Password, Passphrase e il Mistero dell’Enigma di Zia Gertrude

Nota: La lettura è consigliata con una buona scorta di tè, caffè, o polpette (a seconda del fuso orario e del livello di fame). Benvenuti nell’universo semiserio della sicurezza informatica, dove i nostri peggiori incubi digitali si mescolano con ricette di famiglia, barzellette sulle password più comuni e nozioni tecniche sulla crittografia.

---

Indice dei Contenuti

1. Introduzione: Perché Parlare di Password e Polpette?
2. Password vs. Passphrase: Facciamo Chiarezza
3. Entropia: Come Calcolare la Difficoltà di una Password3.1 Formula dell’Entropia3.2 Entropia Teorica vs. Entropia Reale
4. Effetti Culturali: Dizionari, Pattern e Pigrizia Umana
5. La Passphrase è Meglio di una Password Strana?
6. Hash, Salt e Altri Feticci Informatici
7. Esempi di Entropia per Password “password”, “Password”, “P@ssw0rd” e Altre Varietà da Incubo
8. Perché Siamo Ancora Legati a Password Corte (8-16 caratteri)?
9. Metodi di Forzatura: Brute Force, Dizionari, Rainbow Tables, ecc.
10. Differenze di Gestione nel Codice tra Password e Passphrase
11. Consigli Pratici: Post-it, Politiche Aziendali e Password Manager
12. Super Approfondimenti (Versione “Director’s Cut”)12.1 Requisiti di Sicurezza Moderni (bcrypt, Argon2, PBKDF2)12.2 Esempi di Passphrase, Diceware e Pattern di Memoria12.3 Combattere l’Attacco Ibrido12.4 Esempi di Entropia “Semplice” vs. “Reale”
13. Come Integrare Tutto Questo nella Vita di Tutti i Giorni
14. Conclusioni Finali & Riferimenti

(Sì, lo so, è bello lungo. Ma almeno sarà ordinato! E, si spera, divertente.)

---

1. Introduzione: Perché Parlare di Password e Polpette?

Immaginate un giorno qualunque. State per accedere alla ricetta segretissima di famiglia della vostra leggendaria Zia Gertrude, quella che fa le polpette più buone del mondo (con un ingrediente misterioso che nessuno ha mai capito – si mormora siano briciole di cometa, ma non facciamo domande).

Ora, vi siete iscritti a un portale dove Zia Gertrude carica i suoi pdf di ricette. Il portale, però, vi chiede una password per accedere. Voi, convinti di essere dei geni, impostate: password.

• “Ma sì, tanto chi mai me la indovinerà?”, pensate.
• Peccato che “password” sia la password più usata dall’alba di Internet ed è in cima a tutte le liste di cracking.

In men che non si dica, un simpatico hacker (o quell’antipatico cugino invidioso della vostra gastronomia), trova la “vostra” password e diffonde l’ingrediente segreto. Tragedia.

Questo scenario è più comune di quanto si pensi. Ed è per questo che parlare di password (e delle alternative più intelligenti, come le passphrase) è fondamentale. Faremo tutto ciò in salsa comico-umoristica, per non annoiarci. O meglio, cercheremo di stemperare la gravità della situazione con qualche battuta, perché dopotutto – come dicono i saggi – ridendo e scherzando, si impara di più.

---

2. Password vs. Passphrase: Facciamo Chiarezza

Iniziamo con due definizioni rapide:

• Password: una sequenza relativamente breve di caratteri, spesso 8-16, talvolta 20, a volte ridotta a 4 cifre (vedi PIN). Può includere lettere minuscole, maiuscole, numeri, simboli, geroglifici alieni o emoticon di vario tipo (se il sistema lo consente).
• Passphrase: un insieme di parole (spesso 3-6 o più), come “cane violino zucchina topo”. Si presenta molto più lunga di una password “classica” e, se scelta bene, risulta più sicura e al contempo più facile da ricordare (almeno, per molti).

La differenza sostanziale è la lunghezza e la memorizzabilità. Una passphrase di 20 o più caratteri, formata da parole comuni ma messe insieme in modo casuale, raggiunge spesso un’entropia (cioè una “difficoltà di indovinamento”) maggiore di una password “complessa” di 8-10 caratteri con simboli astrusi.

