logo
GeekFormat

Generatore di Password

0
Lunghezza password
16chars
64
Set di caratteri inclusi
Generazione in batch

Generatore di password online gratuito che usa CSPRNG di Web Crypto per password casuali forti, passphrase e PIN. Rilevamento forza, esclusione caratteri ambigui, esportazione in batch. Generato localmente nel browser.

Raccomandazioni correlate

Casi d'uso

  • Genera password casuali forti per nuovi account, verifica entropia e tempo di cracking
  • Genera in batch credenziali temporanee per team o ambienti di test
  • Genera passphrase memorabili per password Wi-Fi o di dispositivi
  • Configura PIN di dispositivi, inizializza account admin o reimposta password
  • Sostituisci password deboli create da umani con password casuali forti

Funzionalità

  • Generazione CSPRNG: usa Web Crypto del browser (crypto.getRandomValues) per casualità crittograficamente sicura
  • Tre modalità: Password casuale, Passphrase memorabile (combinazione di parole), PIN numerico
  • Misuratore di forza completo: dimensione pool caratteri, entropia, rilevamento password deboli, rischio caratteri sequenziali/ripetuti, stima tempo di brute-force
  • Escludi ambigui: opzionalmente ignora 0/O/1/l/I per scenari di inserimento manuale
  • Generazione in batch: genera 5/10/20 password contemporaneamente con download TXT
  • Solo locale: tutta la generazione e analisi avviene nel browser, nessun dato inviato

Come utilizzare

  1. Seleziona la modalità: Casuale, Passphrase o PIN
  2. Configura lunghezza e opzioni caratteri (16+ consigliato), opzionalmente escludi caratteri ambigui
  3. Rivedi la forza: entropia, stima tempo di cracking, rilevamento password deboli
  4. Copia o esporta in batch in TXT per registrazione/reimpostazione/distribuzione

Domande frequenti

Perché usare Web Crypto API invece di Math.random()?

Math.random() è un PRNG generale non progettato per scenari di sicurezza — il suo stato interno può essere potenzialmente reverse-engineerato. crypto.getRandomValues() usa il CSPRNG a livello di sistema operativo, producendo casualità imprevedibile adatta a password e chiavi.

Le password generate vengono caricate su un server?

No. Tutte le password sono generate localmente nel tuo browser. L'analisi della forza, il calcolo dell'entropia e la stima del tempo di cracking girano lato client. La scheda Rete di DevTools conferma zero richieste esterne.

Quanto deve essere lunga una password per essere sicura?

Almeno 12 caratteri con maiuscole, minuscole, cifre e simboli. Una password casuale di 16 caratteri impiegherebbe miliardi di anni per essere violata a velocità moderne. Vedi la tabella dei tempi di cracking sopra.

Password casuale o passphrase memorabile?

Per carattere, le password casuali hanno entropia maggiore. Ma le passphrase (4-6 parole veramente casuali) raggiungono oltre 60 bit di entropia e sono molto più facili da ricordare. La chiave è una selezione di parole veramente casuale, non frasi inventate.

Perché escludere caratteri ambigui (0/O/1/l/I)?

Questi si assomigliano in molti font e causano errori di inserimento. Se le password sono digitate manualmente, dettate al telefono o stampate, escludili. Se usate solo tramite gestore di password, mantieni tutti i caratteri per maggiore entropia.

Ruotare le password periodicamente è più sicuro?

Secondo NIST SP 800-63B, la rotazione regolare delle password NON è più consigliata a meno che non sia confermata una compromissione. La rotazione forzata porta gli utenti a scegliere password deboli o annotarle. Meglio: password casuali lunghe + gestore password + 2FA.

Cos'è l'entropia della password?

L'entropia misura l'imprevedibilità in bit. Entropia = log₂(dimensione_del_pool ^ lunghezza). Una password di 16 caratteri da 94 caratteri ASCII stampabili ha ~104 bit, cioè un attaccante impiega in media 2¹⁰³ tentativi — circa 200 miliardi di anni a 1 trilione di tentativi/sec.

Cos'è un generatore di password sicuro?

Un generatore di password crea password casuali e imprevedibili. A differenza delle password scelte da umani, un vero generatore usa un Generatore di Numeri Pseudo-Casuali Crittograficamente Sicuro (CSPRNG) per selezionare caratteri casualmente da un pool specificato, evitando pattern umani prevedibili (nome+compleanno, sequenze di tastiera come qwerty, azienda+anno), riducendo drasticamente il rischio di attacchi a dizionario e credential stuffing.

