Una chiave di sicurezza hardware è la migliore protezione quotidiana per i tuoi account: la chiave privata vive in un chip sicuro e non lo abbandona mai, così nemmeno il malware può rubarla. Ma proprio questa forza crea un rischio: se la tua unica chiave viene persa, rubata o smette di funzionare, puoi restare bloccato ovunque sia l'unico modo per entrare. Questa guida mostra come una seconda chiave elimina quel rischio.
Perché una sola chiave è un punto di guasto singolo
A differenza di un gestore di password che si sincronizza nel cloud, una chiave hardware non ha alcuna copia da nessuna parte. Non c'è un pulsante «riscarica la mia chiave». La chiave è un oggetto fisico, e gli oggetti fisici si perdono, restano in albergo, finiscono in lavatrice o cedono al connettore USB dopo anni d'uso.
Se quella chiave è l'unico metodo 2FA della tua email, e la tua email è la via di reimpostazione di tutto il resto, perderla può trascinare via l'accesso a tutta la tua vita digitale. Una chiave hardware batte l'SMS e persino le app TOTP sulla resistenza al phishing, ma scambia questa forza con una verità dura: senza riserva, nessuna scorciatoia di recupero.
La soluzione non è evitare le chiavi hardware. È possederne e registrarne una seconda fin dall'inizio.
La regola delle due chiavi
La buona pratica riconosciuta dai team di sicurezza è semplice: compra due chiavi, registrale entrambe e custodiscile separate.
| Ruolo | Dove vive | Serve per |
|---|---|---|
| Chiave principale | Sul tuo portachiavi quotidiano | L'accesso di tutti i giorni |
| Chiave di riserva | Un luogo sicuro a casa (cassetto, cassaforte, persona fidata) | Il recupero se la principale si perde o si rompe |
La chiave di riserva non è un clone: una YubiKey non si può copiare, per progettazione. Ogni account memorizza invece due chiavi registrate, e l'una o l'altra ti fa accedere. Se perdi la principale, la riserva funziona ancora, e registri un rimpiazzo con i tuoi tempi.
Per uno sviluppatore o chiunque gestisca sistemi critici, una terza chiave fuori sede (da un parente, in una cassaforte d'ufficio) aggiunge un altro livello. Il principio si adatta: nessun account deve dipendere da un solo oggetto.
Come configurare la chiave di riserva, passo dopo passo
L'ordine conta. Registra entrambe le chiavi prima di disattivare gli altri metodi 2FA, per non dipendere mai da una sola chiave durante la configurazione.
- Compra due chiavi. Non devono essere identiche. Una YubiKey 5C NFC principale con una riserva FIDO2 più economica come Token2 o Titan funziona alla perfezione, perché l'accesso FIDO2 è identico tra le marche.
- Scegli prima gli account critici. Email, gestore di password, archiviazione cloud e ogni account che può reimpostarne altri. Sono quelli in cui un blocco fa più male.
- Registra la chiave principale su ogni account, nelle impostazioni di sicurezza o di doppio fattore, sotto «aggiungi una chiave di sicurezza» o «passkey».
- Registra la chiave di riserva sugli stessi account, subito. La maggior parte dei servizi consente di aggiungere più chiavi e di nominarle («Principale», «Riserva»).
- Salva i codici di recupero che ogni servizio offre all'attivazione della 2FA. Conservali in un posto diverso dalle due chiavi — stampati in un cassetto, o nel tuo gestore di password.
- Solo ora valuta di rimuovere i metodi deboli (SMS) se il servizio mantiene un ripiego sicuro. Conserva almeno una via di recupero che controlli.
Un test rapido chiude il cerchio: esci e rientra con la sola chiave di riserva. Se funziona, la tua via di recupero è provata, non supposta.
Cosa fare se perdi la chiave principale
Con una chiave di riserva già registrata, una chiave persa è una seccatura, non una crisi:
- Accedi con la chiave di riserva (o i codici di recupero salvati) per raggiungere ogni account.