---

3. Entropia: Come Calcolare la Difficoltà di una Password

3.1 Formula dell’Entropia

Il concetto di entropia (in informatica) è una misura di quanto sia improbabile indovinare o “azzeccare” una certa password. Se la password è veramente casuale, la formula della sua entropia (in bit) è:

dove:

N = numero di possibili simboli (l’alfabeto). Esempio:

• Solo minuscole (a-z)? N=26
• Minuscole + maiuscole + numeri? N=26+26+10=62
• Aggiungendo simboli vari (punteggiatura, ecc.)? N potrebbe salire a 80, 90 o più.
• L = lunghezza della password (in caratteri).

Esempio veloce

Una password di 8 caratteri da un alfabeto di 62 simboli (lettere a-z, A-Z, cifre 0-9):

Questo vuol dire che ci sono

combinazioni possibili, cioè all’incirca 1.4×10^14.

3.2 Entropia Teorica vs. Entropia Reale

Se la vostra password è generata casualmente, quell’entropia teorica è ragionevole.

Ma se l’avete scelta usando la formula “nome del gatto + 123”, allora la reale entropia è molto minore. Perché un attaccante intelligente userà dictionary attack e pattern tipici (nomi di animali domestici, date di nascita, sostituzioni banali come a -> @, o -> 0, ecc.).

Il cervello umano non è un generatore di numeri casuali. Siamo pigri, abitudinari e prevedibili. E la sicurezza informatica ci punisce per questo.

---

4. Effetti Culturali: Dizionari, Pattern e Pigrizia Umana

Avete presente la top 10 delle password più comuni, tipo:

1. 123456
2. password
3. 123456789
4. qwerty
5. abc123

Bene, queste esistono perché, statisticamente, un numero incredibile di persone adotta password semplici e prevedibili. L’attaccante, quindi, non ha bisogno di testare tutte le combinazioni di 62 caratteri su 8 posizioni (cosa ancora “lunghetta”); può iniziare provando i dizionari e i pattern noti.

Più “furbo” l’attaccante, più la sicurezza della nostra povera password crolla. E da qui il concetto che una password “strana” ma breve non sia necessariamente più forte di una passphrase “lunga” e coerente.

---

5. La Passphrase è Meglio di una Password Strana?

5.1 Esempio “correct horse battery staple”

Reso celebre da una vignetta di xkcd, “correct horse battery staple” è una passphrase di 4 parole inglesi a caso. Il suo senso letterale è ridicolo, ma la sua entropia è elevata (perché scelta da un dizionario di migliaia di parole).

5.2 Vantaggi

• Memorizzabile: il cervello ricorda più facilmente una frase, piuttosto che un groviglio di simboli.
• Alta entropia: la lunghezza elevata (20-30 caratteri o più) rende difficile il brute force.
• Più difficile da indovinare: a meno che non sia una frase comune (tipo “il gatto sul tetto che scotta”), gli attacchi a dizionario puro fanno più fatica.

5.3 Se la passphrase è… sbagliata

Alcuni, però, confondono “passphrase” con “metto insieme due parole comunissime”. Esempio: “ciao come stai” – che può diventare preda di un attacco a dizionario. Oppure: “io ti amo” (anche questa non è tanto sicura: rientra tra le combinazioni banali). La passphrase deve essere quasi casuale, magari con parole scelte su un elenco ampio.

---

6. Hash, Salt e Altri Feticci Informatici

6.1 Che cos’è un Hash?

Un hash è il risultato di una funzione matematica che trasforma l’input (la password) in una stringa (di lunghezza fissa) “apparentemente casuale”. Caratteristiche fondamentali:

• One-way: impossibile (o quasi) risalire all’input partendo dall’hash.
• Deterministico: lo stesso input produce sempre lo stesso hash (con la stessa funzione e lo stesso contesto).
• Avalanche effect: un singolo carattere cambiato produce un hash completamente diverso.

6.2 Che cos’è un Salt?

Il salt è un valore casuale che si concatena (o mescola) con la password prima di calcolare l’hash. Scopo:

• Evitare gli attacchi con rainbow tables (tabelle pre-calcolate di hash per parole comuni).
• Rendere diversi gli hash per password uguali ma su account diversi (due utenti con la stessa password avranno hash diversi se i salt sono diversi).

6.3 Hashing Sicuro

Oggi, la pratica raccomanda di usare funzioni di hashing “lente” e resistenti a brute force come:

• bcrypt
• scrypt
• PBKDF2
• Argon2

Queste funzioni iterano più volte (o usano molta memoria) per impedire che un attaccante possa fare milioni di tentativi al secondo.

