Proton

Dobbiamo tutti essere vigili nel creare password matematicamente impenetrabili. E se sei uno dei centinaia di migliaia di persone che usano nomi e date di nascita nelle loro password(nuova finestra), allora è decisamente il momento di rafforzare la sicurezza del tuo accesso.

In questo articolo, spieghiamo come stimare e migliorare l’entropia della tua password, il che è ottimo per la tua sicurezza online. Ma c’è un compromesso: massimizzare l’entropia di una password significa essenzialmente renderla impossibile da ricordare per te. Come sempre, c’è una vignetta XKCD(nuova finestra) che riassume la questione.

Considerando quanti servizi online ci iscriviamo tutti (almeno decine), è quasi impossibile per la persona media memorizzare una password forte per ciascuno.

Ecco perché il nostro consiglio è di utilizzare un gestore di password come Proton Pass, che può generare password con un’entropia estremamente alta. Lo ricorderà e le compila automaticamente per te.

Di seguito, spieghiamo cosa significa entropia della password, come puoi calcolarla e come influisce sulla forza della tua password. Ti può aiutare a selezionare le impostazioni più sicure nel tuo gestore di password (o evitare accessi per servizi che richiedono password con entropia molto bassa).

Cosa significa “entropia della password”?

L’entropia della password si riferisce a quanto è imprevedibile la tua password o frase, misurata in bit. Tipicamente, più bit di entropia sono presenti, più complessa è una password e più difficile è da violare attraverso attacchi brute force.

Gli attaccanti brute force usano tentativi ed errori per indovinare combinazioni di caratteri nelle credenziali di accesso, password e dati di crittografia.

Ad esempio, molti hacker utilizzano script complessi e macchine per automatizzare migliaia di tentativi di password in pochi minuti. In uno dei casi più sorprendenti, i ricercatori hanno processato fino a 350 miliardi di tentativi di password(nuova finestra) al secondo.

Gli aggressori utilizzano attacchi brute force per esporre rapidamente password deboli. Misurando e dando priorità all’entropia delle tue password, puoi aiutare a prevenire che questi dati cadano nelle mani sbagliate.

Come influisce l’entropia della password sulla forza della password?

Diversi fattori influenzano l’entropia di una password e, di conseguenza, la sua forza. Dovrai considerare della tua password:

  • Lunghezza (in caratteri)
  • Uso di lettere maiuscole e minuscole
  • Uso di caratteri numerici
  • Uso di simboli speciali

Di tutti gli elementi elencati qui, la lunghezza della password(nuova finestra) è il fattore più importante. Una frase segreta abbastanza lunga è sufficiente per sconfiggere qualsiasi attacco brute force. Tuttavia, puoi ancora migliorare l’entropia della tua password usando lettere maiuscole casuali, simboli speciali e numeri.

Entropia e complessità non sono gli unici fattori di forza di una password. I pirati informatici possono utilizzare attacchi dizionario per indovinare le tue credenziali se usi una parola riconoscibile o una frase comune nella tua password.

Un attacco dizionario automatizza il tentativo di forza bruta di ogni parola in un dizionario che potrebbe essere utilizzata all’interno di una password.

Pertanto, a prescindere dall’entropia della tua password, sei comunque a rischio di hacking se usi nomi di animali domestici, squadre sportive o altre password comuni (ad esempio, mai usare “password”) nei tuoi dettagli di accesso.

Come calcolare l’entropia di una password

L’entropia di una password è misurata in bit e dipende da due fattori principali:

  1. Il numero di caratteri disponibili nell’intervallo di caratteri scelto per la password
  2. Il numero di caratteri nella password

Pertanto, l’entropia della password aumenta quanto più lunga è la password e quanto più ampio è il possibile intervallo di caratteri. Una password lunga che usa lettere maiuscole, minuscole, simboli e numeri, come HelpFidoSaveTony33!, avrà un’entropia molto alta. Una password che utilizza solo lettere minuscole o numeri, come crimson o 112233 avrà un’entropia molto bassa.

Cosa sono i bit di entropia?

I bit di entropia misurano quanto è difficile violare una password. Ad esempio, una password già nota a te ha zero bit.

Utilizzando una formula, possiamo calcolare quanti bit di entropia sono presenti in una password e, con essi, quante supposizioni lo script o la macchina di un attaccante avrebbero bisogno per ottenere l’accesso.

Tuttavia, prima di poter calcolare l’entropia di una password, dobbiamo misurare tutti i diversi possibili intervalli di caratteri.

Misurazione degli intervalli di caratteri

La seguente tabella dimostra come le tue opzioni di caratteri aumentano quando aggiungi diversi caratteri alla tua password se scrivi in inglese. Il numero di lettere e simboli può variare a seconda della lingua che utilizzi.

Tipo di CarattereEsempio/iDimensione dell’Intervallo
Numeri0, 1, 2, 310
Lettere latine (minuscole)a, b, c, d26
Lettere latine (maiuscole)A, B, C, D26
Simboli speciali!, @, %, $32

Più scelta offri in potenziali caratteri ai possibili hacker, più alta diventa l’entropia della tua password. Dunque, dai la priorità a un’ampia gamma di caratteri possibile e usa un mix di tutti e quattro i tipi.

Ecco alcuni esempi di password e le rispettive gamme di caratteri totali:

EsempioGamma Totale di Caratteri
11223310
abcde26
a1b2c3d436
a1B2c3D462
a1!B2%c3^D494

Ricorda, i dati sopra mostrano la potenziale ampiezza delle gamme di caratteri, non i bit di entropia. Dobbiamo usare una formula specifica per calcolare l’esatta entropia delle password in bit.

