La mente dietro le password – Puntata 3 – Il rumore della sicurezza (e perché è necessario)

La sicurezza delle password e il comportamento umano sono più legati di quanto immaginiamo.

Nelle puntate precedenti abbiamo provato a spostare lo sguardo: le password non proteggono solo i sistemi, raccontano le persone.

Le scelte che facciamo davanti a una casella di login parlano di memoria, fretta, abitudine, fiducia. Parlano di noi, prima ancora che della tecnologia.

Ora facciamo un passo ulteriore.

Non guardiamo più solo cosa scegliamo, ma cosa succede quando un sistema ci chiede qualcosa: di fermarci, di ricordare, di cambiare, di prestare attenzione.

È in quel momento che la sicurezza smette di essere invisibile.

E inizia a farsi sentire.

La sicurezza fa rumore

C’è un equivoco di fondo che accompagna da anni il modo in cui parliamo di sicurezza digitale: l’idea che, se un sistema rallenta, interrompe o chiede attenzione, allora sia progettato male. È un’illusione comoda, ma resta un’illusione.

La sicurezza fa rumore.
E quel rumore ha un nome preciso: fastidio.

Il fastidio non è un errore

Nel mondo fisico abbiamo imparato ad accettarlo senza troppe discussioni. La cintura di sicurezza stringe, il casco pesa e spettina, i controlli rallentano, i tornelli bloccano il passaggio. Nessuno di questi elementi è pensato per essere piacevole: sono pensati per funzionare.

Li tolleriamo perché ne comprendiamo lo scopo. Sappiamo che quel disagio non è gratuito, ma serve a ridurre un rischio, a limitare un danno. Nel mondo reale il fastidio è un segnale che abbiamo imparato a interpretare.

Nel digitale, invece, pretendiamo l’opposto. Vogliamo protezione senza attrito, sicurezza senza interruzioni, controlli che non si notino. Ma una sicurezza che non si sente difficilmente viene riconosciuta come tale.

Rallenta noi, ma soprattutto chi attacca

Il punto che spesso sfugge è questo: il fastidio creato dalla sicurezza non penalizza solo chi usa il sistema. Penalizza soprattutto chi lo attacca.

Un passaggio in più, un codice che scade, una verifica inattesa rallentano di poco un utente legittimo. Per un attaccante che deve automatizzare, scalare e ripetere l’azione più volte, quello stesso rallentamento diventa un ostacolo serio.
L’attacco vive di velocità, continuità e ripetizione.
Il fastidio rompe tutte e tre.

Il problema non è il disturbo, è non capirlo

Quando qualcuno si lamenta perché deve cambiare una password o fermarsi per un aggiornamento, non sta segnalando un bug. Sta segnalando di non aver compreso la funzione del disturbo. Sta reagendo come chi vorrebbe una cintura che non stringe o un casco che non pesa.

La sicurezza non è fatta per essere invisibile. Serve a interrompere l’automatismo, creare un momento di attenzione, ricordarci che ciò che stiamo facendo ha un valore e un rischio.
Se non rallenta, se non disturba, se non si fa notare, se non fa rumore, non sta proteggendo nulla.

E se questo rumore ci infastidisce, il problema non è il rumore stesso.
Ma aver dimenticato perché esiste.

Qualcuno, a questo punto, obietterà:
«Ma oggi esistono autenticazioni biometriche, crittografia trasparente, aggiornamenti silenziosi… perché dovremmo ancora sopportare tutto questo fastidio?».

La risposta è semplice.
Quando quelle tecnologie funzionano davvero, coprono l’intero perimetro e non presentano falle note, il fastidio può – e deve – sparire.

Il problema è che, nella stragrande maggioranza delle realtà italiane del 2025, siamo ancora lontani da quel paradigma.

Finché restiamo in questo mondo imperfetto, pretendere una protezione seria senza alcun attrito è come pretendere un airbag che non fa rumore quando si apre.

Se non fa rumore, probabilmente non c’è. O semplicemente non funziona.

Ma come si trasforma, in ambito password, questo “rumore” in una scelta concreta?
La risposta passa da un concetto che mette insieme psicologia e matematica: l’entropia delle password.