**Perché non Math.random()?** I PRNG generali hanno uno stato interno che può essere reverse-engineerato da piccole uscite, permettendo agli attaccanti di predire futuri numeri «casuali». Questo strumento usa l'API Web Crypto del browser — supportata da CSPRNG a livello SO (getrandom Linux, SecRandomCopyBytes macOS, BCryptGenRandom Windows) che superano test di casualità crittografica.

**L'entropia è il nucleo della forza della password**: Entropia = log₂(N^L) bit, dove N = dimensione pool caratteri e L = lunghezza. Una password di 16 caratteri da 94 caratteri ASCII stampabili ha ~104 bit — in media 2¹⁰³ tentativi per violarla, o circa 200 miliardi di anni a 1 trilione di tentativi/sec.

**Le passphrase** fatte di più parole scelte casualmente (come Brave-Cloud-Star42) sembrano «più semplici» ma raggiungono oltre 60 bit quando le parole sono veramente casuali — sufficienti per la maggior parte degli scenari, e molto più facili da ricordare di password a caratteri casuali. Questo è l'approccio Diceware / XKCD #936.

Tutte le password sono generate localmente nel tuo browser senza caricamento. Lo strumento fornisce anche rilevamento della forza: calcolo entropia, stima tempo di brute-force e rilevamento pattern deboli (caratteri ripetuti, cifre/lettere sequenziali, corrispondenza password comuni).

术语表

CSPRNG
Generatore di Numeri Pseudo-Casuali Crittograficamente Sicuro. Produce uscite imprevedibili che superano rigorosi test di casualità; anche conoscendo molte uscite passate non rivela quelle future.
Entropia della password
Misura l'imprevedibilità in bit. Formula: log₂(N^L). 60+ bit = sicuro; 100+ bit = estremamente forte.
Attacco brute-force
Tentare tutte le combinazioni possibili di caratteri. Ci si difende usando password casuali lunghe che rendono le combinazioni fisicamente incalcolabili.
Attacco a dizionario
Usare liste di password comuni (123456, password, qwerty) per indovinare credenziali. Molto più veloce del brute-force; le password casuali sono immuni.
Credential Stuffing
Usare coppie utente/password trapelate da un sito per tentare login su altri. Ci si difende con password uniche per sito e verificando su Have I Been Pwned.
Passphrase
Una password fatta di più parole casuali. Più facile da ricordare con alta entropia quando le parole sono veramente casuali (metodo Diceware).
Diceware
Metodo di Arnold Reinhold del 1995 che usa 5 lanci di dadi per scegliere parole da una lista di 7776 parole. 6 parole Diceware ≈77 bit di entropia.
NIST SP 800-63B
Linee guida per l'identità digitale del NIST — il riferimento autorevole per la sicurezza delle password. Dal 2017 non consiglia più rotazione regolare né caratteri speciali obbligatori, enfatizzando lunghezza, screening password trapelate e MFA.
2FA/MFA
Autenticazione a Due Fattori / Multi-Fattore richiede un secondo fattore oltre alla password (TOTP, chiave hardware). NIST raccomanda 2FA su tutti gli account importanti.
Lista nera password compromesse
Liste di password compromesse/comuni pubblicamente note (123456, password, admin, qwerty). NIST raccomanda di verificare contro tali liste in registrazione/cambio password.

Lunghezza password vs tempo di cracking (maiusc+minusc+cifre+simboli)

LunghezzaEntropia(bit)CombinazioniTempo di cracking (1 trilione/sec)Valutazione
6 caratteri~37~139 miliardi< 1 secondo❌ Molto debole
8 caratteri~52~2.2×10¹⁴~2.5 giorni❌ Debole
10 caratteri~65~3.7×10¹⁸~116 anni⚠️ Discreta
12 caratteri~78~6.1×10²²~1.9 milioni di anni✅ Forte
16 caratteri~104~6.3×10³⁰~200 miliardi di anni✅✅ Molto forte
20 caratteri~131~6.7×10³⁸Trilioni di volte l'età dell'universo✅✅✅ Infrangibile

Confronto di tre modalità di password

ModalitàEsempioEntropia tipicaMemorabilitàIdeale per
Password casualexK9#mP2$vL8@nQ4!~6.5bit/carattereScarsaPassword principali per gestori, password DB, chiavi API
Passphrase memorabileBrave-Cloud-Star42~10bit/parolaBuonaPassword Wi-Fi, password di login che richiedono inserimento manuale
PIN numerico4829173.3bit/cifraBuonaSchermata di blocco, PIN carta bancaria, codici monouso

Authoritative References