Passphrase vs password: entropia e sicurezza spiegate
Comprendete la matematica dietro l'entropia delle password e scoprite quando le passphrase superano le password tradizionali. Include calcoli di entropia, metodologia Diceware e raccomandazioni pratiche.
Lettura fondamentale
Il problema dell'entropia: perché la maggior parte delle password fallisce
Ogni password ha una proprietà misurabile chiamata entropia — il numero di bit di casualità che contiene. Maggiore entropia significa più combinazioni possibili. Una password con 50 bit di entropia ha 2^50 possibilità. A un miliardo di tentativi al secondo, servono circa 13 giorni. A 80 bit, anche un trilione di tentativi al secondo richiederebbe 38.000 anni.
L'intuizione fondamentale è che l'entropia dipende da come la password è stata generata, non da come appare. "Tr0ub4dor&3" ha solo circa 28 bit di entropia. Invece, "correct horse battery staple" fornisce circa 52 bit con la lista EFF.
La maggior parte delle politiche si concentra sulla composizione dei caratteri piuttosto che sull'entropia reale. "Summer2026!" soddisfa ogni requisito ma cade in secondi a un attacco dizionario.
Approfondimenti correlati
Come si calcola l'entropia delle password
Per una password veramente casuale: entropia = log₂(C^L). Una password di 12 caratteri da un insieme di 95 ha ≈ 79 bit.
Per le passphrase: entropia = log₂(W^N). Con la lista EFF (7.776 parole): 4 parole ≈ 51,7 bit; 5 parole ≈ 64,6 bit; 6 parole ≈ 77,5 bit; 7 parole ≈ 90,5 bit.
Questo calcolo presuppone che l'attaccante conosca il vostro metodo di generazione.
- 8 caratteri casuali (a-z): log₂(26^8) ≈ 37,6 bit
- 12 caratteri casuali (a-z, A-Z, 0-9, simboli): log₂(95^12) ≈ 78,8 bit
- 4 parole Diceware: log₂(7776^4) ≈ 51,7 bit
- 6 parole Diceware: log₂(7776^6) ≈ 77,5 bit
- 16 caratteri casuali (ASCII completo): log₂(95^16) ≈ 105 bit
- 8 parole Diceware: log₂(7776^8) ≈ 103,4 bit
L'argomento a favore delle passphrase
Le passphrase offrono un vantaggio unico: scambiano complessità di caratteri con lunghezza, raggiungendo alta entropia rimanendo memorizzabili. Una frase di sei parole ha circa 78 bit di entropia — equivalente a una password casuale di 12 caratteri.
Il fattore memorizzabilità non è solo comodità — è un vantaggio di sicurezza. Quando le password sono difficili da ricordare, gli utenti le annotano in modo insicuro o le riutilizzano.
Le passphrase resistono meglio anche all'osservazione alle spalle.
Il metodo Diceware, sviluppato da Arnold Reinhold nel 1995, usa dadi fisici per selezionare parole da una lista numerata. L'EFF ha aggiornato la lista nel 2016.
L'argomento a favore delle password casuali
Le password casuali raggiungono maggiore entropia per carattere. Una di 16 caratteri fornisce circa 105 bit — servirebbero 8 parole Diceware per eguagliarla.
Per account gestiti da un gestore, le password casuali sono strettamente superiori poiché la memorizzabilità è irrilevante.
Le password casuali sono anche più compatte, importante in sistemi con limiti di lunghezza bassi.
Lo svantaggio principale è che sono impossibili da memorizzare.
Quando usare ciascun approccio
Usate passphrase per: la password master del gestore; accessi al computer; PIN del telefono; crittografia del disco; e qualsiasi credenziale dove non potete affidarvi al riempimento automatico.
Usate password casuali per: tutti gli account nel gestore; chiavi API; account di servizio; password di database.
Per massima sicurezza, combinate entrambi: una passphrase forte come master e password casuali uniche per ogni account.
Rafforzare la vostra passphrase
Partite con minimo 5 parole per account personali e 6-7 per obiettivi ad alto valore. Usate la lista EFF o equivalente con almeno 7.776 voci.
Considerate di aggiungere una o due modifiche: capitalizzate una parola casuale, inserite una cifra o usate un separatore insolito.
Non selezionate mai le parole voi stessi. La selezione umana è fortemente orientata verso parole comuni. Usate sempre dadi o un generatore crittografico.
- Minimo 5 parole per account standard, 6-7 per critici
- Usate dadi o CSPRNG — mai scegliere manualmente
- Aggiungete una piccola modifica (maiuscola, cifra, separatore)
- Usate una lista di 7.776+ parole (EFF Diceware)
- Esercitatevi a digitare fino a sviluppare memoria muscolare
- Conservate una copia scritta in luogo fisicamente sicuro
Conclusione
Sia le passphrase che le password casuali possono fornire eccellente sicurezza se usate correttamente. La scelta dipende dal contesto: passphrase per la memoria umana, password casuali per la gestione automatica.
Qualunque metodo usiate, il fattore più importante è l'unicità. Una passphrase perfetta riutilizzata su tre siti è molto meno sicura di tre password mediocri ma uniche.
Prossimi passi
Cosa fare con una password sicura?
Una password forte è solo il primo passo. Per proteggere davvero i tuoi account, hai bisogno di un gestore di password affidabile che archivia, compila automaticamente e sincronizza le tue credenziali su tutti i dispositivi.
Abbiamo confrontato i gestori di password più popolari del 2026 per aiutarti a fare la scelta giusta.
NordPass si distingue per la crittografia XChaCha20 a conoscenza zero, il supporto nativo delle passkey e l'interfaccia più intuitiva tra i gestori premium.
| Funzionalità | NordPass | 1Password | Bitwarden Free |
|---|---|---|---|
| Prezzo/mese | $1.49/mo | $2.99/mo | $0 |
| Dispositivi | Illimitato | Illimitato | Illimitato |
| Passkeys | Sì | Sì | No |
| Scanner violazioni | Sì | Sì | No |
| 2FA integrato | Sì | Sì | Sì |
| Condivisione sicura | Sì | Sì | Limitato |
| Compilazione auto | Sì | Sì | Sì |
Questo è un link di affiliazione. Se effettui un acquisto, potrei ricevere una commissione — questo aiuta a mantenere il sito gratuito.