L’entropia delle password

In teoria dell’informazione, a partire dal lavoro di Claude Shannon (1948), l’entropia misura l’incertezza della distribuzione di probabilità da cui una password è stata estratta.
Semplificando, ma senza tradire il significato teorico, nella pratica accade che, quando la scelta segue schemi umani prevedibili – come succede quasi sempre – quell’incertezza crolli, e indovinare diventi molto più facile. È per questo che, nel linguaggio comune, entropia e prevedibilità finiscono per coincidere.

Password come Ciao123, Marco1984, Luna2020 o Password! hanno un’entropia bassissima. Non perché siano ingenue, ma perché sono prevedibili. Sono esattamente il tipo di stringhe che gli script automatici provano per prime, perché rientrano nei pattern più comuni del comportamento umano.

Una password ad alta entropia non deve essere incomprensibile. Deve solo essere improbabile per chi attacca. Ed è qui che nasce uno degli equivoci più diffusi: l’entropia non coincide con il caos. Una sequenza apparentemente infernale come fY9!gP0$BvTqZ non è sinonimo di sicurezza reale, ma spesso di un problema diverso. È il tipo di password che finisce scritta su un foglietto o salvata in modo improprio, trasformandosi in una vulnerabilità mascherata da complessità.

L’entropia cresce quando aumentano la lunghezza, la varietà dei caratteri e, soprattutto, quando diminuisce la prevedibilità. Evitare legami evidenti con la propria vita personale – nomi, date, luoghi, riferimenti emotivi – aiuta.

Attenzione però: assenza di riferimenti personali non significa automaticamente alta entropia.

Tr0ub4dor&3 – una parola di dizionario mascherata in leet speak – sembra creativa, ma è una delle trasformazioni più comuni: entropia bassa.
correct-horse-battery-staple non racconta nulla di personale, ma è l’esempio più citato di sempre: oggi è nei dizionari degli attaccanti.
cane-gatto-tavola-17 non ha legami evidenti, ma segue un pattern banalissimo (sostantivo–sostantivo–sostantivo–numero): entropia mediocre.

Il fattore decisivo, quindi, non è l’assenza di riferimenti personali in sé, ma l’assenza di pattern riconoscibili.
L’entropia cresce davvero quando la password sfugge agli schemi che gli attaccanti già conoscono e sfruttano. Può anche non raccontare nulla di chi la usa, ma se è costruita seguendo una struttura prevedibile – parole di dizionario con qualche numero, leet speak, sequenze di tastiera – l’incertezza resta comunque bassa.

L’obiettivo non è complicare la vita a chi la usa, ma complicare il lavoro a chi prova a indovinarla.

Qui vale la pena fermarsi un attimo e guardare la matematica, perché è molto più semplice di quanto sembri.

E soprattutto perché, tradotta bene, dice una cosa banale: più possibilità esistono, più diventa improbabile indovinare “a tentativi”.

Entropia = imprevedibilità

Il numero di password possibili cresce così:

N = A^L

dove A è il numero di caratteri possibili (lettere, numeri, simboli) e L è la lunghezza della password.

Se un attaccante prova R tentativi al secondo, il tempo medio necessario per indovinarla è:

T ≈ A^L / (2 · R)

Questa è la stima ideale, nel caso in cui la password sia scelta in modo realmente casuale. Nella realtà, quando seguiamo schemi umani prevedibili, il tempo effettivo per un attaccante è molto più basso.

Ma il punto non è il numero esatto.
Il punto è l’ordine di grandezza.

Ogni carattere in più non aggiunge fatica, la moltiplica. Non stiamo parlando di “un po’ più lunga”: stiamo parlando di un salto di scala. È la differenza tra provare qualche porta e trovarsi davanti a un intero quartiere di porte uguali.
Due caratteri in più significano A² volte più tentativi. Con alfabeti comuni, parliamo di migliaia di volte più lavoro.

In scenari realistici questo significa passare da giorni a decenni, da decenni a tempi che superano tranquillamente una vita umana.
Se ci sembra esagerato, possiamo sempre fare come i malfidati professionisti: prendere la forrmula, fare i conti e provare a smentirlo.
La matematica non fa sconti, ma almeno è coerente.

Quando anche le regole hanno cambiato idea

Per anni ci siamo sentiti ripetere la stessa litania: password complesse, simboli obbligatori, cambi forzati ogni pochi mesi. Una sicurezza rumorosa, sì – ma spesso nel modo sbagliato.

Negli ultimi anni, però, anche le linee guida ufficiali hanno cambiato direzione. Le più recenti raccomandazioni del NIST, l’ente di riferimento internazionale per l’identità digitale, hanno messo in discussione proprio quelle pratiche che sembravano intoccabili.

