Generatore Password Sicure
Genera password crittograficamente sicure con lunghezza, set di caratteri ed esclusioni personalizzabili. Analisi entropia, tempo di attacco e livello di robustezza.
🎁 Amazon Prime: fino a 90 giorni GRATIS!
Approfitta delle offerte Amazon: Prime, Music Unlimited, Kindle e altro. Cancella in qualsiasi momento.
*con Prime Student, se idoneo. Condizioni possono variare.
Generatore di Password Sicure: protezione reale per i tuoi account
Il generatore di password sicure di Cifro crea istantaneamente password crittograficamente robuste, utilizzando l'API nativacrypto.getRandomValues()del browser. Nessun dato viene trasmesso a server esterni: tutto avviene localmente nel tuo dispositivo. Puoi configurare lunghezza, set di caratteri, esclusioni e ottenere un'analisi immediata della robustezza della password generata, completa di entropia in bit e tempo stimato per un attacco brute force.
Perché una password forte è essenziale
Secondo il report Verizon DBIR 2024, oltre l'80% delle violazioni di dati coinvolge credenziali deboli, riutilizzate o rubate. Una password come "123456" viene craccata in meno di un secondo, mentre una password casuale di 16 caratteri con maiuscole, minuscole, numeri e simboli richiede miliardi di anni di calcolo. La differenza tra una password indovinabile e una inattaccabile sta nella casualità e nella lunghezza.
Il problema è che il cervello umano non è bravo a generare sequenze veramente casuali. Tendiamo a usare pattern prevedibili: date, nomi, parole del dizionario, sostituzioni ovvie (a→@, e→3). Gli attaccanti lo sanno e usano dizionari ottimizzati che testano milioni di combinazioni comuni in pochi secondi. Per questo serve un generatore che sfrutti l'entropia crittografica del sistema operativo.
Come funziona il generatore
Il nostro strumento costruisce un pool di caratteri basato sulle opzioni selezionate: lettere maiuscole (A-Z), minuscole (a-z), cifre (0-9) e simboli speciali (!@#$%^&*…). Se attivi l'opzione "Escludi caratteri ambigui", vengono rimossi quei caratteri facilmente confondibili tra loro (i, l, 1, L, o, 0, O), utile quando la password deve essere letta o dettata.
Ogni carattere della password viene estratto dal pool usando un indice casuale generato da crypto.getRandomValues(), che attinge all'entropia hardware del dispositivo (rumore termico, movimenti del mouse, timing di interrupt). Dopo la generazione, un secondo passaggio garantisce che almeno un carattere di ogni categoria selezionata sia presente, evitando casi limite in cui la casualità produrrebbe una password priva, ad esempio, di numeri.
Entropia: la misura scientifica della sicurezza
L'entropia di una password si misura in bit e si calcola con la formula: E = L × log₂(N), dove L è la lunghezza e Nè la dimensione del pool di caratteri. Ad esempio, una password di 16 caratteri con un pool di 95 caratteri (tutte le categorie attive) ha un'entropia di circa 105 bit — servirebbero in media 2¹⁰⁴ tentativi per indovinarla. Con 10 miliardi di tentativi al secondo (10¹⁰, una stima per un cluster GPU moderno), il tempo medio sarebbe di circa 6,4 × 10²⁰ anni — miliardi di volte l'età dell'universo.
Linee guida NIST sulla sicurezza delle password
Il NIST (National Institute of Standards and Technology) nelle linee guida SP 800-63B raccomanda di privilegiare la lunghezza rispetto alla complessità forzata. Non è più consigliato imporre la rotazione periodica delle password, che porta gli utenti a scegliere varianti deboli. È invece fondamentale: usare password lunghe (minimo 8 caratteri, consigliato 15+), verificare le password contro liste di credenziali compromesse, e adottare l'autenticazione a più fattori (MFA/2FA).
Guida pratica: come scegliere la password giusta
La configurazione ideale dipende dal contesto. Ecco tre scenari comuni con i relativi consigli per ottenere il massimo dalla generazione delle password.
Scenario 1 — Account bancario o email principale
Per gli account più critici, imposta la lunghezza a 20 o più caratteri, attiva tutti i set (maiuscole, minuscole, numeri, simboli) e lascia disattivata l'esclusione dei caratteri ambigui. Salva la password nel tuo password manager. Con 20 caratteri e pool completo ottieni circa 131 bit di entropia — praticamente inattaccabile con qualsiasi tecnologia attuale o prevedibile.
