Dobbiamo tutti fare attenzione a creare password matematicamente impenetrabili. E se sei una delle centinaia di migliaia di persone che usano nomi e date di nascita nelle proprie password(nuova finestra), allora è decisamente il momento di rafforzare la sicurezza del tuo login.

In questo articolo spieghiamo come stimare e migliorare l’entropia della tua password, il che è ottimo per la tua sicurezza online. C’è però un compromesso: massimizzare l’entropia di una password significa essenzialmente renderla impossibile da ricordare per te. Come sempre, c’è una vignetta di XKCD(nuova finestra) che riassume il problema.

Considerando a quanti servizi online ci registriamo (almeno decine), è quasi impossibile per una persona media memorizzare una password complessa per ciascuno di essi.

Ecco perché ti consigliamo di utilizzare un gestore di password come Proton Pass, in grado di generare password con un’entropia estremamente elevata. Le memorizzerà ed effettuerà il riempimento automatico per te.

Di seguito ti spieghiamo cosa significa entropia della password, come puoi calcolarla e come influisce sulla robustezza della tua password. Questo può aiutarti a selezionare le impostazioni più sicure nel tuo gestore di password (o a evitare i login per servizi che richiedono password con un’entropia molto bassa).

Che cosa significa “entropia della password”?

L’entropia della password indica quanto sia imprevedibile la tua password o frase d’accesso, misurata in bit. In genere, maggiore è il numero di bit di entropia, più una password è complessa e più è difficile da violare tramite attacchi brute force.

Chi sferra attacchi brute force va per tentativi per indovinare le combinazioni di caratteri nelle credenziali di login, nelle password e nei dati di crittografia.

Ad esempio, molti hacker utilizzano script complessi e macchine per automatizzare migliaia di tentativi di indovinare le password in pochi minuti. In uno dei casi più sorprendenti, i ricercatori hanno elaborato fino a 350 miliardi di tentativi di password(nuova finestra) al secondo.

I malintenzionati utilizzano attacchi brute force per individuare rapidamente le password deboli. Misurando e dando priorità all’entropia delle tue password, puoi contribuire a evitare che questi dati finiscano nelle mani sbagliate.

In che modo l’entropia della password influisce sulla sua robustezza?

Diversi fattori influiscono sull’entropia di una password e, di conseguenza, sulla sua robustezza. Dovrai prendere in considerazione della tua password:

  • La lunghezza (in caratteri)
  • L’uso di lettere maiuscole e minuscole
  • L’uso di caratteri numerici
  • L’uso di simboli speciali

Di tutti gli elementi elencati qui, la lunghezza della password è l’elemento più importante. Una frase d’accesso sufficientemente lunga sventerà quasi tutti gli attacchi brute force. Inoltre, puoi aumentare ulteriormente l’entropia utilizzando lettere maiuscole, simboli speciali e numeri casuali.

Tuttavia, l’entropia non dipende solo da quanto una password sembri lunga o complessa. Può anche dipendere da come è stata creata. Una stringa veramente casuale ha un’entropia molto più elevata rispetto a una parola o frase comune, anche se entrambe hanno la stessa lunghezza.

Gli hacker possono utilizzare gli attacchi a dizionario per indovinare le tue credenziali se utilizzi una parola riconoscibile o una frase comune nella tua password.

Un attacco a dizionario automatizza i tentativi di brute force per indovinare ogni parola di un dizionario che potrebbe essere utilizzata all’interno di una password.

Pertanto, indipendentemente dall’entropia della tua password, sei comunque a rischio di hacking se utilizzi nomi di animali domestici, squadre sportive o altre password comuni (ad esempio, non utilizzare mai “password”) nei tuoi dettagli di login.

Come calcolare l’entropia della password

Spieghiamo come calcolare l’entropia della password, ma è importante notare che si tratta semplicemente di una dimostrazione. Non è possibile stimare in modo sicuro l’entropia di una password in base al suo aspetto. Le password generate dagli esseri umani, anche quelle lunghe, sono spesso altamente prevedibili. A meno che non sia stata creata con un generatore casuale, dovresti presumere che l’entropia sia inferiore a quanto pensi.

Supponendo che tu utilizzi una stringa casuale di caratteri, l’entropia della password viene misurata in bit e dipende da due fattori principali:

  1. Il numero di caratteri disponibili nell’intervallo di caratteri scelto per la password
  2. Il numero di caratteri della password

Pertanto, l’entropia della password aumenta quanto più la password è lunga e quanto più ampio è l’intervallo di caratteri possibile. Una password lunga che utilizza lettere maiuscole, lettere minuscole, simboli e numeri, come kmXz2=zs[m%7?y4A, avrà un’entropia molto elevata.