- Rimuovi la chiave persa nelle impostazioni di sicurezza di ogni servizio in cui era registrata. Questo le impedisce di funzionare se qualcuno la trova — anche se la chiave è inutile senza conoscere anche la tua password e il tuo account.
- Ordina un rimpiazzo e registralo come nuova chiave di riserva, per tornare a due chiavi ovunque.
Poiché la chiave firma solo richieste per il sito esatto che le viene presentato, uno sconosciuto che la trova non può fare phishing per entrare nei tuoi account con essa. Comunque, rimuoverla in fretta è la mossa pulita e disciplinata.
Se non avevi né chiave di riserva né codici di recupero, il recupero ricade sulla procedura di ogni provider — controlli d'identità, tempi d'attesa, un servizio alla volta. È esattamente il percorso lento e stressante che la regola delle due chiavi serve a evitare.
Tieni il gestore di password nel circuito
Il tuo gestore di password è uno degli account che più merita due chiavi registrate — e può anche custodire i codici di recupero dei tuoi altri account in un'unica cassaforte cifrata. Per attivare l'accesso con chiave hardware (FIDO2/WebAuthn) su Bitwarden serve il piano Premium.
Attiva l'accesso con chiave hardware su Bitwarden Premium →10 $/anno · Compatibile con qualsiasi chiave FIDO2 (YubiKey, Titan, SoloKeys, Token2) · Open source verificato→In sintesi
Una chiave hardware è la migliore 2FA che puoi comprare, ma è resiliente solo quanto il tuo piano di riserva. Possiedi due chiavi, registrale entrambe su ogni account critico prima di disattivare gli altri metodi, custodiscile separate e salva i codici di recupero altrove. Fallo una volta, e una chiave persa diventa una riparazione di 15 minuti invece di un blocco di più giorni.
Per il dettaglio marca per marca su quali chiavi abbinare, vedi il nostro confronto delle chiavi di sicurezza hardware.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Un gestore con 2FA e passkey integrate → NordPassSalva TOTP e passkey · XChaCha20 · piano gratuito→Domande frequenti
Perché mi serve una YubiKey di riserva?
Una chiave hardware non si sincronizza nel cloud. Se la tua unica chiave viene persa, rubata o si rompe, puoi restare chiuso fuori da ogni account in cui è l'unico metodo di accesso. Una seconda chiave registrata è la tua via di recupero: non dipendi mai da un solo oggetto fisico.
La chiave di riserva copia la prima?
No. Una YubiKey non si può clonare: le chiavi private non lasciano mai il chip sicuro, per progettazione. Una chiave di riserva è una chiave indipendente che registri insieme a quella principale su ogni account. Entrambe funzionano allora; l'una o l'altra ti fa accedere.
Quante chiavi di sicurezza dovrei possedere?
Almeno due: una chiave principale che porti con te e una di riserva custodita in un luogo sicuro (un cassetto a casa, una cassaforte o presso una persona fidata). I profili ad alto rischio aggiungono spesso una terza chiave fuori sede. La regola è semplice: nessun account deve dipendere da una sola chiave.
Posso usare una chiave più economica come riserva?
Sì, purché supporti lo stesso standard (FIDO2/U2F) e funzioni con i tuoi account. Una Token2 T2F2 NFC (~22 $) o una Google Titan (~30 $) è un'ottima riserva a basso costo per una YubiKey 5 principale, perché l'accesso FIDO2 è identico tra le marche.
Cosa faccio se perdo la YubiKey senza riserva?
Usa i codici di recupero salvati quando hai attivato la 2FA per rientrare, poi rimuovi la chiave persa nelle impostazioni di sicurezza di ogni servizio e registra una nuova chiave. Senza codici salvati né chiave di riserva, il recupero può richiedere giorni e una verifica d'identità, account per account.
Dove dovrei conservare la mia chiave di sicurezza di riserva?
In un luogo fisicamente separato dalla chiave principale, così che un solo evento (una borsa rubata, un incendio in una stanza) non possa portare via entrambe. Una cassaforte in casa, un cassetto chiuso a chiave o la casa di un parente fidato sono scelte comuni. Conserva i codici di recupero in un posto ancora diverso.
