L'Entropia delle Password Spiegata — E Perché la Tua Password "Complessa" È Più Debole di una Passphrase
L'entropia è l'unica misura onesta della forza di una password. Ecco come viene calcolata, quanto tempo impiegano gli attaccanti per violare diversi livelli, e perché quattro parole casuali spesso battono una "P@ssw0rd!" di 12 caratteri.
"Rendi la tua password complessa" è un consiglio inutile. Ti dice di aggiungere un simbolo e un numero come se questo rendesse la password sicura. Non è così. L'unica misura onesta della forza di una password è l'entropia, e la maggior parte delle password "complesse" ottiene risultati peggiori di quanto pensi.
Cosa Misura Davvero l'Entropia
L'entropia è il numero di bit di casualità nella tua password — in altre parole, quanti tentativi un attaccante deve fare, in media, per cracciarla con la forza bruta. Si calcola come lunghezza × log₂(dimensione del set).
Esempio: una password di 10 caratteri usando solo lettere minuscole (set = 26) ha entropia 10 × log₂(26) ≈ 47 bit. Una password di 10 caratteri usando lettere minuscole, maiuscole, numeri e simboli (set = 88) ha 10 × log₂(88) ≈ 64,6 bit. La stessa lunghezza, ma il set più grande rende ogni carattere più efficace.
Quanti Bit Sono "Sicuri"?
Soglie indicative moderne (assumendo una password ben hashed che sopravvive a una perdita di database — se il sito usa bcrypt o argon2, come dovrebbe):
- Meno di 40 bit: cracabili in minuti da una singola GPU.
- 40–60 bit: cracabili in ore o settimane da un attaccante serio con una farm di GPU.
- 60–80 bit: sicuri contro la forza bruta offline moderna. Buon obiettivo per account individuali.
- 80–100 bit: resistenti a qualsiasi avversario attuale, inclusi gli stati nazionali, per la durata dell'hardware attuale.
- 100+ bit: eccessivo per qualsiasi modello di minaccia realistico.
Punta a 80 bit per tutto ciò che protegge denaro, identità o infrastrutture. Punta a 100+ per la password principale del tuo gestore di password.
La Trappola della Password "Complessa"
Gli utenti a cui viene chiesto di creare una password "complessa" scelgono schemi prevedibili: maiuscola alla prima lettera, numero alla fine, sostituire a con @. Password1! ha 10 caratteri e sembra complessa a un umano. Per un cracker, è un tentativo — compare in ogni dizionario di password trapelate.
L'entropia reale delle password scelte dagli utenti è drammaticamente inferiore a quanto la dimensione del set suggerisce, perché gli umani non sono bravi a essere casuali. Gli studi la situano costantemente attorno ai 20–30 bit indipendentemente dalla complessità dichiarata.
Perché le Passphrase Vincono
Una passphrase è 4–7 parole casuali unite con trattini: giardino-fiume-matita-forte-tramonto-ponte. Sei parole casuali da un elenco di 512 parole hanno 6 × log₂(512) = 54 bit di entropia — più di quanto la maggior parte delle persone raggiunge con la loro password "complessa", e molto più memorabile.
Scala a sette parole e raggiungi 63 bit. Otto parole da un elenco di 7776 parole (Diceware) danno 103 bit. Tutto questo rimanendo facile da digitare, facile da ricordare, e immune a la maggior parte degli attacchi dizionario (perché la combinazione è casuale anche se ogni parola è comune).
Password Pronunciabili: La Via di Mezzo
Per scenari dove una password deve essere dettata al telefono, le password pronunciabili alternano consonanti e vocali: baketomiloguno. Ogni sillaba (consonante + vocale) ha log₂(21 × 5) ≈ 6,7 bit di entropia, quindi sei sillabe danno ~40 bit.
Più deboli delle passphrase ma più forti delle tipiche password scelte dagli utenti, e criticamente più facili da leggere ad alta voce senza chiedere "era una O o uno zero?".
Generare Password Sicure
Non fare affidamento sulla casualità umana. Usa uno strumento. L'aukimi Password Generator offre tre modalità — casuale, passphrase e pronunciabile — con un metro di entropia live in modo che tu possa vedere esattamente quanto è forte il tuo output. Usa crypto.getRandomValues (la fonte casuale crittograficamente sicura del browser) e applica rejection sampling per eliminare il modulo bias.
Criticamente: la generazione avviene interamente nel tuo browser. Nulla viene trasmesso, registrato o memorizzato. Apri la scheda network dei tuoi devtools durante la generazione — vedrai zero richieste uscire dalla pagina.
L'Unica Regola
Usa un gestore di password. Genera una password casuale lunga per ogni sito (il tuo gestore di password non la dimentica mai, quindi la lunghezza non conta per l'usabilità). Usa una passphrase come password principale del tuo gestore di password — quella è l'unica che devi ricordare.
Tutto il resto è ottimizzazione. Ottieni questo unico schema giusto e sarai avanti rispetto al 95% degli utenti.
Ti è piaciuto questo articolo?
Articoli Correlati
Lo stack creativo è appena crollato: una settimana di strumenti AI, fine aprile 2026
Tra il 27 aprile e il 4 maggio 2026, Adobe, Luma, Novi, fal, Figma, Canva, HeyGen e Anthropic hanno tutti superato la stessa soglia in otto giorni. Ecco cosa è stato lanciato, cosa significa, e dove lascia le suite creative basate su browser che cercano di consolidare il tutto.
AI Music e SFX nel 2026: Cosa Funziona Davvero nell'Audio dei Giochi Indie
Tre anni fa, l'audio dei giochi indie significava o utilizzare librerie royalty-free (economiche, generiche, ogni gioco suonava uguale) o assumere un compositore (ottimo, caro). Nel 2026, l'AI genera musica che shippa. Ecco quali strumenti funzionano — e dove un compositore umano vince ancora.
Generazione di mesh AI nel 2026: cosa effettivamente arriva nelle pipeline di gioco
Image-to-3D è passato da "demo inquietante" a "shipping in indie projects" in diciotto mesi. Ecco cosa fanno effettivamente Tripo, Meshy, Rodin e Hyper3D in produzione — e dove l'artista 3D batte ancora il modello ogni volta.