Proton
Password vs passphrase

Quando proteggi un sistema o i tuoi account online, impostare una password forte è la cosa più importante che puoi fare. Ma cosa è più sicuro: una password di caratteri apparentemente casuali o una passphrase composta da diverse parole non correlate?

Questo articolo spiega quale dovresti usare e quando. Per cominciare, però, vediamo cosa significa passphrase.

Cosa significa passphrase?

Quando ti identifichi per accedere a un account online o a un file, di solito utilizzi una password di qualche tipo. Potresti anche scegliere di usare una passphrase. Una passphrase è una sequenza di quattro o più parole, con ogni parola della frase di almeno quattro lettere. Gli spazi non sono necessari, quindi puoi avere una passphrase che sembra tavolo sedia libro candela o tavolosedialibrocandela.

Nella funzione, le passphrase sono uguali alle password, ma si differenziano in modi importanti. La prima e più evidente differenza è la lunghezza. Mentre le password dovrebbero essere lunghe almeno 15 caratteri, le passphrase, per loro natura, saranno di solito lunghe almeno 20 caratteri.

Questo rappresenta un vantaggio enorme. L’entropia della password — la misura della difficoltà di una password — aumenta con la lunghezza. Anche se più lunga non significa necessariamente più sicura, cosa di cui parleremo più avanti, usare una passphrase è un modo semplice per rendere una password più forte senza troppi problemi.

Nonostante siano più lunghe, tuttavia, le passphrase sono molto più facili da ricordare. Ad esempio, la passphrase tavolo sedia libro candela menzionata prima è un semplice strumento mnemonico, un modo per richiamare la memoria. Ti siedi al tavolo su una sedia leggendo un libro alla luce di una candela. Anche se è molto più lunga della password media, è molto più facile da ricordare.

Il problema della memoria

Le passphrase risolvono un grande svantaggio delle password, che sono difficili da ricordare se sono anche minimamente sicure. Mentre una parola breve (come il nome del tuo animale domestico e l’anno di nascita) può essere facile da memorizzare, è anche estremamente facile da violare attraverso attacchi dizionario(nuova finestra), dove il software dell’attaccante “indovina” la tua password eseguendo combinazioni note di parole.

Per risolvere questo problema devi aggiungere caratteri speciali alle password, motivo per cui le piattaforme online spesso ti chiedono di inserire numeri e caratteri speciali quando crei il tuo account. Aggiungendo numeri, lettere maiuscole e caratteri speciali, stai deviando gli attacchi dizionario, e quanto più rendi una password apparentemente casuale, tanto più sarà difficile indovinarla.

Ad esempio, se decidi di usare la parola aardvark come password, dovresti renderla più difficile da indovinare aggiungendo numeri, magari sostituendo le A con il numero quattro, quindi 44rdv4rk. Per aggiungere un po’ di casualità, potresti decidere di non modificare la prima A e magari renderla maiuscola, per buona misura, trasformandola in A4rdv4rk. Poi, aggiungi alcuni simboli per renderla davvero strana, così finisci con #A4rdv@rk!

Questo sembra tutto bene e aggiunge una bella casualità alla parola, ma hai appena trasformato il problema in uno di memoria, non di sicurezza. Se ti iscrivi ora, dimentichi quell’account e poi provi ad accedere un mese o due dopo, avrai difficoltà a ricordare quali lettere hai sostituito e come. (Scrivere le password su un quaderno di solito non è una buona idea per molti motivi.)

Mentre il tuo cervello probabilmente ricorda “aardvark” senza problemi, tutto il resto è troppo casuale per essere ricordato correttamente. Inoltre, poiché non dovresti mai riutilizzare le password, questa è solo una delle decine che dovrai ricordare.

Questa tensione tra sicurezza e memoria è stata riassunta al meglio dal fumettista Randall Munroe, autore del fumetto a tema scientifico XKCD(nuova finestra):

Fumetto XKCD su password e passphrase

Sembra chiaro, quindi, che le passphrase sono migliori delle password. Tuttavia, questo argomento si basa fortemente sulla memoria umana come premessa. Vediamo cosa succede se togliamo questo fattore dall’equazione.

Aggiungere casualità

Le passphrase sono più facili da ricordare e, in virtù di essere più lunghe (cioè, avere più entropia), sono più sicure delle password corte. Tuttavia, questa non è tutta la storia. Come abbiamo discusso, il punto debole è la memoria umana; cosa succederebbe se la sostituissimo con la memoria di un computer?

