è oggi. Fai attenzione a errori di ortografia, immagini/loghi di bassa qualità e altri segnali.
- Ricorda che se qualcosa sembra troppo bello per essere vero, probabilmente non lo è. Se ti viene offerto un APY del 498.563%, probabilmente c'è qualcosa che non torna.
Per una spiegazione più dettagliata sulle approvazioni dei token e su come gestirle, leggi il seguente articolo.