Password Generator: Crea Password Sicure e Inviolabili

La password: l'anello debole della sicurezza

Le password deboli rimangono la causa numero uno delle violazioni di sicurezza. Nonostante decenni di consapevolizzazione, le password più usate al mondo sono ancora "123456", "password" e "qwerty". Un attaccante con hardware moderno può provare miliardi di combinazioni al secondo con un attacco brute-force. Una password di 8 caratteri con solo lettere minuscole ha 26^8 = circa 208 miliardi di combinazioni — sembrano tante, ma un GPU moderno le esaurisce in pochi minuti. La lunghezza è il fattore più importante: ogni carattere aggiuntivo moltiplica esponenzialmente lo spazio di ricerca.

Il nostro Password Generator utilizza l'API crypto del browser (crypto.getRandomValues) per generare numeri casuali crittograficamente sicuri. A differenza delle funzioni Math.random() usate da molti generatori online, crypto.getRandomValues è progettata per la crittografia e produce output veramente imprevedibili. Le password generate non vengono mai inviate in rete né memorizzate: tutto avviene localmente nel tuo browser.

Lunghezza vs complessità

# Tempo stimato per brute-force (GPU moderna, 10B tentativi/sec)

8 caratteri, solo minuscole:     ≈ 21 secondi
8 caratteri, misto + simboli:    ≈ 19 ore
12 caratteri, solo minuscole:    ≈ 9.500 anni
12 caratteri, misto + simboli:   ≈ 1.7 milioni di anni
16 caratteri, misto + simboli:   ≈ 1.09 trilioni di anni

# Passphrase (4 parole casuali):
"cavallo-batteria-graffetta-luna" ≈ 2.6 milioni di anni

Le linee guida NIST moderne (SP 800-63B) hanno rivoluzionato il pensiero sulla sicurezza delle password: la lunghezza è più importante della complessità. Una password di 16 caratteri con solo lettere è vastamente più sicura di una di 8 caratteri con maiuscole, numeri e simboli. Il motivo è matematico: aggiungere un carattere moltiplica lo spazio di ricerca per l'intero alfabeto usato, mentre aggiungere tipi di carattere moltiplica solo per il rapporto tra gli alfabeti.

Best practice per la gestione delle password

La regola più importante: una password diversa per ogni account. Se usi la stessa password su più servizi e uno subisce un data breach, tutti gli altri account sono compromessi (credential stuffing). Usa un password manager (Bitwarden, 1Password, KeePass) per memorizzare password uniche e complesse. Il password manager è protetto da una singola master password — questa sì deve essere memorizzata e deve essere molto forte. Genera questa master password con il nostro tool usando almeno 20 caratteri.

Il NIST sconsiglia il cambio periodico obbligatorio delle password (era la policy standard fino a pochi anni fa): cambiare password regolarmente porta gli utenti a scegliere password più deboli e prevedibili (password1, password2...). Cambia la password solo quando: sospetti una compromissione, il servizio ha subito un breach, o l'hai condivisa con qualcuno. Per proteggere gli account critici, usa il nostro tool per generare la password e verificane la sicurezza con l'Hash Generator per capire come viene archiviata dai servizi.

Infine, abilita l'autenticazione a due fattori (2FA) su tutti gli account che lo supportano. Una password forte + 2FA rende un account praticamente inviolabile senza accesso fisico al secondo fattore. Per i servizi web che gestisci, verifica che le connessioni siano protette con SSL Check — una password forte inviata su una connessione HTTP non crittografata è intercettabile da chiunque sulla rete.