Il punto centrale è semplice: la lunghezza conta più della complessità.
Obbligare simboli, maiuscole e regole artificiose ha prodotto per anni un effetto collaterale noto: password scritte su post-it, schemi ripetuti, variazioni minime e prevedibili. Più problemi, non più sicurezza.

Il nuovo orientamento è diverso:

• meglio password e passphrase lunghe, anche molto lunghe
• niente obblighi inutili di simboli “a forza”
• niente cambio periodico automatico, ma cambio solo quando c’è un rischio reale o una compromissione
• controlli contro password già note, banali o riciclate

In altre parole, meno rituali e più sostanza.
Meno rumore inutile, più attrito dove serve davvero.

È un cambio di paradigma importante, perché riconosce finalmente una verità scomoda: la sicurezza che ignora il comportamento umano finisce per aggirarlo.

Ed è proprio qui che entrano in gioco le passphrase.

Le passphrase: quando l’entropia incontra la psicologia

Una passphrase è semplicemente una frase trasformata in password. Ed è una delle poche soluzioni che aumentano l’entropia senza dichiarare guerra alla memoria umana. È lunga, naturale, difficile da prevedere e sorprendentemente facile da ricordare.

Anche in questo caso non tutte le frasi, però, funzionano. Quelle ovvie – cavallo.caffè.neve.giovedì, iltramontoaccadealle18, uncucciolononèunpassword – sembrano intelligenti solo a chi le scrive. In realtà sono costruite secondo logiche comuni, riconoscibili, e finiscono esattamente dove finiscono tutte le buone intenzioni: nei dizionari degli attaccanti.

Il trucco non è la frase in sé, ma l’angolazione. Funzionano i ricordi obliqui, non quelli evidenti. Quelli che non raccontano chi sei, ma che solo tu riconosci. A quel punto basta applicare una regola semplice e ripetibile: iniziali, un simbolo, un taglio coerente. Non serve inventare ogni volta: serve un metodo. E una variazione coerente per ogni servizio.

Per esempio, una frase personale può diventare LmC_3vS! senza essere leggibile per nessuno tranne chi l’ha costruita.

Non tutti usano un password manager, ed è una scelta diffusa. Esistono approcci umani che funzionano perché rispettano i limiti della memoria: frasi spezzate in modo sistematico, percorsi geografici impossibili, accostamenti di oggetti incompatibili. Sequenze come Parigi→Lima→LagoDiCartone o cucchiaioLilla_CerchioAsciutto non raccontano nulla di te, ma restano impresse. Nessun attaccante costruisce dizionari dell’assurdo, mentre la memoria umana li gestisce senza sforzo.

Una buona password dovrebbe anche provocare una micro-reazione emotiva. Un mezzo sorriso, una sensazione di familiarità strana. Basta questo per ricordarla. Meglio buffa che biografica. Meglio strana che prevedibile.

C’è però una regola che non ammette deroghe: non usare la stessa password per tutto. È come avere un’unica chiave per casa, auto, ufficio e cantina. E poi lasciarla al bar.

Cambiare password è fastidioso, inutile negarlo. Ma è molto meno fastidioso che perdere un account, un’identità o un pezzo di lavoro. Una password decente non deve raccontare la nostra vita, non deve farci vergognare, non deve costringerci a un post-it e non dovrebbe mai sembrare nata in un momento di panico.

Deve solo funzionare.
E lasciarci un minimo di dignità.

Continua…

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Simone D'agostino

Nato a Roma, con oltre 35 anni di servizio nella Polizia di Stato, è attualmente Sostituto Commissario e responsabile della SOSC della Polizia Postale di Udine. Esperto in indagini sul web e sul dark web, è appassionato di OSINT, ambito nel quale opera anche come formatore nazionale per la Polizia di Stato. Ha conseguito un Master in Intelligence & ICT presso l’Università di Udine (110 e lode), sviluppando quattro modelli di Intelligenza Artificiale per il contrasto alle frodi sui fondi dell’Unione Europea. È attivamente impegnato nella formazione e nella divulgazione per l’innalzamento del livello di sicurezza cibernetica.

Aree di competenza: Human factor, OSINT & SOCMINT, Cybercrime e indagini sul dark web, Intelligenza artificiale applicata all’analisi, Disinformazione e information warfare