Una password che utilizza solo lettere minuscole o numeri, come dzormybs o 119022833, avrà un’entropia molto bassa.

Le frasi d’accesso sono più facili da ricordare, ma devi fare attenzione. Devono essere più lunghe per creare livelli simili di entropia. Ad esempio, una frase d’accesso come HelpFidoSaveChocolate33! sembra complessa, ma poiché utilizza quattro parole inglesi comuni e una combinazione numero-simbolo prevedibile alla fine, la sua entropia reale potrebbe essere vicina a 50 bit. Si tratta di un valore di molto inferiore all’entropia di kmXz2=zs[m%7?y4A, anche se è più corta di otto caratteri.

Cosa sono i bit di entropia?

I bit di entropia misurano quanto sia difficile decifrare una password. Ad esempio, una password che conosci già ha zero bit.

Utilizzando una formula, possiamo calcolare quanti bit di entropia ci sono in una password e, con essi, quanti tentativi sarebbero necessari allo script o alla macchina di un malintenzionato per accedere.

Tuttavia, prima di poter calcolare l’entropia della password, dobbiamo misurare tutti i diversi intervalli di caratteri possibili.

Misurazione degli intervalli di caratteri

La tabella seguente mostra come aumentano le opzioni per i caratteri quando aggiungi caratteri diversi alla tua password se scrivi in inglese. Il numero di lettere e simboli può variare a seconda della lingua utilizzata.

Tipo di carattereEsempio/iDimensione dell’intervallo
Numeri0, 1, 2, 310
Lettere latine (minuscole)a, b, c, d26
Lettere latine (maiuscole)A, B, C, D26
Simboli speciali!, @, %, $32

Maggiore è la scelta di potenziali caratteri che offri ai potenziali hacker, più elevata sarà l’entropia della tua password. Pertanto, dai la priorità a un intervallo di caratteri il più ampio possibile e utilizza una combinazione di tutti e quattro i tipi.

Ecco alcune password di esempio e i relativi intervalli di caratteri totali:

EsempioIntervallo di caratteri totale
11223310
abcde26
a1b2c3d436
a1B2c3D462
a1!B2%c3^D494

Ricorda, i dati riportati sopra mostrano la dimensione potenziale degli intervalli di caratteri, non i bit di entropia. Dobbiamo utilizzare una formula specifica per calcolare l’entropia precisa delle password in bit.

Formula dell’entropia della password

Puoi misurare l’entropia di una password in bit utilizzando la seguente formula:

E = L × log2(R)

In questa formula:

  • E è l’entropia della tua password
  • R è l’intervallo possibile di tipi di caratteri nella tua password (mostrato nelle tabelle sopra)
  • L è il numero di caratteri nella tua password (la sua lunghezza)
  • Log2 risponde alla domanda “a quale potenza occorre elevare 2 per ottenere questo numero”

Utilizzando questa formula, ecco come si misurano in bit alcune password di esempio:

EsempioIntervallo di caratteriLunghezza della passwordCalcoloBit di entropia
fygwcbjnhsbh2612 caratteriE = 12 x 4,756,4
HzgNhHkY1WQ8AM6214 caratteriE = 14 x 5,9583,3
kmXz2=zs[m%7?y4A9416 caratteriE = 16 x 6,55104,8

I calcoli dimostrano che più una password è lunga e complessa, maggiore è il numero di bit di entropia che possiede.

Ricorda, questi calcoli si applicano solo alle password generate casualmente. Le frasi d’accesso che utilizzano parole comuni devono essere più lunghe e utilizzare parole insolite e non correlate (e idealmente numeri e simboli) per generare un livello di sicurezza simile.

E ricorda, questi calcoli hanno uno scopo più dimostrativo che pratico. Dovresti affidarti ai generatori di password anziché cercare di calcolare autonomamente la robustezza di una password

Puoi usare il nostro generatore di password gratuito per fare delle prove e vedere quanto sono robuste le diverse password.

Inoltre, l’entropia è solo una delle misure della robustezza. Per evitare gli attacchi con dizionario, evita password o frasi di uso comune. Dovresti anche evitare di usare informazioni personali per la tua password, come la data di nascita, il nome del tuo animale domestico o il nome della tua via, poiché i malintenzionati potrebbero ottenere queste informazioni.

Quando una password è considerata robusta?

In genere, a password robusta o ad alta entropia ottiene un punteggio di almeno 75 bit. Qualsiasi password con meno di 72 bit è ragionevolmente facile da forzare per una macchina.