Scenario 2 — Wi-Fi di casa o servizi secondari
Per il Wi-Fi domestico o servizi meno critici, 16 caratteri con maiuscole, minuscole e numeri (senza simboli) offrono un buon compromesso tra sicurezza e digitabilità. Attiva l'esclusione dei caratteri ambigui se devi condividere la password verbalmente o digitarla su dispositivi con tastiere limitate (smart TV, console).
Scenario 3 — PIN e codici numerici
Se il servizio accetta solo numeri (es. PIN), attiva solo "Numeri" e imposta la lunghezza massima consentita. Un PIN di 6 cifre ha solo circa 20 bit di entropia — sufficiente solo se il sistema limita i tentativi (es. 3 tentativi prima del blocco). Se possibile, preferisci sempre una password alfanumerica più lunga.
Attacchi comuni e come la password ti protegge
Esistono diversi tipi di attacco contro le password, ognuno con caratteristiche specifiche. Un attacco brute force prova tutte le combinazioni possibili: contro una password casuale di 16 caratteri con pool completo è computazionalmente impossibile. Un attacco a dizionario prova parole e combinazioni comuni: le password generate casualmente non contengono parole e sono immuni. Il credential stuffing usa credenziali rubate da altri siti: usando password uniche per ogni servizio, un breach su un sito non compromette gli altri.
Il phishinginganna l'utente per fargli inserire la password su un sito falso: contro questo attacco, una password forte non basta — serve attenzione e, idealmente, la 2FA con chiave fisica (FIDO2/WebAuthn). Per una guida completa su tutti gli aspetti della sicurezza delle password, leggi il nostro articolo Password sicure: come crearle e gestirle.
Password manager: il complemento essenziale
Generare password forti è inutile se poi non le puoi ricordare. Un password manager (Bitwarden, 1Password, KeePassXC) salva tutte le password in un archivio crittografato protetto da una singola master password. L'unica password che devi ricordare è quella del manager stesso — per la quale consigliamo il metodo passphrase: 4-5 parole casuali concatenate (es. "CavalloGraffitoLampione42!"), lunga, memorizzabile e con entropia superiore a 60 bit.
Privacy e sicurezza dello strumento
A differenza di molti generatori di password online, questo strumento funziona interamente nel browser. Il codice JavaScript viene eseguito localmente, le password generate non vengono mai inviate a server esterni, non vengono registrate in log e non vengono memorizzate dopo la chiusura della pagina. Puoi verificarlo tu stesso ispezionando il traffico di rete con gli strumenti di sviluppo del browser: vedrai zero richieste HTTP durante la generazione. Questa architettura client-side elimina qualsiasi rischio di intercettazione in transito.
Tabella di riferimento: entropia per configurazione
Per aiutarti a scegliere la configurazione giusta, ecco un riferimento rapido. Con solo lettere minuscole (pool 26): 8 caratteri = 37,6 bit (debole), 12 = 56,4 bit (discreta), 16 = 75,2 bit (buona). Con minuscole + maiuscole + numeri (pool 62): 8 = 47,6 bit (discreta), 12 = 71,5 bit (buona), 16 = 95,3 bit (forte). Con tutti i caratteri (pool ~95): 8 = 52,6 bit (discreta), 12 = 78,8 bit (buona), 16 = 105,1 bit (forte), 20 = 131,4 bit (molto forte). La soglia raccomandata per account critici è almeno 80 bit di entropia.
Strumenti correlati
Per altre operazioni di verifica e sicurezza: verifica IBAN, verifica Partita IVA, calcolo codice fiscale, convertitore dati e calcolo età.
Strumenti correlati
Scopri altri calcolatori utili nella stessa categoria.
Utility
Calcolo Percentuale
Calcola percentuali, sconti, aumenti e variazioni tra due valori con formule chiare e passaggi spiegati.
Utility
Calcolo IVA: Aggiungi o Scorpora
Calcola IVA aggiungendo o scorporando l'imposta con aliquote italiane 22%, 10%, 5% e 4%.
Utility
Calcolo Giorni tra Due Date
Calcola giorni, settimane e mesi tra due date con opzione giorni lavorativi, festività italiane e countdown.
