8 min di lettura
Cosa succede se rimuovi una passkey da CardanoWall?
Rimuovere una passkey ri-cifra il vault dell'identità CardanoWall attuale verso i fattori che restano e cancella in modo definitivo il vecchio testo cifrato — una revoca reale d'ora in avanti, ma non può annullare un accesso già avvenuto.
Rimuovi una passkey e CardanoWall ri-cifra il vault dell'identità attuale verso i fattori che ti restano, poi cancella in modo definitivo il vecchio testo cifrato. La passkey che hai rimosso non può più aprire il vault che esiste da quel momento. Questa è una revoca autentica per gli sblocchi futuri.
Ciò che non fa, però, è agire in modo retroattivo. Se quella passkey è già stata usata per aprire il vault mentre era valida, la rimozione non può tornare indietro e annullare quell'accesso. In quel caso tratti l'identità come compromessa, non semplicemente come una a cui «manca un fattore».
Questo articolo spiega con precisione cosa cambia, cosa resta uguale e quando una rimozione basta, rispetto a quando invece ti serve una nuova identità.
Cosa protegge davvero la passkey?
Protegge l'accesso al vault dell'identità ospitato — niente di più, niente di meno.
Il vault è un pacchetto cifrato che contiene gli Identity Seed di cui il tuo account è titolare e le etichette private che hai assegnato a ciascuno. Ogni passkey che registri è un fattore di sblocco per quel pacchetto. Il server conserva solo testo cifrato che non è in grado di leggere; le tue passkey sono l'unica cosa che può aprirlo. (Per il quadro completo di come quel vault è costruito, vedi come CardanoWall conserva la tua identità e come le passkey proteggono il vault della tua identità.)
La distinzione che conta qui: la tua identità è il seed, non la passkey. Una passkey è solo un modo comodo per aprire la copia cifrata del seed. Rimuoverla cambia chi può aprire quella copia — non cambia l'identità in sé.
Cosa succede durante la rimozione?
Il vault viene ri-cifrato verso i fattori che restano. La sequenza è questa:
- Sblocchi il vault con un fattore valido.
- CardanoWall esclude la passkey selezionata dall'insieme dei destinatari.
- Il tuo browser ricostruisce il testo cifrato del vault per i fattori che restano.
- La riga del vault attuale viene sostituita con il nuovo testo cifrato e un numero di versione più alto.
- Il vecchio testo cifrato viene cancellato in modo definitivo.
- Il record della credenziale rimossa viene eliminato.
L'ordine è imposto sul server: una credenziale che compare ancora nell'insieme dei destinatari del vault non può essere eliminata. La revoca deve essere reale — non può sopravvivere alcun testo cifrato che la passkey rimossa sia in grado di aprire — mai cosmetica. Una volta che la chiamata restituisce il risultato, la passkey rimossa non apre più nulla di ciò che esiste ancora.
Perché cancellare il vecchio testo cifrato è così importante?
Perché il vecchio testo cifrato può ancora essere aperto dai vecchi fattori.
Se ogni copia storica del vault venisse conservata per sempre, rimuovere una passkey sarebbe pura scena. Il fattore rimosso potrebbe comunque decifrare una versione precedente del vault, e quella versione precedente contiene esattamente gli stessi seed. Avresti «rimosso» una chiave che funziona ancora su una copia rimasta lì nello storage.
Ecco perché il vault ospitato è una singola riga attuale che viene sostituita, non una cronologia append-only. La cancellazione definitiva è ciò che dà mordente alla rimozione di un fattore. Nelle infrastrutture reali possono esistere normali finestre di rotazione dei backup, ma il prodotto è progettato per non conservare mai il testo cifrato storico del vault come funzionalità.
E se fosse stata la mia ultima passkey?
Allora il vault stesso viene eliminato.
Se non resta alcun fattore, CardanoWall non conserva testo cifrato che nulla di registrato possa aprire. L'account ripiega sul percorso di inserimento del seed: recuperi l'accesso incollando il tuo Identity Seed.
Va bene se hai salvato il seed. È pericoloso se non l'hai fatto. Rimuovere l'ultimo fattore senza un seed salvato può escluderti dall'uso futuro di quell'identità — non perché qualcosa si sia rotto, ma perché hai eliminato ogni via di rientro. Il seed è il vero backup; il vault è solo uno strato di comodità che gli sta sopra. (Perché il seed conta ancora lo approfondisce nel dettaglio.)
Rimuovere una passkey influisce sulle prove che ho pubblicato?
No. I record Label 309 pubblicati restano on-chain e restano verificabili.
La validità di una prova non dipende dalle tue passkey attuali, dal tuo account attuale o dallo stato attuale del tuo vault. Chiunque abbia il riferimento della transazione può verificarla usando solo i metadati on-chain, i byte del contenuto se necessario e un explorer pubblico di Cardano — senza alcun login a CardanoWall. Se una prova si verificava prima che rimuovessi una passkey, si verifica allo stesso modo anche dopo.
La rimozione di una passkey governa l'accesso futuro al vault della tua identità. Non riscrive nulla di ciò che è già on-chain.