Formula dell’entropia della password

Puoi misurare l’entropia di una password in bit usando la seguente formula:

E = L × log2(R)

In questa formula:

  • E è l’entropia della tua password
  • R è la gamma possibile di tipi di caratteri nella tua password (le tabelle mostrate sopra)
  • L è il numero di caratteri nella tua password (la sua lunghezza)
  • Log2 risponde alla domanda “a quale potenza deve essere elevato il 2 per ottenere questo numero”

Usando questa formula, ecco come alcune password di esempio si misurano in bit:

EsempioGamma di CaratteriLunghezza PasswordCalcoloBit di Entropia
Fallimenti5212 caratteriE = 12 x 5,768.4
1Fallimenti26214 caratteriE = 14 x 5,9583.3
1Fallimenti2&%9416 caratteri.E = 16 x 6,55104.8

La matematica ci mostra che più una password è lunga e complessa, maggiori sono i bit di entropia che possiede.

Puoi utilizzare un calcolatore di entropia delle password online per risultati più rapidi, ma le equazioni sopra sono affidabili se preferisci fare i calcoli da solo.

Ancora, l’entropia è solo una misura di forza. Per evitare attacchi dizionario, evita password o frasi comunemente usate. Dovresti anche evitare di usare informazioni personali, come la tua data di nascita, il nome del tuo animale domestico o il nome della tua strada per la password, poiché gli aggressori possono ottenere queste informazioni.

Quando si considera una password forte?

In generale, una password forte o ad alta entropia raggiunge almeno 75 bit. Qualsiasi misurazione inferiore a 72 bit è relativamente facile da decifrare per una macchina.

Calcoliamo il numero massimo di tentativi potenziali usando il calcolo 2 ^ (numero di bit). È il numero di volte che il numero 2 raddoppia per raggiungere il numero totale di bit.

Ad esempio, una password con 10 bit di entropia, usando 2 ^ 10, avrebbe bisogno di un massimo di 1.024 tentativi per essere violata. Questo è tipicamente una password numerica di tre caratteri, come 456.

Punta ad un’entropia superiore a 100 bit per creare una password forte(nuova finestra), mirando il più alto possibile. Più alta è l’entropia, più tempo impiegheranno le macchine per forzare la corretta indovinatura della password.

Le regole per creare una password ad alta entropia variano notevolmente a seconda dell’esperto di sicurezza con cui parli, ma ci sono alcune regole generali su cui tutti possiamo concordare:

  1. La tua password dovrebbe essere lunga almeno otto caratteri e usare un mix di caratteri (non solo lettere minuscole dell’alfabeto latino di base)
  2. Dovresti evitare di usare frasi o termini che sono significativi per te (e quindi facili da indovinare)
  3. Una password forte non deve essere collegata al suo nome utente (tratta sempre i due come entità separate)
  4. C’è un mix di almeno una lettera minuscola, una lettera maiuscola, un numero, e un carattere speciale (ad esempio, %, ^, *, &, @, ~, ecc.)

Raccomandiamo anche l’utilizzo di una lista di blocco delle password per aiutare a evitare l’uso di parole o frasi popolarmente scelte sul web. Ad esempio, il progetto Bad Passwords del NIST(nuova finestra) è uno strumento open-source popolare per creare frasi ad alta entropia.

Se stai cercando di creare una password amministratore sicura per il tuo gestore di password, considera le seguenti linee guida

Riassumendo, una password veramente sicura contiene, ad esempio:

  • Almeno una lettera maiuscola
  • Almeno una lettera minuscola
  • Almeno un simbolo speciale
  • Almeno una cifra
  • Una passphrase di circa 20 caratteri

L’esempio sopra riportato, HelpFidoSaveTony33!, soddisfa tutti questi requisiti e crea una password con circa 117 bit di entropia, che attualmente è impossibile da forzare con attacchi brute force.

Genera password robuste con Proton Pass

L’unico modo per generare e ricordare abbastanza password forti per tutti i tuoi account online è utilizzare un gestore di password. Proton Pass genera per te frasi sicure con un clic. Puoi usarlo per creare passphrase di 10 parole o password casuali di 64 caratteri, e ti dà il controllo sull’uso di numeri, lettere maiuscole e caratteri speciali in ogni password, nel caso tu voglia massimizzare l’entropia delle tue password.

Con Proton Pass, le tue password non sono solo difficili da forzare – sono memorizzate con crittografia end-to-end e protette dalla sicura autenticazione a due fattori attraverso il più sicuro gratuito gestore di password. Leggi il modello di sicurezza di Proton Pass(nuova finestra) per saperne di più.

Se l’entropia della password ti lascia perplesso, registrati e iscriviti a Proton Pass. Ti aiuteremo a generare, memorizzare e proteggere password per resistere agli attacchi malevoli.

Domande frequenti

Che differenza c’è tra complessità della password e entropia della password?

La complessità di una password si riferisce tipicamente alla gamma potenziale di caratteri, mentre l’entropia della password si riferisce alla matematica dietro la difficoltà di indovinarla. L’entropia è misurata in bit, che a loro volta ti dicono quante tentativi di forza bruta ci vorranno per rompere una password.

Qual è l’entropia di una password di quattro parole?

Dipende dalla lunghezza delle parole e dai caratteri che utilizzi. Più lunga è la password e più diversi tipi di caratteri scegli, più alta sarà l’entropia della password.

Cosa significa avere 128 bit di entropia?

128 bit di entropia significa che la tua password è probabilmente abbastanza forte da resistere alla maggior parte degli attacchi di forza bruta da parte di macchine. Qualsiasi password con un’entropia superiore a 78 bit è difficile da forzare per la maggior parte delle macchine.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.