Ti hanno rubato la YubiKey: cosa fare nei prossimi 10 minuti
Ti hanno rubato la YubiKey. O l'hai persa. O semplicemente non la trovi e non sai se è rimasta nella tasca della giacca o se è finita nelle mani di qualcun altro.
Hai una finestra di tempo. Non molta. Ecco cosa devi fare immediatamente.
Piano d'azione immediato
L'ordine è fondamentale. Inizia da ciò che può causare più danni se qualcuno vi accede prima di te.
Prima di ogni altra cosa. Se ti rubano lo smartphone con le sessioni aperte, revocare la YubiKey non serve a nulla — la sessione resta attiva. Su Google vai in "Gestisci dispositivi" e chiudile tutte. Negli altri servizi cerca "Esci da tutti i dispositivi". Questo sempre per primo.
È la tua chiave maestra. Chi controlla la tua email può resettare quasi ogni account. Vai nelle impostazioni di sicurezza, rimuovi la YubiKey come metodo di autenticazione e attiva temporaneamente un altro metodo — app di autenticazione o codice di verifica.
Revolut, PayPal, Wise, Fineco. Accedi da un altro dispositivo, revoca la YubiKey nelle impostazioni di sicurezza. Se non riesci ad accedere, chiama direttamente la banca e chiedi il blocco dell'accesso digitale.
Binance, Coinbase, Kraken. Se hai dei fondi, questa è la priorità massima. Entra, revoca la YubiKey e attiva un 2FA alternativo. Se non riesci ad accedere, avvia immediatamente il processo di recupero dell'account dell'exchange.
Bitwarden, 1Password, KeePass. Se il tuo gestore usa la YubiKey come secondo fattore, revocala da un altro dispositivo o usa i codici di emergenza che hai generato durante la configurazione.
Google, GitHub, social network e qualsiasi altro servizio dove hai registrato la YubiKey. Revoca l'accesso account per account dalle impostazioni di sicurezza di ogni servizio.
Se non tieni un registro, il modo più rapido è cercare nelle tue email le notifiche di quando l'hai configurata. Cerca termini come "security key", "chiave di sicurezza" o "YubiKey" nella tua casella di posta.
Se hai una YubiKey di backup
Questa è la situazione ideale. Hai una seconda chiave configurata — la attivi e torni subito operativo.
Il processo è lo stesso per ogni servizio: accedi con il tuo secondo fattore alternativo (la chiave di backup o i codici di emergenza), vai nelle impostazioni di sicurezza e rimuovi la chiave rubata dalla lista dei dispositivi attendibili.
Una volta revocata in tutti i servizi, la chiave rubata è inutile — anche se qualcuno la possiede, non potrà autenticarsi con essa in nessuno dei tuoi account.
Revocare la chiave specifica rimuove quel dispositivo dal tuo account. Disattivare il 2FA rimuove tutta la protezione. Assicurati di fare la prima cosa, non la seconda.
Se non hai un backup
Più scomodo, ma c'è una soluzione.
La maggior parte dei servizi ha metodi di recupero alternativi che hai configurato quando hai attivato la YubiKey. Il problema è che molte persone li impostano e poi li dimenticano.
Google, GitHub e molti altri servizi generano codici monouso quando attivi il 2FA. Se li hai salvati — in un gestore di password, su carta o in un file — usali ora.
Se hai configurato un'app di autenticazione (Google Authenticator, Aegis, Authy) oltre alla YubiKey, usala per entrare e revocare la chiave rubata.
Se non hai alcun metodo alternativo, ogni servizio ha un processo di recupero dell'account. Di solito richiede la verifica dell'identità e può richiedere da poche ore a diversi giorni. È la via più lenta — un'altra ragione per avere un backup configurato in anticipo.
Solo quelli che hanno la YubiKey come unico secondo fattore e non hanno alcun metodo alternativo configurato. Se hai un'app di autenticazione o i codici di emergenza come backup, il rischio è minimo — la chiave rubata non serve a nulla senza il resto delle tue credenziali.
Raccomandazione: imposta il tuo PIN prima che sia tardi
Se la tua YubiKey non ha un PIN configurato, chiunque la trovi può usarla direttamente per autenticarsi nei tuoi account — se conosce anche la tua password. Con il PIN attivato, la chiave si blocca dopo diversi tentativi falliti e diventa inutile per chiunque non conosca il codice.
Configurare il PIN richiede meno di 2 minuti tramite YubiKey Manager. Se non l'hai ancora fatto, fallo ora — prima di aver effettivamente bisogno di questo articolo.
→ Come configurare il PIN in YubiKey Manager
Vassoio formato tessera
Porta la tua YubiKey nel portafoglio — sempre con te, sempre localizzata. Formato carta di credito standard.
Portafoglio Slim con blocco RFID
Portafoglio minimalista con slot per YubiKey e alloggiamento per AirTag integrato. Se lo perdi, lo localizzi subito.
Perdere la YubiKey ha una soluzione. Perdere l'accesso ai tuoi account, non sempre.
Se hai un backup configurato e il PIN attivato, perdere la chiave è un inconveniente minore — revochi, attivi la seconda e prosegui. Senza queste precauzioni, il processo è faticoso e può costarti l'accesso ad account critici.
La vera prevenzione non è solo sapere cosa fare quando succede — è tenerla sempre con sé e proteggerla per non perderla mai.
Domande frequenti
Possono usare la mia YubiKey senza PIN?
Sì. Se non hai impostato un PIN, chiunque possieda la chiave può usarla direttamente — a condizione che conosca anche la tua password. Con il PIN attivato, la chiave si blocca dopo vari tentativi falliti.
Possono clonare la mia YubiKey?
No. La YubiKey è progettata per essere impossibile da clonare — le chiavi private non lasciano mai il dispositivo fisico. Per autenticarsi, serve l'oggetto reale in mano.
Cosa succede se non ho un backup configurato?
Dovrai usare i metodi di recupero di ogni servizio — codici di emergenza, secondo fattore alternativo o la procedura di recupero dell'account del fornitore. Può essere un processo lento.
Cosa succede se dimentico il PIN?
Se inserisci il PIN in modo errato per un certo numero di volte, la YubiKey si blocca. Per sbloccarla serve la PUK (PIN Unblocking Key) generata durante la configurazione del PIN. Se non hai nemmeno la PUK, la chiave diventa inutilizzabile e deve essere resettata (cancellando tutti i dati presenti). Salva sempre la PUK in un luogo sicuro.