Entra in gioco i gestori di password, programmi che memorizzano le password per te e le compilano automaticamente ovunque ne hai bisogno mentre navighi su internet. Rendono la vita molto più facile compilando automaticamente le password ovunque tu vada, ma, più importantemente, aggiungono anche molta sicurezza generando e ricordando per te password lunghe e complesse.

Ad esempio, se stai usando il nostro gestore di password, Proton Pass, ogni volta che crei un nuovo account su un sito, l’estensione del browser Pass offrirà di creare e memorizzare la password per te. Dove normalmente faresti qualcosa come il nostro “aardvark” di prima o una combinazione della tua città natale e data di nascita, la password di Proton Pass sarà qualcosa come rZa;8g=6^P”kL*3 che è impossibile da ricordare per la maggior parte delle persone.

Questo tipo di password con oltre 15 caratteri sarà praticamente impossibile da forzare con attacchi brute force, e non avrai bisogno di ricordarla. Finché hai un gestore di password e lo usi per creare password lunghe e complesse, il dibattito tra password e passphrase diventa irrilevante. Il tuo account è protetto.

Ma come fare a proteggere il tuo gestore di password stesso? Una password casuale sarebbe ottima ma difficile da ricordare. Qui è dove torna in gioco una passphrase: una passphrase come tavolo sedia libro candela andrà benissimo.

Passphrase contro password: quale dovresti usare?

Riassumendo quanto abbiamo trattato: se confronti una frase segreta con una password veramente casuale, la password è l’opzione migliore e più sicura. Il problema è la memoria umana. L’unico modo per ricordare una password casuale è utilizzare un gestore di password, che a sua volta puoi proteggere con una frase segreta molto più facile da ricordare.

Naturalmente, in questo caso devi anche assicurarti che il gestore di password sia sicuro, privato e facile da usare. Abbiamo sviluppato Proton Pass con questi obiettivi in mente. Utilizza la crittografia end-to-end per mantenere i tuoi dati al sicuro e beneficia anche delle leggi svizzere sulla privacy che rendono facile mantenere private le tue informazioni personali.

Inoltre, offre anche vantaggi più diretti, come l’autenticazione a due fattori, che aggiunge un ulteriore passaggio di autenticazione nel caso in cui la tua password venga compromessa in qualche modo. (Ricorda, una buona password protegge dagli attacchi brute force, non dal phishing in cui un attaccante ti inganna per farti rivelare la tua password.)

In aggiunta, la missione di Proton è rendere private per impostazione predefinita le tue email, file, password e altri dati. I tuoi accessi e indirizzi email personali in particolare fanno parte della tua identità digitale, che vale la pena proteggere allo stesso modo in cui proteggi il tuo passaporto o i numeri di identificazione. Proton Pass offre alias hide-my-email in aggiunta alla sicura memorizzazione delle password per offrirti ulteriore privacy.

Se tutto ciò ti sembra interessante, puoi iscriverti gratuitamente a Proton Pass e unirti alla lotta per un internet migliore.

Articoli correlati

Investigative journalist Vegas Tenold explains the gear he uses to protect his privacy and stay safe.
en
  • News sulla privacy
Follow investigative journalist Vegas Tenold as he explains his gear and how it keeps him safe from surveillance as he works in the field.
Coinbase, the largest Bitcoin exchange in the US, suffered a data breach
en
  • News sulla privacy
  • Proton Wallet
Coinbase employees sold sensitive personal information to attackers, including government IDs and BTC transaction history. Proton Wallet is built to avoid these risks.
Whistleblower's whistle. Journalists must use secure channels to communicate with whistleblowers.
en
Whistleblowers risk everything to expose the truth. This guide helps journalists keep their sources safe using secure tools like Proton Mail, Signal, and SecureDrop.
An image showing a phone screen with a child icon and three icons with '17+' '8-12' and '3-5' to indicate age ratings
en
  • Guide sulla privacy
Parents can help their children develop healthy screen habits by learning about dark design patterns — Proton investigates how
en
Read what age experts say you should let your child use different platforms and how you can help set them up for success.
Roblox has been accused for years of exposing kids to inappropriate content and bad actors. We describe its safety features
en
  • Guide sulla privacy
Roblox has suffered scandals over inappropriate content. We share what you need to know and what you can do to use it more safely.