Generatore di password

Come vengono generate le password?

Questo strumento genera password usando l'API crypto.getRandomValues() del browser — lo stesso generatore di numeri casuali crittografici usato in TLS, HTTPS e software di sicurezza in tutto il mondo. Ogni carattere viene selezionato in modo indipendente con probabilità uniforme dai set di caratteri abilitati. Le password vengono generate localmente e non vengono mai trasmesse ad alcun server.

A differenza dei generatori pseudo-casuali (come Math.random() in JavaScript), i generatori di numeri casuali crittografici traggono entropia da sorgenti hardware — movimenti del mouse, tempistica della tastiera, I/O del disco e generatori hardware di numeri casuali dedicati. Questo garantisce che le password generate siano veramente imprevedibili, anche per un attaccante che conosce l'algoritmo.

Quanto dovrebbe essere lunga una password?

• 12 caratteri: La lunghezza minima accettabile per la maggior parte degli account online. Fornisce circa 71 bit di entropia con tutti i tipi di caratteri abilitati.
• 16 caratteri: Consigliata per email, conti bancari e account finanziari. Fornisce circa 95 bit di entropia.
• 20+ caratteri: Ottima per account amministrativi, chiavi SSH, chiavi di crittografia e password master del password manager. Fornisce 119+ bit di entropia.

Cosa rende una password sicura?

La robustezza di una password è misurata dall'entropia — il numero di possibili combinazioni che un attaccante deve provare. La lunghezza è il fattore più importante. Una password di 16 caratteri che usa tutti e quattro i set di caratteri (maiuscole, minuscole, cifre, simboli) ha circa 10⁴² possibili combinazioni. A un trilione di tentativi al secondo, forzarla richiederebbe miliardi di anni.

Aggiungere varietà di caratteri aumenta l'entropia per carattere. Le sole lettere minuscole danno 26 opzioni per posizione. Aggiungere le maiuscole raddoppia a 52. Aggiungere le cifre raggiunge 62. Includere i simboli supera le 90 opzioni per carattere. Ma la lunghezza batte sempre la complessità — una password di 20 caratteri solo minuscole è più robusta di una password di 8 caratteri con tutti i tipi di caratteri.

Dovrei usare un password manager?

Assolutamente sì. Generare una password unica e robusta per ogni account usando questo strumento, poi memorizzarle tutte in un password manager affidabile come Bitwarden, 1Password o KeePass. Un password manager significa dover ricordare solo una password master robusta. Non riutilizzare mai le password tra siti — quando un sito viene violato, gli attaccanti provano quelle credenziali ovunque.

Errori comuni con le password

L'errore più pericoloso è riutilizzare le password su più siti. Le violazioni dei dati espongono regolarmente milioni di credenziali, e gli attaccanti usano strumenti automatizzati per testare le password rubate su altri servizi. Altri errori comuni includono l'uso di informazioni personali (compleanni, nomi di animali domestici), l'uso di parole del dizionario con semplici sostituzioni (p@ssw0rd) e la scrittura di password su post-it.

Domande frequenti

Questo generatore di password è veramente casuale?

Sì. Usa la Web Crypto API (crypto.getRandomValues()), che è un generatore di numeri casuali crittograficamente sicuro integrato nel browser. È la stessa qualità di casualità usata per generare le chiavi di sessione TLS che proteggono il banking online.

Con quale frequenza dovrei cambiare le password?

Le attuali linee guida del NIST (National Institute of Standards and Technology) sconsigliano la rotazione periodica delle password. Cambiare la password solo quando si sospetta che sia stata compromessa, quando un servizio segnala una violazione dei dati o quando si vuole aggiornare una vecchia password debole con una più robusta.