---

7. Esempi di Entropia per “password”, “Password”, “P@ssw0rd” e Altre Varietà da Incubo

Ora, un esempio pratico e immediato. Prendiamo password popolari:

1. password
2. Password (con P maiuscola)
3. P@ssw0rd (dove @ sostituisce la “a” e 0 sostituisce la “o”)

7.1 “password” (tutto minuscolo)

• Lunghezza: 8
• Alfabeto teorico: 26 (solo minuscole)
• Entropia teorica:

• In realtà: è la parola più comune in assoluto, il suo “indice di segretezza” è praticamente vicino allo 0. Un attacker la prova entro i primissimi tentativi.

7.2 “Password” (P maiuscola + minuscole)

• Lunghezza: 8
• Alfabeto teorico (se fosse casuale): 52 (26 minuscole + 26 maiuscole)
• Entropia teorica:

• In realtà: è solo una variante di “password”. L’attaccante la prova subito.

7.3 “P@ssw0rd” (con simboli, numeri e maiuscole)

• Lunghezza: 8
• Alfabeto teorico: ~80-90 (caratteri speciali, cifre, ecc.)
• Entropia teorica:

• In pratica: tipico pattern @ al posto di a, 0 al posto di o. Anche questo è ultra comune e appare in qualsiasi dizionario di attacco “ibrido”.

Morale: non fatevi ingannare dalle apparenze! Queste password sembrano complicate, ma in realtà sono debolezze celebri di cui gli aggressori ridono.

---

8. Perché Siamo Ancora Legati a Password Corte (8-16 caratteri)?

Nonostante tutte le raccomandazioni, molti siti e sistemi impongono password tra 8 e 16 caratteri. I motivi:

1. Retaggio storico: sistemi legacy che memorizzano password in buffer di lunghezza fissa (magari 16).
2. Facilità di digitazione: su uno smartphone, digitare 30 caratteri è un macigno.
3. Credenza che basti: un tempo, 8 caratteri apparivano più che sufficienti (anni ’90-2000).
4. Policy IT rigide: alcune aziende hanno regole vecchie e non vogliono adattarsi (o temono utenti confusi).
5. Vantaggi pratici (?). Password corte si digitano più rapidamente, errore di battitura meno probabile.

Tuttavia, la potenza di calcolo è cresciuta a dismisura e 8 caratteri, oggi, non sono poi così sicuri (a meno che non siano generati con ottima casualità e si usino funzioni di hashing robuste).

---

9. Metodi di Forzatura: Brute Force, Dizionari, Rainbow Tables, ecc.

9.1 Brute Force

• Pro: provare tutte le combinazioni possibili. Prima o poi si indovina.
• Contro: se la password è lunga e l’entropia è alta, serve una potenza di calcolo enorme e tempo geologico.

9.2 Dictionary Attack

• Si usano elenchi di parole comuni, frasi, nomi, sostituzioni tipiche (a -> @, i -> 1, o -> 0…), pattern (aggiungere anni, “!” finale, ecc.).
• È molto più rapido che il brute force puro, perché sfrutta la pigrizia umana.

9.3 Attacchi Ibridi

• Combinano dictionary + sostituzioni + numeri casuali in coda, ecc.
• Sfruttano la tipicità delle scelte umane.

9.4 Rainbow Tables

• Tabelle pre-calcolate di hash per un’enorme quantità di password.
• Oggi rese meno utili da salting e funzioni lente (es. bcrypt).

9.5 Credential Stuffing

• Se un aggressore ruba (da un altro sito) l’email e la password di un utente, spesso prova le stesse credenziali su altri servizi (poiché, ahinoi, la gente riusa le stesse password ovunque).

---

10. Differenze di Gestione nel Codice tra Password e Passphrase

Dal punto di vista di un programmatore, password e passphrase sono entrambe stringhe di input da validare e hashare. Le differenze principali:

1. Lunghezza massima supportata: alcune piattaforme legacy tagliano la password a 8 o 16 caratteri. Una passphrase di 30 caratteri subisce un’amputazione.
2. Encoding: le passphrase possono includere spazi, accenti, caratteri Unicode. Se il software non gestisce UTF-8 correttamente, rischio di rogne.
3. Hash e salvataggio: in genere è lo stesso processo (salt + funzione di hashing). L’importante è che il sistema non tronchi la passphrase.
4. Policy: molte policy prevedono “almeno un carattere speciale, una maiuscola, un numero”, e non contemplano passphrase di sole parole. Questo può frenare l’adozione delle passphrase.

