Cos’è l’entropia delle password?

Dobbiamo tutti essere vigili nel creare password matematicamente impenetrabili. E se sei uno dei centinaia di migliaia di persone che usano nomi e date di nascita nelle loro password(new window), allora è decisamente il momento di rafforzare la sicurezza del tuo accesso.

In questo articolo, spieghiamo come stimare e migliorare l’entropia della tua password, il che è ottimo per la tua sicurezza online. Ma c’è un compromesso: massimizzare l’entropia di una password significa essenzialmente renderla impossibile da ricordare per te. Come sempre, c’è una vignetta XKCD(new window) che riassume la questione.

Considerando quanti servizi online ci iscriviamo tutti (almeno decine), è quasi impossibile per la persona media memorizzare una password forte per ciascuno.

Ecco perché il nostro consiglio è di utilizzare un gestore di password come Proton Pass, che può generare password con un’entropia estremamente alta. Lo ricorderà e le compila automaticamente per te.

Di seguito, spieghiamo cosa significa entropia della password, come puoi calcolarla e come influisce sulla forza della tua password. Ti può aiutare a selezionare le impostazioni più sicure nel tuo gestore di password (o evitare accessi per servizi che richiedono password con entropia molto bassa).

Cosa significa “entropia della password”?

L’entropia della password si riferisce a quanto è imprevedibile la tua password o frase, misurata in bit. Tipicamente, più bit di entropia sono presenti, più complessa è una password e più difficile è da violare attraverso attacchi brute force.

Gli attaccanti brute force usano tentativi ed errori per indovinare combinazioni di caratteri nelle credenziali di accesso, password e dati di crittografia.

Ad esempio, molti hacker utilizzano script complessi e macchine per automatizzare migliaia di tentativi di password in pochi minuti. In uno dei casi più sorprendenti, i ricercatori hanno processato fino a 350 miliardi di tentativi di password(new window) al secondo.

Gli aggressori utilizzano attacchi brute force per esporre rapidamente password deboli. Misurando e dando priorità all’entropia delle tue password, puoi aiutare a prevenire che questi dati cadano nelle mani sbagliate.

Come influisce l’entropia della password sulla forza della password?

Diversi fattori influenzano l’entropia di una password e, di conseguenza, la sua forza. Dovrai considerare della tua password:

• Lunghezza (in caratteri)
• Uso di lettere maiuscole e minuscole
• Uso di caratteri numerici
• Uso di simboli speciali

Di tutti gli elementi elencati qui, la lunghezza della password(new window) è il fattore più importante. Una frase segreta abbastanza lunga è sufficiente per sconfiggere qualsiasi attacco brute force. Tuttavia, puoi ancora migliorare l’entropia della tua password usando lettere maiuscole casuali, simboli speciali e numeri.

Entropia e complessità non sono gli unici fattori di forza di una password. I pirati informatici possono utilizzare attacchi dizionario per indovinare le tue credenziali se usi una parola riconoscibile o una frase comune nella tua password.

Un attacco dizionario automatizza il tentativo di forza bruta di ogni parola in un dizionario che potrebbe essere utilizzata all’interno di una password.

Pertanto, a prescindere dall’entropia della tua password, sei comunque a rischio di hacking se usi nomi di animali domestici, squadre sportive o altre password comuni (ad esempio, mai usare “password”) nei tuoi dettagli di accesso.

Come calcolare l’entropia di una password

L’entropia di una password è misurata in bit e dipende da due fattori principali:

1. Il numero di caratteri disponibili nell’intervallo di caratteri scelto per la password
2. Il numero di caratteri nella password

Pertanto, l’entropia della password aumenta quanto più lunga è la password e quanto più ampio è il possibile intervallo di caratteri. Una password lunga che usa lettere maiuscole, minuscole, simboli e numeri, come HelpFidoSaveTony33!, avrà un’entropia molto alta. Una password che utilizza solo lettere minuscole o numeri, come crimson o 112233 avrà un’entropia molto bassa.

Cosa sono i bit di entropia?

I bit di entropia misurano quanto è difficile violare una password. Ad esempio, una password già nota a te ha zero bit.

Utilizzando una formula, possiamo calcolare quanti bit di entropia sono presenti in una password e, con essi, quante supposizioni lo script o la macchina di un attaccante avrebbero bisogno per ottenere l’accesso.

Tuttavia, prima di poter calcolare l’entropia di una password, dobbiamo misurare tutti i diversi possibili intervalli di caratteri.

Misurazione degli intervalli di caratteri

La seguente tabella dimostra come le tue opzioni di caratteri aumentano quando aggiungi diversi caratteri alla tua password se scrivi in inglese. Il numero di lettere e simboli può variare a seconda della lingua che utilizzi.

Più scelta offri in potenziali caratteri ai possibili hacker, più alta diventa l’entropia della tua password. Dunque, dai la priorità a un’ampia gamma di caratteri possibile e usa un mix di tutti e quattro i tipi.

