Guida alla sicurezza
Password vs Passphrase
Confronto tra password casuali e passphrase casuali, inclusi memorabilità, entropia, archiviazione e casi d'uso sicuri.
Riepilogo
Una password è solitamente una stringa di caratteri casuali. Una passphrase è solitamente una sequenza di parole. Entrambe possono essere forti se generate casualmente, uniche e archiviate o memorizzate in modo sicuro. La scelta giusta dipende dal fatto che tu abbia bisogno di massima compattezza, facilità di digitazione o memorabilità.
Usa il generatore di passphrase quando vuoi parole casuali, o il generatore di password quando un sito richiede una password compatta di caratteri.
Password di caratteri casuali
Le password di caratteri casuali sono efficienti: ogni carattere può aumentare lo spazio di ricerca. Sono ideali per gestori di password, pannelli di amministrazione, WiFi, banking, email e segreti per sviluppatori. Lo svantaggio è che sono difficili da memorizzare e sgradevoli da digitare su tastiere piccole.
Passphrase di parole casuali
Le passphrase sono più facili da leggere e digitare. La parola importante è “casuale”. Una frase inventata, una citazione, un testo di canzone o una frase familiare possono essere indovinate da strumenti basati su pattern. Una passphrase dovrebbe essere composta da parole selezionate indipendentemente da un elenco sufficientemente grande.
Raccomandazioni pratiche
- Usa password di caratteri casuali per la maggior parte degli account archiviati in un gestore.
- Usa passphrase per credenziali che potresti dover ricordare.
- Non riutilizzare nessuno dei due formati.
- Evita frasi personali, citazioni, nomi e date.
- Verifica se spazi o separatori sono accettati dalla destinazione.
Guida dettagliata
Questa guida si concentra sulla scelta tra password di caratteri casuali e passphrase casuali. È scritta per persone che hanno bisogno sia di password archiviate sicure che di segreti di accesso memorabili, quindi l’obiettivo pratico non è creare un’affermazione di sicurezza drammatica. L’obiettivo è scegliere un’abitudine per le password che possa sopravvivere all’uso quotidiano: moduli di accesso, gestori di password, tastiere mobili, recupero account, dispositivi condivisi e il servizio occasionale con strane regole di validazione. Una raccomandazione sicura è utile solo se una persona reale può seguirla coerentemente.
Il punto di partenza più sicuro è casualità più unicità. Casualità significa che il valore è selezionato da un grande spazio da una fonte casuale crittograficamente adatta, non inventato da un compleanno, un nome di animale domestico, un pattern di tastiera o una citazione preferita. Unicità significa che la stessa password non viene usata altrove. Una password lunga ma riutilizzata può fallire rapidamente dopo una violazione non correlata, mentre una password unica e casuale limita il danno al singolo account in cui è stata usata.
Per questo argomento, un preset pratico è da quattro a sei parole casuali per la memorabilità, o caratteri casuali per l’archiviazione nel gestore di password. Puoi applicare questo preset con il generatore di passphrase e poi archiviare il valore finale in un gestore di password affidabile. PwdGen genera valori localmente nel browser con Web Crypto; la password generata non viene inviata a un server PwdGen. Questo design locale riduce l’esposizione lato server, ma non protegge da ogni minaccia. Un’estensione del browser dannosa, un dispositivo compromesso, una pagina di phishing o una gestione non sicura degli appunti possono ancora esporre un segreto dopo la generazione.
I problemi più comuni da evitare sono frasi scritte a mano, citazioni famose, testi di canzoni, slogan personali e frasi da dizionario scelte da un umano. Questi problemi contano perché gli attaccanti raramente devono forzare ogni possibile password quando le abitudini umane danno loro una scorciatoia. Credential stuffing, phishing, elenchi di password trapelate e abuso del recupero account sono spesso più realistici di una ricerca puramente matematica. Ecco perché il miglior consiglio combina la qualità della password con controlli a livello di account come MFA, passkey, archiviazione dei codici di recupero e revisione regolare delle impostazioni di email o telefono di recupero.
Usa questa checklist quando applichi la raccomandazione:
- Usa parole selezionate casualmente, non una frase che inventi.
- Mantieni i separatori coerenti con il modulo di destinazione.
- Non riutilizzare una passphrase tra account.
- Usa un gestore per password lunghe e casuali.
Se un sito web rifiuta l’impostazione ideale, non forzare la password in un pattern più debole a mano. Regola una variabile alla volta. Se i simboli sono rifiutati, mantieni maiuscole, minuscole e numeri abilitati e aumenta la lunghezza. Se la lunghezza massima è bassa, usa la lunghezza massima accettata e assicurati che il valore sia unico. Se una password deve essere letta ad alta voce, stampata o digitata su uno schermo TV o router, considera di escludere caratteri confondibili e aumenta la lunghezza per compensare l’alfabeto più piccolo.
Infine, ricorda il confine del consiglio sulle password. Una password forte è uno strato di difesa, non una garanzia. Non può rendere sicura una pagina di phishing, riparare malware o compensare un servizio che archivia le credenziali in modo inadeguato. L’abitudine utile è noiosa ma duratura: genera un valore unico, archivialo in modo sicuro, proteggi il percorso di recupero e sostituiscilo rapidamente se sospetti un’esposizione.
Domande frequenti
Una passphrase è sempre più forte di una password?
No. Una passphrase casuale può essere forte, ma una citazione familiare o una frase non equivale a parole selezionate casualmente.
Quando dovrei scegliere una passphrase?
Scegli una passphrase quando potresti doverla ricordare o digitare manualmente, specialmente per una credenziale master del gestore di password.
Quante parole dovrebbe usare una passphrase?
Quattro parole casuali sono un punto di partenza pratico; aggiungi più parole per usi di valore più alto o elenchi di parole più piccoli.