---

11. Consigli Pratici: Post-it, Politiche Aziendali e Password Manager

11.1 Post-it

Prima raccomandazione semiseria: non appiccicate la password su un Post-it sotto la tastiera, sul monitor o sul frigo. È come chiudere casa con la chiave e poi lasciare la chiave nella serratura esterna.

11.2 Politiche Aziendali

Spesso, nei contesti aziendali, si vedono regole come: “La password deve cambiare ogni 30 giorni, deve avere almeno 8 caratteri, uno maiuscolo, un numero, un simbolo e una goccia di sangue di drago.” Risultato: gli utenti usano password sequenziali (P@ssword01, P@ssword02) e scrivono tutto in un foglietto. Meglio, oggi, è allungare la password/passphrase, permettere spazi e caratteri e chiedere il cambio solo se realmente necessario (o in caso di sospetto breach).

11.3 Password Manager

Un password manager (KeePass, 1Password, LastPass, Bitwarden, ecc.) vi aiuta a:

• Generare password robuste e casuali per ogni sito.
• Non doverle ricordare tutte: basta ricordare la master password (idealmente una passphrase).
• Evitare il riuso delle stesse password su siti diversi.

---

12. Super Approfondimenti (Versione “Director’s Cut”)

In questa sezione, uniamo e ampliamo i concetti già visti in precedenza, andando più a fondo.

12.1 Requisiti di Sicurezza Moderni (bcrypt, Argon2, PBKDF2)

Quando un servizio serio memorizza le nostre credenziali, non salva la password in chiaro (almeno, si spera!). Fa uso di:

1. Salt (valore casuale per ognuno).
2. Hashing “lento”: un’implementazione come bcrypt, scrypt, PBKDF2 o Argon2.

Queste funzioni prevedono un “fattore di costo” (number of rounds o memory cost). Più è alto, più lento è l’hash. In questo modo, un attaccante che riuscisse a rubare il database degli hash ci metterà un’eternità per testare tutte le password comuni.

Argon2

È considerata una delle migliori funzioni di hashing moderne (ha vinto il Password Hashing Competition). Consente di configurare la memoria da usare (resistenza agli attacchi su GPU) e il numero di iterazioni.

12.2 Esempi di Passphrase, Diceware e Pattern di Memoria

Diceware è un metodo per generare passphrase in cui si usa un dado a 6 facce e si lancia più volte, per scegliere parole da una lista numerata di, diciamo, 2048 o 4096 parole. Si ottiene una passphrase come:

• “cane violino zucchina topo”
• “gomito alveare sabbia oroscopo cameo”

Queste passphrase hanno un’entropia calcolabile: se ci sono 2048 parole possibili, scegliere 4 parole a caso vuol dire 2048^4 combinazioni, cioè 44 bit di entropia circa.

12.3 Combattere l’Attacco Ibrido

Un attacco ibrido, come già accennato, prova parole di dizionario e le varia: “Password”, “P@ssw0rd”, “Password1”, “Password123”, “Password2023!”, ecc. Se una passphrase è effettivamente generata in modo casuale (non una frase comune come “il sole sorge a est”), l’attacco ibrido faticherà molto di più, perché dovrà tentare combinazioni di tantissime parole.

12.4 Esempi di Entropia “Semplice” vs. “Reale”

Password: “qwerty” (6 lettere minuscole)

• Entropia teorica: ~28 bit
• Entropia reale: quasi 0, perché “qwerty” è in tutti i dizionari di attacco.

Password casuale: “gvtzxm”

• Entropia teorica: ~28 bit (6 minuscole casuali).
• Entropia reale: effettivamente vicina all’ideale, perché non è una parola comune. Certo, 28 bit non sono tantissimi.

Passphrase: “cane violino zucchina topo”

• Se preso da un vocabolario di 2048 parole, 4 scelte = 2048^4 combinazioni -> 44 bit di entropia teorica.
• Entropia reale: verosimilmente simile a quella teorica, a patto che sia generata davvero a caso e non sia la frase preferita dalla nonna (tipo “la polpetta di gertrude è buona”).