Ecco alcuni esempi di password e le rispettive gamme di caratteri totali:

Ricorda, i dati sopra mostrano la potenziale ampiezza delle gamme di caratteri, non i bit di entropia. Dobbiamo usare una formula specifica per calcolare l’esatta entropia delle password in bit.

Formula dell’entropia della password

Puoi misurare l’entropia di una password in bit usando la seguente formula:

E = L × log₂(R)

In questa formula:

• E è l’entropia della tua password
• R è la gamma possibile di tipi di caratteri nella tua password (le tabelle mostrate sopra)
• L è il numero di caratteri nella tua password (la sua lunghezza)
• Log₂ risponde alla domanda “a quale potenza deve essere elevato il 2 per ottenere questo numero”

Usando questa formula, ecco come alcune password di esempio si misurano in bit:

La matematica ci mostra che più una password è lunga e complessa, maggiori sono i bit di entropia che possiede.

Puoi utilizzare un calcolatore di entropia delle password online per risultati più rapidi, ma le equazioni sopra sono affidabili se preferisci fare i calcoli da solo.

Ancora, l’entropia è solo una misura di forza. Per evitare attacchi dizionario, evita password o frasi comunemente usate. Dovresti anche evitare di usare informazioni personali, come la tua data di nascita, il nome del tuo animale domestico o il nome della tua strada per la password, poiché gli aggressori possono ottenere queste informazioni.

Quando si considera una password forte?

In generale, una password forte o ad alta entropia raggiunge almeno 75 bit. Qualsiasi misurazione inferiore a 72 bit è relativamente facile da decifrare per una macchina.

Calcoliamo il numero massimo di tentativi potenziali usando il calcolo 2 ^ (numero di bit). È il numero di volte che il numero 2 raddoppia per raggiungere il numero totale di bit.

Ad esempio, una password con 10 bit di entropia, usando 2 ^ 10, avrebbe bisogno di un massimo di 1.024 tentativi per essere violata. Questo è tipicamente una password numerica di tre caratteri, come 456.

Punta ad un’entropia superiore a 100 bit per creare una password forte(new window), mirando il più alto possibile. Più alta è l’entropia, più tempo impiegheranno le macchine per forzare la corretta indovinatura della password.

Le regole per creare una password ad alta entropia variano notevolmente a seconda dell’esperto di sicurezza con cui parli, ma ci sono alcune regole generali su cui tutti possiamo concordare:

1. La tua password dovrebbe essere lunga almeno otto caratteri e usare un mix di caratteri (non solo lettere minuscole dell’alfabeto latino di base)
2. Dovresti evitare di usare frasi o termini che sono significativi per te (e quindi facili da indovinare)
3. Una password forte non deve essere collegata al suo nome utente (tratta sempre i due come entità separate)
4. C’è un mix di almeno una lettera minuscola, una lettera maiuscola, un numero, e un carattere speciale (ad esempio, %, ^, *, &, @, ~, ecc.)

Raccomandiamo anche l’utilizzo di una lista di blocco delle password per aiutare a evitare l’uso di parole o frasi popolarmente scelte sul web. Ad esempio, il progetto Bad Passwords del NIST(new window) è uno strumento open-source popolare per creare frasi ad alta entropia.

Se stai cercando di creare una password amministratore sicura per il tuo gestore di password, considera le seguenti linee guida

Riassumendo, una password veramente sicura contiene, ad esempio:

• Almeno una lettera maiuscola
• Almeno una lettera minuscola
• Almeno un simbolo speciale
• Almeno una cifra
• Una passphrase di circa 20 caratteri

L’esempio sopra riportato, HelpFidoSaveTony33!, soddisfa tutti questi requisiti e crea una password con circa 117 bit di entropia, che attualmente è impossibile da forzare con attacchi brute force.

Genera password robuste con Proton Pass

L’unico modo per generare e ricordare abbastanza password forti per tutti i tuoi account online è utilizzare un gestore di password. Proton Pass genera per te frasi sicure con un clic. Puoi usarlo per creare passphrase di 10 parole o password casuali di 64 caratteri, e ti dà il controllo sull’uso di numeri, lettere maiuscole e caratteri speciali in ogni password, nel caso tu voglia massimizzare l’entropia delle tue password.

Con Proton Pass, le tue password non sono solo difficili da forzare – sono memorizzate con crittografia end-to-end e protette dalla sicura autenticazione a due fattori attraverso il più sicuro gratuito gestore di password. Leggi il modello di sicurezza di Proton Pass(new window) per saperne di più.

Se l’entropia della password ti lascia perplesso, registrati e iscriviti a Proton Pass. Ti aiuteremo a generare, memorizzare e proteggere password per resistere agli attacchi malevoli.

Domande frequenti