Comprendere l'Entropia delle Password
L'entropia è la misura matematica della forza della password. Comprendere questo concetto ti aiuta a creare password veramente sicure.
Cos'è l'Entropia?
L'entropia misura l'imprevedibilità in bit. Ogni bit raddoppia il numero di combinazioni possibili. Il lancio di una moneta ha 1 bit di entropia (2 possibilità). Un dado ha circa 2,6 bit (6 possibilità). Per le password, l'entropia si calcola come: log2(caratteri_possibili^lunghezza). Una password di 8 caratteri con solo minuscole (26 caratteri) ha log2(26^8) = 37,6 bit. Il cracking delle password funziona provando combinazioni. Con 37,6 bit, un attaccante dovrebbe provare in media metà di 2^37,6 (circa 100 miliardi) di possibilità. Le GPU moderne possono provare miliardi di hash al secondo, rendendo pericolosa la bassa entropia. Le password sicure dovrebbero avere almeno 60 bit di entropia, mentre 80+ bit rimangono sicuri anche contro hardware futuro.
Calcolo dell'Entropia
Calcolo base: Bit = log2(dimensione_set_caratteri) × lunghezza Dimensioni set caratteri: Solo minuscole (a-z) = 26 caratteri. Più maiuscole (+A-Z) = 52. Più cifre (+0-9) = 62. Più caratteri speciali (+!@#$...) = ~95. Calcoli esempio: 8 caratteri, solo minuscole: log2(26) × 8 = 37,6 bit. 12 caratteri, maiuscole/minuscole e numeri misti: log2(62) × 12 = 71,5 bit. 16 caratteri, tutti i tipi: log2(95) × 16 = 105 bit. Questi calcoli assumono vera casualità. "password1234" ha quasi zero entropia nonostante 12 caratteri, perché non è un pattern casuale. Gli umani sono scarsi nel generare sequenze casuali—ecco perché serve un generatore.
Raccomandazioni Pratiche
Basato sulla potenza di calcolo attuale: 40-50 bit offrono sicurezza minima (solo attacchi online), 60-70 bit sono buoni (sicuri contro la maggior parte degli attacchi), 80+ bit sono forti (sicuri anche contro attacchi offline) e 100+ bit sono eccessivi, ma perché no. Raccomandazioni lunghezza minima usando tutti i tipi di caratteri: 10 caratteri offrono sicurezza minima, 12-14 caratteri sono buoni per la maggior parte degli account, 16+ caratteri raccomandati per account critici e 20+ caratteri per massima sicurezza. Le passphrase possono raggiungere entropia maggiore con migliore memorabilità. Una passphrase di 4 parole da un dizionario di 7.776 parole ha log2(7776^4) = 51,7 bit. Una passphrase di 6 parole ha 77,5 bit ed è ancora ragionevolmente memorabile. Ricorda: la lunghezza batte la complessità. "elefante-arancia-trampolino-finestra" è più forte di "Xy7$" e molto più facile da digitare.
Prova lo Strumento
Generatore di Password