---

13. Come Integrare Tutto Questo nella Vita di Tutti i Giorni

• Personale: Smettete di usare la MIA password 123456. Ve ne prego, fate un piccolo sforzo.
• In ufficio: Se la policy aziendale vi stressa con cambi password frequenti, chiedete un aggiornamento delle policy (magari citando il NIST 800-63B).
• Social media: Non postate la vostra data di nascita, la via di casa, il nome del cane e del gatto e poi usate quei nomi come password. È come spedire una cartolina all’attaccante con su scritto: “Prego, entra pure!”
• Password manager: Se la vostra vita è fatta di 100 account (e chi non ne ha?), perché ricordarle tutte manualmente? Un password manager crittografato vi salverà dal mal di testa e da figuracce.

---

14. Conclusioni Finali & Riferimenti

Siamo arrivati alla fine di questo lunghissimo viaggio

14.1 Recap

• Password:Breve, spesso 8-16 caratteri, facile da “incasinare” con simboli vari, ma spesso scelta in modo poco sicuro e troppo corto.
• Passphrase:Frase lunga e (se generata bene) casuale, più semplice da ricordare e con entropia elevata.
• Entropia:Meglio misurarla con la formula log_2(N^L), e ricordare che la pigrizia umana la fa crollare.
• Hash e Salt:Fondamentali per memorizzare in sicurezza le password nei database. Non memorizzare mai la password in chiaro!
• Metodi di Attacco:Brute force, dizionari, attacchi ibridi e rainbow tables. Vanno contro la pigrizia e i pattern prevedibili.
• Consigli:Evitate post-it, niente password “password”, usate password manager, usate funzioni di hashing lente (bcrypt, Argon2, ecc.).

14.2 La Ricetta di Zia Gertrude

Non illudetevi di trovarla qui. Se Zia Gertrude è furba, userà una passphrase come: “unicorno stellare polpetta segreta 1975 gertrude wow!” e la terrà offline. Niente di più saggio.

14.3 Riferimenti Utili

xkcd 936: Password Strength

• https://xkcd.com/936/
• La genesi di “correct horse battery staple” e dell’idea di passphrase lunghe.

NIST Special Publication 800-63B

• https://pages.nist.gov/800-63-3/sp800-63b.html
• Linee guida ufficiali su password e autenticazione.

OWASP Authentication Cheat Sheet

• https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
• Un compendio di best practice per sviluppatori.

Diceware

• https://theworld.com/~reinhold/diceware.html
• Metodo per generare passphrase casuali usando dadi e liste di parole.

Password Manager

• KeePass, 1Password, LastPass, Bitwarden…
• Generano password casuali, le memorizzano, sincronizzano dispositivi, e alleviano il mal di testa.

14.4 Ultimissimo Consiglio

Se avete letto tutto fin qui, complimenti. Siete già più preparati dell’utente medio. Il prossimo passo è mettere in pratica: cambiate gradualmente le vostre password più importanti (email, conto bancario, social) con password uniche e forti o con una bella passphrase. Non riutilizzatele su siti vari, e se potete, abilitate l’autenticazione a più fattori (2FA, MFA).

In questo modo, la ricetta di Zia Gertrude – e, più seriamente, la vostra vita digitale – saranno molto più al sicuro.

---

Ringraziamenti Finali

Grazie per aver seguito questo compendio semiserio di dimensioni epiche. Ci auguriamo che la lettura ti abbia divertito, oltre che insegnato qualcosa di fondamentale: la sicurezza non è un lusso. E chissà, magari adesso avrai più cura nell’inserire la prossima password e un pensiero affettuoso va anche alle polpette di Zia Gertrude (che continuano a restare un enigma ben custodito… grazie a una passphrase degna di un romanzo!).

Buona sicurezza e buon appetito!

Related Posts via Taxonomies

• PASSWORDS, PASSPHRASES, AND THE MYSTERY OF AUNT GERTRUDE’S MEATBALLS
• The Great Digital Confession: When CEOs, Politicians, and Experts Agree – They Know Nothing
• Fact-Checking vs. Community Notes:
• Fact-Checking vs. Community Notes:
• TikTok, Disinformation, and the Social Media Manipulation Machine: who’s bad?
• Information Security: A Cultural Circus with a Tragic Finale
• La sicurezza informatica: un circo culturale con finale tragico
• Latino, Bibbia e storia “vera”, le poesie a memoria ma senza i dinosauri
• Un augurio ai CEO di buone feste
• A Ceo Christmas’ wish

To the official site of Related Posts via Taxonomies.

Password, Passphrase e il Mistero dell’Enigma di Zia Gertrude by The Puchi Herald Magazine is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.