Immagina di essere davanti al computer, la sera, mentre crei un nuovo account. Scrivi una password qualunque, clicchi su “Registrati” e ti senti al sicuro.
Ma dall’altra parte del mondo una macchina potrebbe essere in grado di provare milioni o addirittura miliardi di combinazioni al secondo per indovinare proprio quella parola segreta che hai appena scelto.
E non si tratta di fantascienza. È matematica, potenza di calcolo e – spesso – sfruttamento dei nostri errori più umani e più comuni.
Con hardware moderno, come cluster di schede video (GPU) progettate per calcoli paralleli, è possibile testare quantità impressionanti di combinazioni in tempi estremamente ridotti. Questo non significa che ogni password sia destinata a cadere in pochi minuti. Significa però che la differenza tra una password debole e una robusta può far passare questa tempistica, da pochi minuti a secoli.
Come fanno a indovinare le password
Per “indovinare” una password non serve sempre essere un genio del male. Spesso bastano strumenti automatici che fanno tentativi uno dopo l’altro, molto più velocemente di qualunque persona.
Le strade principali sono quattro.
Brute force (forza bruta)
Il computer prova tutte le combinazioni possibili: a, b, c… poi aa, ab, ac… finché non trova quella giusta.
Il principio è semplice, se esistono N combinazioni possibili, il computer le prova tutte. La velocità dipende dall’hardware e dall’algoritmo di protezione usato dal servizio che conserva la password.
Le analisi pubblicate da Hive Systems mostrano che il tempo necessario per rompere una password varia drasticamente in base alla lunghezza e al tipo di caratteri utilizzati. Non cresce in modo lineare, cresce in modo esponenziale.
Attacco a dizionario
Qui non si provano tutte le combinazioni. Si parte da parole comuni e dalle loro varianti:
- password
- ciao123
- estate2024!
- nomi propri
- squadre del cuore
- città
- ecc.
Molte persone credono di essere creative aggiungendo un numero o un punto esclamativo. Per un attacco a dizionario moderno, queste varianti sono previste e testate immediatamente.
Data breach (furto di database)
Spesso la password non viene “indovinata” in diretta.
Un attaccante riesce a ottenere un database rubato da un servizio violato. Dentro ci sono gli indirizzi email e le versioni “offuscate” delle password, chiamate hash.
A quel punto può provare a decifrarle offline, senza limiti di tentativi e senza che tu te ne accorga.
Il Verizon Data Breach Investigations Report mostra che l’uso di credenziali compromesse è da anni una delle tecniche più comuni per accedere ai sistemi.
Phishing e inganni
Invece di attaccare la matematica, si attacca la persona.
Email o siti che imitano una banca, i social o servizi noti, ti convincono a inserire volontariamente la password. È uno dei motivi per cui ENISA insiste molto sulla “cyber igiene” e sull’educazione degli utenti.
In pratica a volte la password viene indovinata. Altre volte viene semplicemente rubata.
Il caso LinkedIn 2012: cosa ci ha insegnato
Nel 2012 LinkedIn subì un furto di credenziali che divenne emblematico.
Inizialmente si parlò di circa 6,5 milioni di password. Successivamente emerse che il numero di account coinvolti era molto più alto, nell’ordine delle decine o centinaia di milioni.
Cosa successe?
- Le password erano hashate con algoritmo SHA-1.
- Non era stato applicato un “salt” univoco per ciascun utente.
Il salt è un valore casuale aggiunto prima dell’hash per rendere ogni password unica anche se identica ad altre.
Senza salt, due utenti con la stessa password producono lo stesso hash. Questo facilita enormemente attacchi basati su tentativi massivi o su database pre-calcolati. Molte password erano inoltre semplici e comuni. Il risultato? Una quantità enorme di credenziali fu ricostruita in tempi relativamente brevi.
La lezione è chiara: Se la password è debole, resta vulnerabile anche anni dopo, quando un vecchio database riemerge online.
Quanto conta la lunghezza di una Password
Molti pensano: “Se metto una maiuscola, un numero e un simbolo, sono a posto”. In realtà oggi le linee guida di NIST e le raccomandazioni europee insistono su un altro punto: la lunghezza è più importante della complessità forzata.
Facciamo un esempio semplice. Se usi solo lettere minuscole dell’alfabeto inglese (a–z), hai 26 caratteri possibili per ogni posizione della password.
Questo significa che:
- Se la password ha 8 caratteri, per ognuno dei 8 “spazi” puoi scegliere tra 26 lettere.
Le combinazioni totali sono 26 × 26 × 26 × 26 × 26 × 26 × 26 × 26, cioè 26⁸, oltre 208 miliardi di possibilità. - Se la password ha 12 caratteri, le combinazioni diventano 26¹², cioè oltre 95 quadrilioni di possibilità.
Come vedete non è inutile fare un “semplice” aumento di caratteri, ogni nuovo carattere di fatto moltiplica tutte le combinazioni precedenti. È per questo che la lunghezza della password fa una differenza enorme.
Cosa significa parlare di “bit di sicurezza”
Possiamo pensarlo così: Ogni bit in più raddoppia il numero di combinazioni possibili.
