Che cos'è crypto.getRandomValues e perché importa?

crypto.getRandomValues è un'API Web Crypto integrata in tutti i browser moderni. Produce numeri casuali crittograficamente sicuri usando la fonte di entropia del tuo sistema operativo, rendendola di gran lunga superiore a Math.random() per scopi di sicurezza. Tutti i principali gestori di password usano la stessa API.

Qual è la differenza tra una password e una passphrase?

Una password è una stringa di caratteri casuali (ad esempio, 'kX9#mZp2'). Una passphrase è una sequenza di parole casuali (ad esempio, 'correct-horse-battery-staple'). Le passphrase sono più facili da ricordare e digitare fornendo una sicurezza eccellente. Una passphrase di 4 parole ha approssimativamente la stessa entropia di una password casuale di 10 caratteri.

Come viene calcolato il tempo di cracking?

Il tempo di cracking è stimato assumendo un attaccante che esegue 10 miliardi di tentativi al secondo (un cluster GPU high-end). Il numero totale di password possibili è diviso per questo tasso. Ad esempio, una password mista di 16 caratteri ha circa 4x10^31 combinazioni, che a 10 miliardi di tentativi al secondo impiegherebbe oltre un trilione di anni.

Perché escludere caratteri ambigui?

I caratteri ambigui come 0/O, 1/l/I e 2/Z sembrano simili in molti font, il che può causare confusione durante la lettura o la digitazione manuale di password. Escluderli è utile quando devi scrivere o dettare una password. Per le password memorizzate in un gestore, includi tutti i caratteri per la massima entropia.

Posso usare questo generatore di password offline?

Sì. Poiché la generazione di password avviene interamente nel tuo browser usando JavaScript e l'API Web Crypto, lo strumento funziona senza una connessione Internet una volta che la pagina è caricata. Non vengono effettuate chiamate al server durante la generazione di password.

Un PIN di 4 cifre è sicuro?

Un PIN di 4 cifre ha solo 10.000 combinazioni possibili, che è molto debole contro gli attacchi offline. Tuttavia, i PIN sono tipicamente usati con meccanismi di blocco (ad esempio, 3 tentativi falliti bloccano il dispositivo), che li rendono adeguati per telefoni e carte bancarie. Per qualsiasi cosa senza protezione di blocco, usa un PIN di 6-8 cifre o una password completa.

Con quale frequenza dovrei cambiare le mie password?

NIST (l'Istituto Nazionale degli Stati Uniti per gli Standard e la Tecnologia) non raccomanda più i cambiamenti di routine delle password. Invece, cambia una password solo quando sospetti che sia stata compromessa, quando un servizio segnala una violazione di dati, o quando l'hai condivisa con qualcuno che non dovrebbe più avere accesso. Usare una password unica e forte per ogni servizio è più importante della rotazione frequente.

Generatore di Password

Genera password forti e casuali istantaneamente. Completamente client-side — niente lascia il tuo browser.

100% Client-Side Nessuna Registrazione Istantaneo

Lunghezza 16

Maiuscoli A–Z

Minuscoli a–z

Numeri 0–9

Simboli !@#$%^&*()

Escludi ambigui O 0 I l 1 |

Parole 4

Separatore

Maiuscola iniziale parole Prima lettera maiuscola

Includi numero Aggiungi un numero casuale tra le parole

Lunghezza 6

Numero:

Generato interamente nel tuo browser usando crypto.getRandomValues(). Niente viene inviato a nessun server.

Come utilizzare il Generatore di Password

Scegli la Tua Modalità

Seleziona Casuale per password basate su caratteri, Passphrase per password basate su parole, oppure PIN per codici numerici.

Regola le Impostazioni

Imposta la lunghezza desiderata, abilita o disabilita i tipi di caratteri, e scegli preset per lunghezze comuni.

Copia e Usa

La tua password viene generata istantaneamente. Fai clic su Copia per salvarla negli appunti, oppure rigenerasla per una nuova.

Cosa Rende una Password Forte?

Secondo NIST SP 800-63B (2024) e le linee guida CISA, la forza di una password dipende da tre fattori: lunghezza, casualità e unicità. Gli standard federali aggiornati hanno abbandonato le regole di complessità obbligatoria (lettere maiuscole, caratteri speciali) a favore di password più lunghe, perché ogni carattere aggiuntivo aumenta esponenzialmente la difficoltà di un attacco brute-force.

Ecco 5 regole per creare password forti nel 2026:

Rendila lunga — minimo 16 caratteri. NIST ora raccomanda almeno 15 caratteri per l'autenticazione single-factor (SP 800-63B Rev. 4). Ogni carattere aggiuntivo moltiplica la difficoltà di cracking esponenzialmente.
Rendila casuale — Usa un generatore di password. Gli umani sono terribili nella casualità — gravitiamo verso pattern, parole di dizionario e informazioni personali che gli attaccanti sfruttano.
Rendila unica — Una password per account. Il 94% delle password viene riutilizzato su più account. Quando un servizio viene compromesso, tutti i tuoi account che usano quella password sono compromessi.
Salta i trucchi di complessità — “P@$$w0rd!” sembra complessa ma è banalmente crackabile. Una stringa casuale di 20 caratteri minuscoli è molto più forte di una stringa di 8 caratteri con simboli forzati.
Usa un gestore di password — L'unico modo pratico per mantenere password uniche di 16+ caratteri per ogni account. Un generatore crea le password; un gestore le memorizza.