Utility
Calcolo Ore Lavorate e Ore Decimali
Converti ore e minuti in ore decimali o calcola durata turno. Utile per timesheet, paghe orarie e freelance.
FAQ
Le password generate vengono inviate al server?
No. La generazione avviene interamente nel browser tramite crypto.getRandomValues(). Nessun dato viene trasmesso, registrato o memorizzato su server esterni. Puoi verificarlo con gli strumenti di sviluppo del browser.
Cos'è l'entropia di una password?
L'entropia misura la casualità in bit. Si calcola come L × log₂(N), dove L è la lunghezza e N il numero di caratteri possibili. Più bit di entropia significano più tentativi necessari per indovinarla. Sopra 80 bit è considerata forte.
Quanti caratteri deve avere una password sicura?
Minimo 12 caratteri, ideale 16 o più. Una password di 8 caratteri con pool completo ha circa 52 bit di entropia (discreta). A 16 caratteri sale a 105 bit (forte). Per account critici (banca, email) consigliamo almeno 20 caratteri.
Perché escludere i caratteri ambigui?
Caratteri come i, l, 1, L, o, 0, O si confondono facilmente tra loro, soprattutto con certi font o quando la password deve essere letta o dettata a voce. L'esclusione riduce leggermente il pool ma migliora l'usabilità.
Cosa significa il tempo di attacco stimato?
È il tempo medio necessario per indovinare la password provando tutte le combinazioni possibili a 10 miliardi di tentativi al secondo (stima per un cluster GPU moderno). Un tempo di 'miliardi di anni' indica una password praticamente inattaccabile.
Posso usare solo numeri per generare un PIN?
Sì, attiva solo 'Numeri' e imposta la lunghezza desiderata. Attenzione: un PIN di 4 cifre ha solo 13,3 bit di entropia — è sicuro solo se il sistema limita i tentativi (es. 3 tentativi prima del blocco). Preferisci sempre lunghezze maggiori.
La password è garantita contenere tutti i tipi di carattere selezionati?
Sì. Dopo la generazione casuale, un algoritmo verifica che almeno un carattere di ogni categoria attiva sia presente. Se manca, sostituisce un carattere casuale con uno della categoria mancante.
Cos'è crypto.getRandomValues()?
È un'API Web standard che genera numeri casuali crittograficamente sicuri, attingendo all'entropia hardware del sistema operativo (rumore termico, timing di interrupt). È molto più sicura di Math.random(), che è pseudocasuale e prevedibile.
Quanto è sicura una password di soli 8 caratteri?
Dipende dal pool. Con solo lettere minuscole (pool 26): 37,6 bit, craccabile in ore. Con pool completo (95 caratteri): 52,6 bit, servirebbero settimane o mesi. Comunque insufficiente per account importanti: meglio almeno 12-16 caratteri.
Devo cambiare le password regolarmente?
Le linee guida moderne (NIST SP 800-63B) sconsigliano la rotazione periodica, che porta a scegliere varianti deboli. Cambia la password solo se sospetti una compromissione o se il servizio ha subito un data breach.
Cosa faccio se un sito non accetta i simboli?
Disattiva 'Simboli' nel generatore e aumenta la lunghezza per compensare. Con maiuscole, minuscole e numeri (pool 62), una password di 20 caratteri ha circa 119 bit di entropia — ancora molto forte.
Come salvo le password generate in modo sicuro?
Usa un password manager dedicato come Bitwarden (gratuito, open source), 1Password o KeePassXC. Non salvarle in file di testo, foglietti o note non crittografate. Il password manager del browser è meglio di niente, ma meno sicuro di uno dedicato.
Cos'è un attacco brute force?
Un attacco brute force prova tutte le combinazioni possibili di caratteri fino a trovare quella giusta. Con hardware moderno si raggiungono miliardi di tentativi al secondo. La difesa è una password lunga e casuale, che rende il numero di combinazioni astronomico.
I dati vengono salvati dopo la generazione?
No, le password generate esistono solo nella memoria del browser durante la sessione. Chiudendo o ricaricando la pagina, tutti i dati vengono eliminati. Non utilizziamo cookie, localStorage o altri meccanismi di persistenza per le password.
📖 Guide correlate
Nessuna guida correlata disponibile al momento.