Guida alla sicurezza

Entropia della password spiegata

Comprendi l'entropia della password, lo spazio di ricerca, la dimensione dell'alfabeto, la lunghezza e perché i bit teorici sono solo una stima superiore.

Riepilogo

L’entropia della password è un modo per descrivere la dimensione dello spazio di ricerca che un attaccante dovrebbe esplorare. Per una password uniformemente casuale, una formula utile per il limite superiore è:

bits = length × log2(alphabet size)

Usa il calcolatore del tempo di cracking delle password per confrontare le ipotesi.

Dimensione dell’alfabeto

La dimensione dell’alfabeto è il numero di caratteri possibili. Le lettere minuscole offrono 26 opzioni. Maiuscole più minuscole danno 52. Aggiungendo cifre si arriva a 62. I simboli possono aumentare ulteriormente il pool, ma solo se il servizio li accetta e il generatore li seleziona casualmente.

Lunghezza

La lunghezza moltiplica lo spazio di ricerca. Una password casuale più lunga di solito fornisce un miglioramento pratico maggiore rispetto a una password corta decorata con simboli prevedibili.

Avvertenza sul limite superiore

La formula presuppone che ogni posizione sia selezionata uniformemente dall’alfabeto. Non si applica a frasi umane, password riutilizzate, parole del dizionario, date, percorsi di tastiera, credenziali trapelate o output modificati. Inoltre, non modella l’hashing lato servizio o i limiti di velocità online.

Raccomandazioni pratiche

• Tratta l’entropia come uno strumento di confronto, non come una garanzia.
• Preferisci valori generati casualmente.
• Usa più lunghezza per alfabeti ristretti.
• Mantieni ogni password unica.
• Conserva i risultati in modo sicuro.

Guida dettagliata

Questa guida si concentra sull’interpretazione dell’entropia della password senza esagerazioni. È scritta per lettori che confrontano lunghezza, dimensione dell’alfabeto e liste di parole per passphrase, quindi l’obiettivo pratico non è creare un’affermazione di sicurezza drammatica. L’obiettivo è scegliere un’abitudine per le password che possa sopravvivere all’uso quotidiano: moduli di accesso, gestori di password, tastiere mobili, recupero account, dispositivi condivisi e il servizio occasionale con strane regole di validazione. Una raccomandazione sicura è utile solo se una persona reale può seguirla coerentemente.

Il punto di partenza più sicuro è casualità più unicità. Casualità significa che il valore è selezionato da un grande spazio da una fonte casuale crittograficamente adatta, non inventato da un compleanno, un nome di animale domestico, un pattern di tastiera o una citazione preferita. Unicità significa che la stessa password non viene usata da nessun’altra parte. Una password lunga ma riutilizzata può fallire rapidamente dopo una violazione non correlata, mentre una password unica e casuale limita il danno al singolo account in cui è stata usata.

Per questo argomento, un preset pratico è lunghezza moltiplicata per log2 della dimensione dell’alfabeto casuale per password uniformemente casuali. Puoi applicare questo preset con il controllore della forza della password e poi memorizzare il valore finale in un gestore di password affidabile. PwdGen genera valori localmente nel browser con Web Crypto; la password generata non viene inviata a un server PwdGen. Questo design locale riduce l’esposizione lato server, ma non protegge da ogni minaccia. Un’estensione del browser dannosa, un dispositivo compromesso, una pagina di phishing o una gestione non sicura degli appunti possono ancora esporre un segreto dopo la generazione.

I problemi più comuni da evitare sono applicare la formula semplice a password scelte dall’uomo, ignorare il riutilizzo e trattare le stime come garanzie. Questi problemi contano perché gli attaccanti raramente hanno bisogno di forzare bruscamente ogni possibile password quando le abitudini umane danno loro una scorciatoia. Credential stuffing, phishing, liste di password trapelate e abuso del recupero account sono spesso più realistici di una pura ricerca matematica. Ecco perché il miglior consiglio combina la qualità della password con controlli a livello di account come MFA, passkey, archiviazione dei codici di recupero e revisione regolare delle impostazioni di email o telefono di recupero.

Usa questa checklist quando applichi la raccomandazione:

• Usa l’entropia solo per la generazione casuale.
• Usa controlli stile zxcvbn per input umani.
• Aumenta la lunghezza quando si applicano restrizioni sull’alfabeto.
• Ricorda che gli hash di archiviazione influenzano la velocità dell’attacco.

Se un sito web rifiuta l’impostazione ideale, non forzare la password in un pattern più debole manualmente. Regola una variabile alla volta. Se i simboli sono rifiutati, mantieni maiuscole, minuscole e numeri abilitati e aumenta la lunghezza. Se la lunghezza massima è bassa, usa la lunghezza massima accettata e assicurati che il valore sia unico. Se una password deve essere letta ad alta voce, stampata o digitata su uno schermo TV o router, considera di escludere caratteri confondibili e aumentare la lunghezza per compensare l’alfabeto più piccolo.

Infine, ricorda il confine del consiglio sulle password. Una password forte è uno strato di difesa, non una garanzia. Non può rendere sicura una pagina di phishing, riparare malware o compensare un servizio che memorizza le credenziali in modo inadeguato. L’abitudine utile è noiosa ma durevole: genera un valore unico, conservalo in modo sicuro, proteggi il percorso di recupero e sostituiscilo rapidamente se sospetti un’esposizione.

Un prossimo passo sicuro

Dopo aver letto questa guida, fai un piccolo audit di un account invece di cercare di sistemare tutto in una volta. Scegli l’account che causerebbe più problemi se fosse compromesso, conferma che la sua password sia unica e controlla l’email di recupero, il telefono di recupero, il metodo MFA e l’archiviazione dei codici di backup. Se qualche parte di questa catena è debole, migliora quella parte prima di passare ad account a rischio più basso. Questo ordine mantiene il lavoro gestibile e protegge gli account che gli attaccanti hanno più probabilità di usare come trampolino di lancio. Per l’entropia della password spiegata, il miglior risultato è un’abitudine ripetibile: genera localmente, conserva con cura ed evita il riutilizzo.

Domande frequenti

Qual è la semplice formula dell’entropia?

Per caratteri uniformemente casuali, una formula comune per il limite superiore è lunghezza moltiplicata per log2 della dimensione dell’alfabeto.

Perché l’entropia è solo una stima?

Presuppone una selezione casuale uniforme e non tiene conto di riutilizzo, fughe di dati, modifiche umane, dispositivi compromessi o archiviazione di destinazione.

I simboli aggiungono sempre più entropia?

I simboli aumentano la dimensione dell’alfabeto quando selezionati casualmente, ma aumentare la lunghezza spesso dà un beneficio maggiore e più facile da usare.