Guida alla sicurezza
Cos'è il tempo di cracking delle password?
Scopri cosa significano le stime del tempo di cracking delle password, perché le ipotesi sul tasso di attacco sono importanti e perché le stime non sono garanzie.
Riepilogo
Il tempo di cracking delle password è una stima di quanto tempo potrebbe richiedere un attacco di indovinamento in un modello specifico. Il modello è importante. L’indovinamento online contro un servizio live è diverso dal cracking offline di un hash di password trapelato. Un numero universale di “tempo per crackare” è fuorviante senza ipotesi.
Usa il calcolatore del tempo di cracking delle password e il controllore di robustezza per confrontare scenari localmente.
Indovinamento online
L’indovinamento online è limitato dal servizio. Limiti di velocità, blocchi, monitoraggio, MFA e rilevamento di anomalie possono rallentare o fermare gli attacchi. Un PIN breve può essere accettabile solo perché il sistema limita i tentativi.
Cracking offline
Il cracking offline avviene quando gli aggressori hanno hash di password o materiale crittografato. La velocità dipende dall’algoritmo di hash, dal fattore di costo, dal sale, dall’hardware e dalla strategia di attacco. L’hashing lento delle password come Argon2id, bcrypt o PBKDF2 è progettato per ridurre i tentativi al secondo.
Casualità e pattern
La matematica del tempo di cracking ha senso solo quando la password è effettivamente casuale. Password123! può sembrare complessa, ma appare presto nell’indovinamento basato su pattern. Una password casuale di 20 caratteri è diversa perché manca di struttura umana.
Guida dettagliata
Questa guida si concentra sulla lettura responsabile delle stime del tempo di cracking delle password. È scritta per utenti che vedono stime basate su anni e vogliono capire cosa significano realmente, quindi l’obiettivo pratico non è creare un’affermazione di sicurezza drammatica. L’obiettivo è scegliere un’abitudine di password che possa sopravvivere all’uso quotidiano: moduli di accesso, gestori di password, tastiere mobili, recupero account, dispositivi condivisi e il servizio occasionale con regole di validazione strane. Una raccomandazione sicura è utile solo se una persona reale può seguirla costantemente.
Il punto di partenza più sicuro è casualità più unicità. Casualità significa che il valore è selezionato da uno spazio ampio da una fonte casuale crittograficamente adatta, non inventato da un compleanno, un nome di animale domestico, un pattern di tastiera o una citazione preferita. Unicità significa che la stessa password non viene usata altrove. Una password lunga ma riutilizzata può fallire rapidamente dopo una violazione non correlata, mentre una password unica e casuale limita il danno al singolo account in cui è stata usata.
Per questo argomento, un preset pratico sono le stime basate su scenari per limiti online, hash lenti e indovinamento offline veloce. Puoi applicare quel preset con il calcolatore del tempo di cracking delle password e poi memorizzare il valore finale in un gestore di password affidabile. PwdGen genera valori localmente nel browser con Web Crypto; la password generata non viene inviata a un server PwdGen. Quel design locale riduce l’esposizione lato server, ma non protegge da ogni minaccia. Un’estensione del browser dannosa, un dispositivo compromesso, una pagina di phishing o una gestione non sicura degli appunti possono ancora esporre un segreto dopo la generazione.
I problemi più comuni da evitare sono affermazioni universali sul tempo di cracking, ipotesi solo hardware, hash trapelati, archiviazione debole e pattern utente prevedibili. Questi problemi contano perché gli aggressori raramente hanno bisogno di forzare ogni possibile password quando le abitudini umane danno loro una scorciatoia. Credential stuffing, phishing, elenchi di password trapelate e abuso del recupero account sono spesso più realistici di una pura ricerca matematica. Ecco perché il miglior consiglio combina la qualità della password con controlli a livello di account come MFA, passkey, archiviazione dei codici di recupero e revisione regolare delle impostazioni di email o telefono di recupero.
Usa questa checklist quando applichi la raccomandazione:
- Confronta più di uno scenario di attacco.
- Non trattare un numero grande come una garanzia.
- Evita password riutilizzate indipendentemente dalla stima.
- Usa MFA per gli account che lo supportano.
Se un sito web rifiuta l’impostazione ideale, non forzare la password in un pattern più debole manualmente. Regola una variabile alla volta. Se i simboli vengono rifiutati, mantieni maiuscole, minuscole e numeri abilitati e aumenta la lunghezza. Se la lunghezza massima è bassa, usa la lunghezza massima accettata e assicurati che il valore sia unico. Se una password deve essere letta ad alta voce, stampata o digitata su uno schermo TV o router, considera di escludere caratteri confondibili e aumentare la lunghezza per compensare l’alfabeto più piccolo.
Infine, ricorda il confine del consiglio sulle password. Una password forte è uno strato di difesa, non una garanzia. Non può rendere sicura una pagina di phishing, riparare malware o compensare un servizio che memorizza le credenziali in modo inadeguato. L’abitudine utile è noiosa ma duratura: genera un valore unico, memorizzalo in modo sicuro, proteggi il percorso di recupero e sostituiscilo rapidamente se sospetti un’esposizione.
Un prossimo passo sicuro
Dopo aver letto questa guida, fai un piccolo audit di un account invece di cercare di sistemare tutto in una volta. Scegli l’account che causerebbe più problemi se fosse preso in consegna, conferma che la sua password sia unica e controlla l’email di recupero, il telefono di recupero, il metodo MFA e l’archiviazione dei codici di backup. Se una parte di quella catena è debole, migliora quella parte prima di passare ad account a rischio inferiore. Questo ordine mantiene il lavoro gestibile e protegge gli account che gli aggressori hanno più probabilità di usare come trampolino di lancio. Per cos’è il tempo di cracking delle password?, il miglior risultato è un’abitudine ripetibile: genera localmente, memorizza con cura ed evita il riutilizzo.
Domande frequenti
Perché i calcolatori del tempo di cracking sono in disaccordo?
Usano ipotesi diverse su casualità, tipo di hash, hardware, limiti online e se la password è già nota da fughe di dati.
Il cracking offline è più veloce dell’indovinamento online?
Di solito sì. Gli aggressori offline possono provare tentativi senza limiti di velocità, mentre i sistemi online possono limitare, bloccare e monitorare i tentativi.
Dovrei fidarmi di un singolo risultato di “milioni di anni”?
Trattalo come una stima basata su ipotesi dichiarate, non come una garanzia di sicurezza.