Calcoliamo il numero massimo di tentativi potenziali utilizzando il calcolo 2 ^ (numero di bit). Rappresenta quante volte il numero 2 si raddoppia per raggiungere il numero totale di bit.

Ad esempio, una password con 10 bit di entropia, utilizzando 2 ^ 10, richiederebbe un massimo di 1.024 tentativi per essere forzata. Si tratta in genere di una password numerica di tre caratteri, come 456.

Punta a un’entropia superiore a 100 bit per creare una password robusta, cercando di ottenerne una il più possibile elevata. Più alta è l’entropia, più tempo impiegheranno i computer a indovinare la password corretta tramite brute force.

Le regole per creare una password ad alta entropia variano enormemente a seconda dell’esperto di sicurezza con cui parli, ma ci sono alcune regole generali su cui tutti concordiamo:

  1. La tua password dovrebbe essere lunga almeno 14 caratteri e utilizzare una combinazione di caratteri diversi (non solo lettere minuscole dell’alfabeto latino di base)
  2. Dovresti evitare di usare frasi o termini che sono significativi per te (e quindi facili da indovinare)
  3. Una password robusta non si connette al suo nome utente (tratta sempre le due cose come entità separate)
  4. È presente una combinazione di almeno una lettera minuscola, una lettera maiuscola, un numero e un carattere speciale (ad esempio, %, ^, *, &, @, ~, ecc.)

Consigliamo anche di utilizzare una blocklist di password per evitare di usare parole o frasi comunemente scelte sul web. Ad esempio, il progetto Bad Passwords del NIST(nuova finestra) è un noto strumento open source per creare frasi ad alta entropia.

Se vuoi creare una password amministratore sicura per il tuo gestore di password, considera le seguenti linee guida

Ricapitolando, una password davvero sicura contiene, ad esempio:

  • Almeno una lettera maiuscola
  • Almeno una lettera minuscola
  • Almeno un simbolo speciale
  • Almeno una cifra
  • Almeno 14 caratteri (o almeno 30 per le frasi d’accesso, presupponendo che le parole siano insolite e non correlate)

L’esempio sopra riportato, kmXz2=zs[m%7?y4A, soddisfa tutti questi requisiti e crea una password con circa 105 bit di entropia, che richiederebbe un tempo incredibilmente lungo per essere violata tramite brute force.

Genera password robuste con Proton Pass

L’unico modo per generare e ricordare abbastanza password robuste per tutti i tuoi account online è usare un gestore di password. Proton Pass genera frasi sicure per te con un clic. Puoi usarlo per creare frasi d’accesso di 10 parole o password casuali di 64 caratteri, e ti permette di controllare se ogni password debba contenere numeri, lettere maiuscole e caratteri speciali, nel caso in cui tu voglia ingrandire l’entropia delle tue password.

Con Proton Pass, le tue password non sono solo difficili da violare: sono archiviate con la crittografia end-to-end e ne viene eseguito il backup tramite una sicura autenticazione a due fattori con il gestore di password gratuito più sicuro al mondo. Leggi il modello di sicurezza di Proton Pass e scopri di più.

Se l’entropia delle password ti lascia perplesso, registrati e iscriviti a Proton Pass. Ti aiuteremo a generare, archiviare e proteggere le tue password per resistere agli attacchi informatici.

Aggiornamento 18 novembre 2025: questo articolo è stato aggiornato per spiegare più chiaramente i problemi legati al calcolo dell’entropia delle frasi d’accesso e delle password in generale. È facile sovrastimare la complessità delle password a meno che non siano generate in modo veramente casuale.

FAQ

Qual è la differenza tra complessità ed entropia della password?

La complessità di una password si riferisce in genere alla gamma di caratteri potenziali, mentre l’entropia si riferisce alla matematica alla base della difficoltà di indovinarla. L’entropia si misura in bit, il che a sua volta ti dice quanti tentativi brute force saranno necessari per violare una password.

Qual è l’entropia di una password di quattro parole?

Dipende da come sono state selezionate le parole. Se sono state scelte in modo casuale (ad esempio, utilizzando un elenco Diceware), ogni parola aggiunge circa 12–13 bit di entropia. Quindi una frase d’accesso casuale di quattro parole avrebbe circa 50–52 bit di entropia. Ma se le parole sono state scelte da un essere umano, l’entropia potrebbe essere molto inferiore.

Che cosa significano 128 bit di entropia?

128 bit di entropia significano che la tua password richiederebbe 2¹²⁸ tentativi brute force per essere violata — una cifra superiore al numero di atomi nell’universo. All’atto pratico, qualsiasi valore superiore a 100 bit è sicuro. Anche le password con 75–80 bit sono considerate oggi resistenti a tutti i noti attacchi brute force.