Ho appena perso una passkey. Cosa dovrei fare?
Rimuovila subito.
Se hai perso un telefono, un portatile o una chiave di sicurezza hardware, rimuovere la passkey è la prima mossa giusta. Dopo che il vault è stato ri-cifrato senza quel fattore, il dispositivo perso non può più aprire il vault attuale.
Se sei sicuro che il fattore perso non sia mai stato usato da qualcun altro — una chiave finita dietro a una scrivania, un telefono cancellato prima della rivendita — rimuoverlo potrebbe essere tutto ciò che serve. Nessuna rotazione dell'identità necessaria.
Se non puoi escludere che qualcuno l'abbia usato, continua a leggere.
E se la passkey potrebbe essere stata rubata e usata?
Prendi sul serio il rischio e sii preciso su cosa una passkey rubata, da sola, può e non può fare.
Una passkey rubata di per sé non è la stessa cosa di un seed rubato. Per aprire il tuo vault, un attaccante ha bisogno anche del testo cifrato del vault (che viaggia solo all'interno di una sessione autenticata) e di qualunque verifica utente l'authenticator richieda — un dato biometrico o un PIN del dispositivo. Una passkey da sola detiene una chiave, non il testo cifrato che quella chiave sblocca.
Ma se l'attaccante potrebbe aver usato la passkey prima che tu la rimuovessi — all'interno di una sessione dirottata, contro il vault attivo — allora potrebbe aver aperto il vault e letto il tuo Identity Seed. Una volta esposto il seed, l'identità è completamente compromessa: chi detiene il seed può derivare ogni chiave privata, decifrare i record sigillati indirizzati a quell'identità e firmare nuovi record sotto di essa.
In quello scenario, rimuovere la passkey non basta. La revoca protegge il vault d'ora in avanti; non può rendere di nuovo segreto un seed ormai uscito allo scoperto.
Cosa dovrei fare dopo una possibile esposizione del seed?
Passa a una nuova identità. La risposta a una compromissione è un'identità nuova, non un ripristino di quella vecchia — perché il seed e l'identità sono legati in modo permanente, non esiste un'operazione di «cambio del seed».
Se non puoi escludere l'esposizione del seed:
- crea un'identità nuova e salva il suo nuovo Identity Seed;
- registra su di essa nuovi fattori passkey;
- disattiva l'identità compromessa in CardanoWall (questo blocca nuove firme e pubblicazioni, lasciandoti comunque decifrare qualsiasi cosa sigillata verso di essa);
- smetti di condividere i vecchi indirizzi di ricezione;
- ripubblica le tue nuove chiavi pubbliche ovunque avessi pubblicato le vecchie — profili pubblici, il tuo sito, record DNS,
.well-knowne i tuoi contatti; - pubblica un record di supersessione dove può essere utile a chi legge a valle.
Un seed è un'identità. (Attiva, disattivata, eliminata ti accompagna attraverso ogni stato del ciclo di vita.) Nota il limite onesto: qualsiasi cosa già sigillata verso le chiavi compromesse resta decifrabile da chi le detiene — Cardano e Arweave non mantengono alcuna primitiva di revoca per i contenuti già pubblicati. La disattivazione e un puntatore di supersessione sono segnali per chi vi fa affidamento, non un richiamo dei dati passati.
Cos'è il version pin e perché esiste?
È una difesa contro un server che esegue il replay di un vault obsoleto.
La riga del vault porta con sé un numero di versione che può solo aumentare. Il tuo browser ricorda la versione più alta che ha visto. Se un server compromesso provasse a restituire un testo cifrato del vault più vecchio — uno che una passkey rimossa da allora potrebbe ancora aprire — il client può accorgersi che la versione restituita è più bassa del previsto e rifiutarla.
Questa è difesa in profondità, non un sostituto della custodia del seed. Chiude un divario specifico: il replay di un vault obsoleto contro un fattore rimosso. Non fa nulla per aiutarti se perdi il seed e ogni fattore di sblocco tutti in una volta.
In breve
Rimuovere una passkey ri-cifra il vault dell'identità attuale verso i fattori che restano e cancella in modo definitivo il vecchio testo cifrato. La passkey rimossa non può più aprire il vault che esiste dopo la rimozione.
L'unico avvertimento: se quel fattore potrebbe essere già stato usato mentre era valido, dai per scontato che il seed possa essere stato esposto e passa a una nuova identità. La revoca protegge il futuro. Non può cambiare il passato.
Approfondimenti
- La tua identità è un seed e perché il seed conta ancora — l'artefatto durevole dietro ogni passkey.
- Come CardanoWall conserva la tua identità e come le passkey proteggono il vault della tua identità — la costruzione del vault nel dettaglio.
- Passkey sincronizzate e chiavi hardware a confronto — come scegliere i fattori e capire i loro modelli di recupero.
- Attiva, disattivata, eliminata — il ciclo di vita dell'identità che usi durante una risposta a una compromissione.
- Lo standard Label 309 e le sue implementazioni open-source vivono su github.com/cardanowall; lo standard è stato sottoposto al processo CIP di Cardano ed è in revisione da parte degli editor CIP.