Il Consiglio Che Sta Rendendo le Tue Password Piu Deboli
"Usa una lettera maiuscola, un numero e un carattere speciale." Lo hai sentito migliaia di volte. La tua banca lo richiede. La tua azienda lo impone. I reparti IT di tutto il mondo lo ripetono come un mantra.
C'e un problema: il National Institute of Standards and Technology (NIST), l'agenzia federale statunitense che ha letteralmente scritto il manuale sulla sicurezza delle password, ha aggiornato le proprie linee guida nel 2017 dicendo esattamente il contrario. La Pubblicazione Speciale NIST 800-63B raccomanda esplicitamente contro le regole di complessita forzata dei caratteri e i reset periodici obbligatori. Il motivo non e filosofico. E matematico.
Come Funziona Davvero il Cracking delle Password nel 2026
Quando un hacker ottiene un database di password violato, non tenta di indovinare una password alla volta. Utilizza un sistema di cracking automatizzato. Una singola scheda grafica NVIDIA RTX 4090 puo testare circa 300 miliardi di combinazioni di hash NTLM al secondo. Non all'ora. Al secondo.
Di fronte a questa potenza di calcolo, ecco cosa mostra la Password Table di Hive Systems 2024 per password che usano lettere maiuscole, minuscole, numeri e simboli (94 possibili caratteri per posizione):
| Lunghezza password | Tempo per craccarla (RTX 4090) |
|---|---|
| 8 caratteri | 59 minuti |
| 10 caratteri | 5 mesi |
| 12 caratteri | 226 anni |
| 14 caratteri | 2 milioni di anni |
| 16 caratteri | 92 miliardi di anni |
Il salto da 8 a 12 caratteri non e lineare. E esponenziale. Questo e il risultato diretto dell'entropia delle password.
La Matematica dell'Entropia
La forza di una password si misura in bit di entropia. La formula e semplice:
E = L x log2(R)
Dove:
- E e l'entropia in bit
- L e la lunghezza della password in caratteri
- R e la dimensione del pool di caratteri (solo minuscole = 26, aggiungi maiuscole = 52, aggiungi cifre = 62, aggiungi simboli = 94)
Una password di 8 caratteri che usa tutti e 94 i caratteri ASCII stampabili ottiene:
8 x log2(94) = 8 x 6,55 = 52,4 bit di entropia
Una password di 16 caratteri che usa solo lettere minuscole ottiene:
16 x log2(26) = 16 x 4,70 = 75,2 bit di entropia
Piu bit di entropia da un set di caratteri piu semplice, puramente perche la lunghezza domina l'equazione. E per questo che il NIST da priorita alla lunghezza rispetto alla complessita.
I 5 Pattern che gli Hacker Attaccano Prima della Forza Bruta
Gli strumenti di cracking moderni non iniziano provando ogni possibile combinazione. Iniziano con attacchi basati su regole sui comportamenti umani piu comuni, perche le scelte umane sono prevedibili. Ecco i cinque pattern che vengono craccati per primi, ogni volta:
1. Parole del dizionario con sostituzioni di caratteri. "P@ssw0rd" viene craccato istantaneamente da ogni strumento moderno. Hashcat include regole pre-costruite per tutte le sostituzioni comuni: a diventa @, e diventa 3, o diventa 0, s diventa $. Le regole di sostituzione non aggiungono sicurezza reale. Aggiungono frustrazione.
2. Parola seguita da numeri. "Estate2024", "Calcio123", "Password1!". Le analisi post-violazione dei dump di password aziendali mostrano costantemente che questo pattern rappresenta piu del 40% delle credenziali craccate.
3. Sequenze di tastiera. "qwerty", "1qaz2wsx", "asdfgh". Ogni dizionario di cracking include migliaia di sequenze adiacenti alla tastiera. Se le dita si sono mosse a malapena durante la digitazione della password, uno strumento di cracking la trovera in meno di un secondo.
4. Pattern ripetuti o a bassa entropia. "aaaaaa1!", "abcabc!", "121212ab". Gli strumenti di cracking misurano la frequenza dei caratteri e la densita dei caratteri unici. I pattern a bassa entropia vengono catturati nel primo ciclo di attacchi dizionario.
5. Password precedentemente violate. Have I Been Pwned (HIBP) indicizza attualmente oltre 13 miliardi di password compromesse uniche provenienti da migliaia di violazioni di dati passate. Se la tua password compare in quel database, verra abbinata in millisecondi, indipendentemente da quanto sembri "complessa".
Cosa Raccomanda Davvero il NIST
La Pubblicazione Speciale NIST 800-63B, Sezione 5.1.1, contiene tre requisiti che contraddicono le regole che la maggior parte delle organizzazioni impone ancora oggi:
Requisito 1: Minimo 8 caratteri, con una forte raccomandazione per 15 o piu. I requisiti di complessita sono descritti come opzionali. La lunghezza e il principale fattore di sicurezza.
Requisito 2: Nessun reset periodico forzato. Costringere gli utenti a cambiare le password ogni 90 giorni produce risultati altamente prevedibili: gli utenti incrementano un numero alla fine, capitalizzano la prima lettera o apportano il cambiamento minimo possibile. Una password stabile di 16 caratteri e significativamente piu sicura di una appena cambiata di 8 caratteri.
Requisito 3: Verificare le nuove password rispetto ai database di violazioni note. Rifiutare qualsiasi password che appaia in un elenco compromesso noto, non le password che sono semplicemente state in uso per 90 giorni.
L'aggiornamento 2025 al NIST SP 800-63B-4 ha ulteriormente rafforzato queste posizioni, affermando che i verificatori "non devono imporre altre regole di composizione" oltre alla lunghezza minima.
Il Framework Pratico per Password Davvero Solide
Minimo 16 caratteri per qualsiasi account che protegga dati finanziari, professionali o personali. Il tempo di cracking a questa lunghezza, anche con l'hardware piu veloce disponibile oggi, si misura in miliardi di anni.
Usa passphrase dove la memorizzazione conta. Quattro parole casuali e non correlate ("viola pioggia presa marmo") producono circa 74 bit di entropia e sono significativamente piu facili da ricordare di "P@ssw0rd!" pur essendo ordini di grandezza piu difficili da craccare.
Password unica per ogni account, senza eccezioni. Il riutilizzo delle password e la causa piu comune di compromissione degli account. Un'unica violazione su un sito a bassa sicurezza espone email, banca e social media se le password vengono riutilizzate.
Non includere mai informazioni personali identificabili. Anni di nascita, nomi di figli, nomi di animali domestici e nomi di citta vengono utilizzati in attacchi mirati contro individui specifici.
Domande Frequenti
Ogni quanto dovrei cambiare la password?
Secondo il NIST SP 800-63B, dovresti cambiare una password quando ci sono prove di compromissione, non secondo un programma fisso. Una password forte e unica che non e stata violata non diventa piu debole nel tempo.
I gestori di password sono sicuri?
Si. Un gestore di password con una master password forte e significativamente piu sicuro del riutilizzo di password memorabili su piu siti. Il rischio che un gestore di password venga compromesso e molto inferiore alla quasi certezza di attacchi di credential stuffing contro password riutilizzate.
Una password di 12 caratteri e sufficiente nel 2026?
Per la maggior parte degli account personali, si. 226 anni alla velocita attuale delle GPU e sicurezza pratica. Per obiettivi di alto valore (conti finanziari, credenziali di lavoro, email che controlla i reset delle password), 16 caratteri o piu e la scelta piu sicura.