Quanta entropia ha la tua password

Impariamo a scegliere password sicure

Password, ci eravamo tanto odiati

Il rapporto che abbiamo con le nostre password è conflittuale: da un lato proteggono i nostri dati, dall’altro quando sono tante sono difficili da ricordare. Siamo tentati di usare sempre la stessa, magari la nostra data di nascita, ma sappiamo che dobbiamo sceglierne una diversa per ogni sito e che non devono essere "deboli".


La condizione necessaria, ma non sufficiente, per una buona password è la segretezza: una password nota non è sicura.


In secondo luogo, ci sono la lunghezza e la diversità dei caratteri da cui attinge: una password corta e formata da pochi simboli, ad esempio le sole lettere “a” e “b”, è facile da indovinare.


Un ultimo, spesso sottovalutato, criterio è il fatto che le password contenenti informazioni personali facilmente reperibili in rete sono le prime tentate dagli hacker.

Come si misura la sicurezza di una password?

La matematica ci fornisce un metodo oggettivo per valutare la sicurezza di una password: la sua entropia. È una funzione matematica che stima quanto una password è random, cioè casualmente scelta.
Le parole del vocabolario, ad esempio, hanno una bassa entropia perché contengono molta struttura per poter essere pronunciate: basti pensare all’alternanza di vocali e consonanti. Lunghezza e ricchezza dei caratteri sono altri fattori che contribuiscono ad aumentare l’entropia di una password.

L'eterna lotta tra facile da ricordare e difficile da indovinare

Avere password lunghe e complicate ne aumenta l’entropia e, di riflesso, la sicurezza, ma le rende molto difficili da ricordare. Oltre ad eventuali indicazioni e policy di siti e contesti lavorativi, esistono diversi metodi per bilanciare sicurezza e facilità di utilizzo. Facciamo un paio di esempi.


Prendiamo un grande insieme, scaricabile da internet, di parole comuni e numerate. Scegliamone quattro perfettamente a caso, magari aiutandoci con i generatori di numeri casuali disponibili online. Se, nel nostro caso, le parole così estratte sono “topo” “pila” “metro” “corretto”, la password diventa “topopilametrocorretto”. Non lasciamoci ingannare dal fatto che ci siano solo lettere minuscole: la lunghezza della password, la grandezza dell’insieme di parole e la casualità dell’estrazione rendono questo metodo molto sicuro!


Se non abbiamo a disposizione l’insieme di parole, possiamo ricorrere a un secondo metodo: scegliere una frase che ci ricordiamo facilmente e comporre la password con le iniziali delle parole e la punteggiatura.
Ad esempio, la frase “Dov’è la Vittoria? Le porga la chioma, cschiava di Roma Iddio la creò!” diventa la password “D’èlV?Lplc,csdRIlc!”: alquanto entropica!

Post-it 2.0: salvare le password in modo sicuro

Tutti questi stratagemmi per creare password sicure non risolvono il problema di doverne inventare una per sito. Per questo ci vengono in aiuto dei software chiamati password manager, che conservano tutte le nostre password opportunamente protette da un’unica, complessa master password. Quest’ultima diventa l’unica da ricordare, dato che possiamo ottenere tutte le altre semplicemente accedendo al programma.

Da ricordare...

Per mettere in sicurezza i nostri dati in modo efficace dobbiamo scegliere password sicure e diverse per ogni sito. L’entropia è una funzione matematica che stima quanto una password sia casualmente scelta ed è usata per misurare la sicurezza di una password. Se le password molto complesse ci sembrano difficili da ricordare, non dimentichiamoci che esistono diversi stratagemmi che possono aiutarci!