Trusted Codes

FAQ

Domande Frequenti

Tutto ciò che deve sapere su Trusted Codes.

Per Iniziare

Scarichi l'app, crei il Suo account e inizi ad aggiungere contatti fidati. Quando incontra qualcuno di persona — familiari, amici o colleghi — lo aggiunga al Suo vault. Da quel momento in poi, potrà verificare la sua identità con un semplice controllo del codice ogni volta che La contatta.

No — ogni livello di Trusted Codes è sicuro, ma l'app offre l'esperienza completa. I codici ospite Le consentono di verificare chiunque istantaneamente, senza installazione. Un'app web leggera (in arrivo) offre ad aziende, subappaltatori e fornitori di servizi un portale di verifica brandizzato per i loro clienti. E l'app nativa è lo standard di riferimento: vault con crittografia end-to-end, verifica offline e rotazione automatica giornaliera del codice — la protezione più forte disponibile.

Assolutamente sì. L'app è progettata per essere il più semplice possibile. Una volta configurata, gli utenti devono solo aprire l'app e leggere tre parole. Nessuna conoscenza tecnica richiesta. Consigliamo di aiutare i parenti anziani a configurare i loro contatti di persona.

Se perde il Suo dispositivo, può accedere al Suo account da un nuovo dispositivo utilizzando la chiave di recupero. Dovrebbe inoltre avvisare i Suoi contatti fidati che il Suo dispositivo è stato smarrito, in modo che possano essere particolarmente prudenti fino a quando non confermi che il nuovo dispositivo è sicuro.

Sicurezza e Privacy

Potrebbe, ma solo entro una finestra di 24 ore prima che il codice cambi. E avrebbe comunque bisogno di una connessione esistente con Lei (che Lei dovrebbe prima approvare) o dovrebbe indurLa ad accettarlo come nuova connessione (dove il punteggio di fiducia La avviserebbe). La natura a tempo limitato dei codici rende gli attacchi replay molto difficili.

Con 100 connessioni (utente avanzato tipico), la probabilità di una collisione è inferiore allo 0,001%. Se si verifica, l'app mostra entrambi i contatti corrispondenti e Le chiede di specificare quale persona intendeva. Non si verifica alcuna violazione della sicurezza — semplicemente scelga la persona giusta.

I codici si basano su finestre temporali di 24 ore. Finché il Suo orologio è entro pochi minuti dall'ora corretta, i codici corrisponderanno. L'app può anche controllare finestre temporali adiacenti (±15 minuti) per gestire lievi sfasamenti dell'orologio. Se il Suo orologio è molto impreciso, l'app mostrerà un avviso.

No. I codici vengono generati sul Suo dispositivo utilizzando il segreto crittografato. Il segreto è crittografato end-to-end — solo i Suoi dispositivi possono decrittarlo. Non vediamo mai il segreto decrittato, non vediamo mai i codici (non vengono trasmessi) e, anche se volessimo, non potremmo generare i Suoi codici. Questa si chiama architettura "zero-knowledge".

Anche se i nostri server fossero completamente compromessi, gli aggressori otterrebbero solo dati crittografati che non possono decrittare. Le Sue chiavi private non lasciano mai il Suo dispositivo. I Suoi segreti restano Suoi. Una violazione del server è irrilevante per la Sua sicurezza — questo si chiama "protezione dei dati fin dalla progettazione".

Sono due situazioni diverse. Chi ruba le Sue credenziali di accesso non ottiene quasi nulla: i segreti di verifica sono cifrati end-to-end per dispositivo — una password rubata da sola non può generare i Suoi codici. Aggiungere un nuovo dispositivo richiede la Sua chiave di recupero o l'approvazione da un dispositivo che già possiede. Chi invece prende il controllo del Suo dispositivo sbloccato può generare i Suoi codici finché lo detiene — lo stesso rischio di qualsiasi credenziale legata al dispositivo. Il danno resta contenuto: i segreti sono conservati nel portachiavi sicuro del dispositivo dietro la biometria e non esiste un archivio centrale dei codici — sono interessate solo le connessioni di quella persona. Il ripristino è semplice: i Suoi contatti rimuovono la connessione e la ristabiliscono, generando nuovi segreti e invalidando in modo permanente tutto ciò che l'attaccante ha copiato. Nelle organizzazioni, le identità Beacon sono legate agli account dei dipendenti e possono essere revocate centralmente non appena un dispositivo viene segnalato come compromesso.

Attualmente no. I computer quantistici in grado di violare la nostra crittografia (X25519) non esistono ancora e si stima che siano a 10-20 anni di distanza. Monitoriamo attivamente gli standard di crittografia post-quantistica e aggiorneremo i nostri sistemi prima che i computer quantistici diventino una minaccia. La generazione del codice a tre parole NON è vulnerabile ai computer quantistici.

Limitazioni e Risposte Oneste

Crediamo nella trasparenza su ciò che Trusted Codes può e non può fare.

Trusted Codes verifica che qualcuno sia la stessa persona che ha precedentemente aggiunto. Non può verificare se la persona che ha originariamente aggiunto diceva la verità sulla propria identità. Se aggiunge un truffatore che finge di essere la Sua banca, la verifica andrà a buon fine quando lo stesso truffatore chiamerà di nuovo. Ecco perché dovrebbe aggiungere solo persone che conosce di persona.

Se qualcuno La costringe a fornire i codici sotto minaccia, il sistema non è in grado di rilevarlo. Stiamo sviluppando i "codici di emergenza" come funzionalità futura — codici speciali che sembrano validi ma avvisano silenziosamente le autorità.

Se qualcuno ruba il telefono del Suo amico e supera il blocco biometrico, potrebbe leggere il codice di verifica e impersonarlo. Ecco perché la verifica dovrebbe essere combinata con altri controlli per richieste ad alto rischio: richiami su un numero salvato, richieda una videochiamata o utilizzi una parola segreta concordata.

Sì! Una volta scaricati i segreti crittografati per le Sue connessioni, tutto funziona offline. I segreti sono archiviati nel portachiavi sicuro del Suo dispositivo, la lista di parole è integrata nell'app e la generazione dei codici è puramente matematica. Può essere in modalità aereo e verificare comunque.

Prezzi

Sì. Proteggere la Sua famiglia dalle truffe non dovrebbe essere un lusso. Il nostro generoso piano gratuito copre la maggior parte delle esigenze personali e familiari. Crediamo che tutti meritino protezione dalle frodi per impersonificazione, indipendentemente dalla propria situazione finanziaria.

Stiamo sviluppando soluzioni per aziende e organizzazioni con esigenze di sicurezza specifiche. Se è interessato, ci contatti per discutere le Sue esigenze.

Non servono milioni di connessioni — è proprio a questo che servono i Beacon. Le connessioni 1:1 sono pensate per persone che già si conoscono. Una banca registra un unico Beacon a livello di organizzazione e assegna un'identità Beacon a ogni dipendente che effettua chiamate in uscita. Qualsiasi cliente può verificare un codice Beacon tramite una verifica web gratuita — senza installare app, senza account, senza abbinamento preventivo. Rollout e modello di prezzo si adattano quindi al personale che chiama, non alla base clienti. Per il pieno controllo su residenza dei dati e infrastruttura, i grandi istituti possono inoltre gestire il servizio di verifica come server federato self-hosted: il proprio nodo, i propri dati, pienamente interoperabile con il resto della rete.

Ha ancora domande?

Siamo qui per aiutarLa. Ci contatti e Le risponderemo il prima possibile.

Pronto a proteggere ciò che conta?

Inizi in 60 secondi. Gratuito per le famiglie.