Generatore di Password
Scegli una lunghezza, attiva maiuscole, minuscole, numeri e simboli, e questo generatore produce una password utilizzando il generatore di numeri casuali crittografico del tuo browser — la stessa fonte di entropia che supporta la generazione di chiavi SSL e i portafogli di criptovalute. Niente pseudo-casuale seme, niente round-trip al server. Una password di 16 caratteri con tutte e quattro le classi di caratteri fornisce circa 95 bit di entropia, sufficiente a resistere a cracking offline con l’hardware attuale.
Come vengono costruite le password forti
-
1
Scegli la lunghezza
Predefinito 16. Qualsiasi cosa sotto 12 è debole per account importanti.
-
2
Scegli le classi di caratteri
Maiuscole, minuscole, numeri, simboli. Più classi = più entropia per carattere.
-
3
Opzionale: escludi caratteri ambigui
Escludi 0/O e 1/l/I se la password verrà trascritta dallo schermo a un terminale.
-
4
Genera
crypto.getRandomValues() sceglie ogni carattere uniformemente dall'insieme consentito.
-
5
Copia e conserva
Incolla immediatamente nel tuo gestore di password. Non riutilizzare.
Entropia per lunghezza e set di caratteri
| Lunghezza | Solo minuscole | Minuscole + numeri | Minuscole + maiuscole + numeri | Tutte e quattro le classi |
|---|---|---|---|---|
| 8 | 38 bit | 41 bit | 48 bit | 52 bit |
| 12 | 57 bit | 62 bit | 71 bit | 79 bit |
| 16 | 75 bit | 83 bit | 95 bit | 105 bit |
| 20 | 94 bit | 103 bit | 119 bit | 131 bit |
| 24 | 113 bit | 124 bit | 143 bit | 158 bit |
Cosa significa l’entropia nella pratica
- 40 bit — crackabile in giorni con una singola GPU oggi. Buono per account usa e getta.
- 60 bit — resiste agli attacchi online ma vulnerabile a cracking offline dedicato.
- 80 bit — forte contro il cracking offline per l’hardware attuale.
- 100 bit — effettivamente non crackabile fino a quando l’informatica quantistica non matura.
- 128 bit — corrisponde alla forza della chiave AES-128.
Per la maggior parte degli account online, 16 caratteri dall’insieme completo (105 bit) sono più che sufficienti. Gli account bancari, i master del gestore di password e i portafogli di criptovalute meritano 20+ caratteri.
Perché le classi di caratteri sono importanti
Ogni classe aggiunge opzioni per carattere. Con 26 lettere minuscole, un carattere contribuisce con log2(26) = 4.7 bit. Aggiungere maiuscole dà 52 caratteri e 5.7 bit per carattere. Aggiungere cifre dà 62 caratteri e 5.95 bit. Aggiungere simboli raggiunge 94 caratteri e 6.55 bit. Oltre 16 caratteri, quella differenza si accumula a ~30 bit — la differenza tra “crackabile” e “non vale la pena provare.”
Quando escludere caratteri ambigui
Se la password verrà digitata dallo schermo a un dispositivo senza un percorso di copia e incolla — installatori da console, alcuni portafogli hardware, utenti anziani che leggono le password ad alta voce — escludere 0, O, 1, l, I previene errori di trascrizione. Il costo in entropia è minimo (2-3 bit su 80+).
Flusso di lavoro del gestore di password
- Installa un gestore di password (Bitwarden, 1Password, KeePass).
- Imposta una forte frase di accesso principale (6-8 parole casuali — vedi il generatore di frasi di accesso).
- Usa il generatore del gestore per ogni sito, accettando le impostazioni forti predefinite.
- Non riutilizzare mai le password tra i siti, anche quelle “usa e getta”.
- Abilita 2FA su tutto ciò che lo supporta.
Le password digitate manualmente dovrebbero essere rare — solo per il master del gestore, la crittografia del disco completo e possibilmente il login del computer di lavoro.
Cose che non aiutano
- Cambiando ogni 90 giorni. La rotazione forzata incoraggia schemi prevedibili (Estate2024 → Autunno2024). NIST SP 800-63B raccomanda esplicitamente contro di essa.
- Scrivendo su carta in un portafoglio. Più sicuro che riutilizzare password deboli, ma peggiore di un gestore di password.
- Domande di sicurezza con risposte reali. “Prima scuola” è a una ricerca Google di distanza per la maggior parte delle persone. Genera risposte false casuali e conservale nel tuo gestore.
Domande frequenti
16 caratteri da tutte e quattro le classi di caratteri (minuscole, maiuscole, numeri, simboli) è forte per quasi qualsiasi account. 20+ per il master del gestore di password, portafoglio crypto e crittografia del disco completo. Sotto 12 è debole indipendentemente dalle regole di complessità.
La password viene generata nel tuo browser utilizzando l’API Web Crypto e non viene mai inviata da nessuna parte. Apri il pannello Rete degli Strumenti per sviluppatori se vuoi verificare. Dovresti comunque copiarla immediatamente in un gestore di password piuttosto che fare uno screenshot o inviarla via email.
Violazioni dei dati. Quando un sito perde password, gli attaccanti provano immediatamente la stessa combinazione email/password su centinaia di altri siti (credential stuffing). Password uniche per sito contengono il danno a un solo account.
Genera una password casuale di 16 caratteri per quel sito. Un limite di 16 o meno di solito significa che il sito sta memorizzando le password in una forma che non scala bene, il che è un campanello d’allarme — abilita 2FA lì, specialmente.