Se una password ha pochi bit di entropia, un computer moderno può esplorare tutte le opzioni in tempi ragionevoli. Se i bit sono molti, i tempi diventano impraticabili.
Per questo nel generatore di password che ho creato e messo a disposizione qui su Psicospace.it (Generatore Password) quando viene indicato ad esempio “Molto forte – 105 bit”, non è un numero decorativo, quel calcolo significa che lo spazio delle combinazioni è talmente ampio da rendere l’attacco a forza bruta irrealistico con le tecnologie attuali.
Mini-tabella indicativa dei tempi stimati
Secondo le simulazioni pubblicate da Hive Systems, il quadro generale è questo:
- Password di 6 caratteri minuscoli → praticamente istantanea
- 8 caratteri con maiuscole, numeri e simboli → da ore a giorni (con algoritmi veloci)
- 12 caratteri complessi → anni o molto di più
- 16 caratteri casuali robusti → tempi che possono superare di gran lunga la durata della vita umana
Naturalmente dipende anche dall’algoritmo con cui il servizio conserva la password (bcrypt configurato correttamente è molto più resistente rispetto a sistemi veloci e obsoleti).
Gli errori più comuni
I grandi incidenti mostrano che le credenziali rubate restano una delle cause principali di violazione.
Gli errori tipici sono proprio questi:
- Password brevissime
- Riutilizzo della stessa password su più servizi
- Informazioni personali ovvie
- Varianti pigre come Password2023!, Password2024!
- Ignorare gli avvisi di violazione
Il sito Have I Been Pwned indica (alla data di pubblicazione di questo articolo) oltre 17.454.477.997 account coinvolti in violazioni note. Questo significa che moltissime combinazioni sono già presenti in elenchi pubblici e vengono testate per prime.
Come creare password efficaci
La buona notizia è che non serve essere esperti per migliorare drasticamente la propria sicurezza. Le raccomandazioni convergono su alcuni punti chiave.
1. Punta sulla lunghezza
Almeno 12–14 caratteri. Molti sistemi permettono 64 o più.
2. Preferisci una passphrase
Invece di “P@ssw0rd!”, meglio una frase lunga e non ovvia, ad esempio: cane viola lampione nuvola! (ovviamente non usate questa combinazione!)
Più parole comuni combinate possono essere forti e memorabili.
3. Password diversa per ogni servizio importante
Email, banca, lavoro, è fondamentale non usare mai le stesse credenziali di accesso, anche se molto complesse. Usare sempre e solo credenziali distinte per ogni servizio.
4. Usa strumenti che ti aiutano
Quando non vuoi affidarti alla fantasia del momento, esistono strumenti che permettono di generare password casuali o passphrase robuste.
Come ho accennato prima, su Psicospace.it è disponibile un Generatore di Password che consente di creare password casuali, Ricordabili o PIN, mostrando anche una stima in bit del livello di sicurezza. Naturalmente non è l’unico strumento esistente, ma l’ho realizzato con l’intento di aiutarvi ad evitare scelte impulsive e troppo prevedibili.
Perché attivare sempre la doppia autenticazione
Anche la password migliore può essere rubata. Per questo ENISA raccomanda di attivare l’autenticazione a due fattori (2FA) o multifattoriale (MFA) dove possibile.
In poche parole, funziona così
- Primo fattore: qualcosa che sai (password)
- Secondo fattore: qualcosa che hai (smartphone, token) o qualcosa che sei (impronta digitale)
Per cui anche se qualcuno ottiene la tua password, dovrà comunque superare il secondo livello. È come aggiungere un chiavistello e un allarme oltre alla serratura.
La sicurezza digitale come igiene quotidiana
Quanto tempo serve a un computer per indovinare la tua password?
Come abbiamo visto, dipende da diverse cose:
- quanto è lunga
- quanto è casuale
- come è stata conservata dal servizio
- se è già stata esposta in un data breach
Ma una cosa è certa, piccoli cambiamenti possono spostare enormemente l’equilibrio.
Una password lunga, unica e accompagnata dall’autenticazione a due fattori può trasformare un attacco da “questione di minuti” ad una vera e propria “impresa irrealistica”.
La sicurezza digitale non è un gesto eroico. È da considerarsi igiene quotidiana. E forse la prossima volta che creerai un account, invece di scrivere NomeCane123!, ti fermerai qualche secondo in più.
Quei pochi secondi in più che dedicherai a creare la tua password, potrebbero valere anni – o addirittura secoli – di resistenza contro attacchi automatizzati che cercano di forzare il tuo account.
Fonti e Approfondimenti
- NIST – Digital Identity Guidelines, SP 800‑63B: “Authentication and Lifecycle Management”
- ENISA – Basic security practices regarding passwords and online identities
- ENISA – Tips for secure user authentication
- ENISA – Cyber Hygiene
- Verizon – Data Breach Investigations Report
- Hive Systems – Are your passwords in the green? (2025 Password Table)
- Have I Been Pwned – Pwned Websites & Accounts and Whois Been Pwned
