Passphrase vs password: qual è più sicura?
Le passphrase di parole casuali e le password di caratteri complessi risolvono lo stesso problema in modi diversi. Ecco come si confrontano su entropia, memorizzabilità e sicurezza reale — e quando usare ciascuna.
La risposta onesta: dipende da come vengono create
Una passphrase non è automaticamente più sicura di una password, e viceversa. Ciò che conta è l'entropia — quanta casualità autentica contiene il segreto — e se una persona può davvero usarla. Una passphrase di sei parole generata a caso e una password di 20 caratteri generata a caso possono essere entrambe estremamente robuste. Una password che hai inventato tu e una passphrase che hai inventato tu possono essere entrambe deboli.
Confronto sull'entropia
L'entropia si misura in bit, e più bit significano esponenzialmente più tentativi per violarla. Una password complessa concentra più entropia in ogni carattere, perciò può essere robusta pur essendo breve. Una passphrase distribuisce l'entropia su intere parole, perciò necessita di più caratteri per raggiungere la stessa robustezza — ma quei caratteri sono molto più facili da ricordare. Sei parole casuali si attestano intorno ai 70-80 bit; una password di 16 caratteri completamente casuale è in un intervallo simile. Entrambe resistono comodamente alla violazione offline.
Confronto su memorizzabilità e usabilità
È qui che le passphrase vincono. Le persone riescono a ricordare “harbor-violin-cobalt-stamp” molto più affidabilmente di “7xQ!r2$kPm9#”, e possono digitarla correttamente su un telefono, un telecomando della TV o una console. Per qualsiasi segreto che una persona deve ricordare — una password principale, l'accesso a un dispositivo, una chiave Wi-Fi — quel vantaggio di usabilità è decisivo.
Dove vince ciascuna
Usa una password lunga e casuale per gli account che il tuo gestore di password conserva e inserisce, perché la densità batte la memorizzabilità quando il lavoro lo fa una macchina. Usa una passphrase per i segreti che devi ricordare tu stesso. In pratica la configurazione ideale è entrambe: un'unica passphrase robusta per sbloccare un gestore di password che custodisce password lunghe e casuali per tutto il resto.
Cosa non aiuta granché
I trucchi prevedibili aggiungono poca sicurezza reale: mettere la maiuscola alla prima lettera, sostituire “a” con “@” o aggiungere “1!” a una parola del dizionario sono tutti schemi che gli strumenti di violazione provano per primi. Che tu scelga una passphrase o una password, la robustezza deve derivare dalla casualità e dalla lunghezza — non da sostituzioni dall'aspetto ingegnoso.
Domande frequenti
Una passphrase è sempre più sicura di una password?
No. Entrambe sono robuste solo quanto la loro entropia. Una passphrase generata a caso e una password generata a caso possono essere entrambe molto robuste; le versioni inventate da sé di entrambe tendono a essere deboli.
Perché le passphrase vengono consigliate così spesso?
Perché raggiungono un'entropia elevata pur restando facili da ricordare e da digitare. Per i segreti che una persona deve ricordare, quell'usabilità rende pratiche le scelte robuste.
Una password più lunga è meglio di una breve e complessa?
In genere sì. La lunghezza aumenta il numero di possibilità più rapidamente che inserire qualche simbolo. Una password lunga e casuale o una passphrase di più parole battono entrambe una breve “complessa”.
Quale dovrei usare per la password principale del mio gestore di password?
Una passphrase di sei o più parole casuali. È ad alta entropia e facile da ricordare, esattamente ciò di cui ha bisogno una password principale.
Le sostituzioni di caratteri come @ al posto di a aiutano?
Appena. Gli strumenti di violazione si aspettano quelle sostituzioni. La robustezza reale deriva dalla casualità e dalla lunghezza, quindi aggiungi piuttosto una parola o dei caratteri.