Perché le Password Forti Importano nel 2026

Le violazioni di dati non sono più eventi rari — sono una costante. Solo nel 2024, oltre 1,7 miliardi di credenziali sono state esposte in violazioni pubblicamente segnalate, e il numero reale è probabilmente molto più alto. Database come la compilazione “RockYou2024” contengono quasi 10 miliardi di voci di password univoche, dando agli attaccanti un enorme dizionario per attacchi di credential-stuffing.

Il problema principale è il riutilizzo di password. Quando un servizio viene violato, gli attaccanti testano automaticamente le stesse coppie email-password su migliaia di altri siti — banche, provider di posta, archiviazione cloud, social media. Una singola password rubata può portare al compromesso completo dell'identità se sblocca la tua email primaria, che a sua volta ripristina tutti gli altri account.

Ecco perché un gestore di password non è più opzionale. La persona media ha 70–100 account online. Nessuno può memorizzare tante password univoche e ad alta entropia. Un gestore di password ti consente di generare una password casuale distinta per ogni servizio e richiamarla istantaneamente. Ricordi una sola password master forte; il gestore gestisce il resto. Combinato con l'autenticazione a due fattori, questo approccio elimina la stragrande maggioranza degli attacchi basati su credenziali prima che inizino.

Forza della Password per Lunghezza

Quanto tempo ci vorrebbe per crackare la tua password? Questi dati si basano su dati 2025 da Hive Systems, assumendo un cluster GPU moderno (12× RTX 5090) che attacca hash bcrypt (cost factor 10):

Lunghezza	Solo Numeri	Minuscoli	+ Maiuscoli	Tutti i Caratteri	Entropia (tutto)
6	Istantaneo	Istantaneo	Istantaneo	1 secondo	39 bit
8	Istantaneo	57 minuti	4 giorni	8 mesi	53 bit
10	Istantaneo	2 anni	300 anni	58K anni	66 bit
12	3 minuti	2.000 anni	880K anni	3 miliardi di anni	79 bit
14	5 ore	2M anni	600M anni	31 trilioni di anni	92 bit
16	21 giorni	477M anni	380B anni	30 quadrilioni di anni	105 bit
20	5 anni	39T anni	253.000T anni	Effettivamente mai	131 bit
32	1B anni	Al di là della morte termica dell'universo			210 bit

I tempi assumono brute-force offline su hash bcrypt. Gli attacchi online con rate limiting sono molto più lenti. L'hash debole (MD5, SHA-1) riduce i tempi di ordini di grandezza.

Password vs. Passphrase

Una passphrase è una sequenza di parole casuali e non correlate (ad esempio, “correct-horse-battery-staple”). Ecco come si confrontano con le password casuali tradizionali:

Criteri	Password Casuale	Passphrase
Esempio	`k7#mQ9$xL2!pN4w`	`correct-horse-battery-staple`
Lunghezza tipica	12-20 caratteri	20-40 caratteri
Entropia (tipica)	79-131 bit	52-108 bit (4-7 parole)
Memorabilità	Impossibile senza un gestore	Moderata — l'immaginazione mentale aiuta
Facilità di digitazione	Bassa — simboli misti	Alta — parole regolari
Migliore per	Account siti (memorizzati in gestore)	Master password, crittografia dispositivo
Conforme NIST	Sì (se 15+ caratteri)	Sì (se 15+ caratteri)

Punto chiave: Le passphrase scambiano densità di entropia per memorabilità. Una passphrase casuale di 5 parole (~86 bit) è più facile da ricordare di una password casuale di 12 caratteri (~79 bit) mentre è più sicura. Per la massima sicurezza, usa password casuali memorizzate in un gestore di password.

Errori Comuni nelle Password

Secondo l'analisi 2025 di NordPass dei dati del dark web, le 10 password più comuni sono:

#	Password	Occorrenze	Tempo per Crackare
1	`123456`	179,9M	Istantaneo
2	`123456789`	67,4M	Istantaneo
3	`12345678`	63,9M	Istantaneo
4	`password`	46,6M	Istantaneo
5	`12345`	28,3M	Istantaneo
6	`qwerty`	22,0M	Istantaneo
7	`1234567`	16,3M	Istantaneo
8	`1234567890`	15,8M	Istantaneo
9	`111111`	12,2M	Istantaneo
10	`qwerty123`	12,0M	Istantaneo

Ognuna di queste viene crackata istantaneamente. I 5 errori principali che le persone fanno con le password:

Riutilizzo di password — L'80-85% delle persone riutilizza password su più siti. Una violazione compromette tutti i tuoi account.
Utilizzo di informazioni personali — Nomi, compleanni, nomi di animali domestici e indirizzi si trovano facilmente su social media e pubblici registri.
Pattern di tastiera — “qwerty,” “asdf,” e “zxcv” sono tra le prime combinazioni che gli attaccanti provano.
Sostituzioni semplici — Sostituire “a” con “@” o “e” con “3” (leet speak) è ben noto ai cracker e aggiunge una sicurezza trascurabile.
Cambiamenti incrementali — Cambiare “Password1” in “Password2” quando forzato a ruotare. NIST ora raccomanda esplicitamente contro la rotazione obbligatoria delle password.

Domande Frequenti

È sicuro usare questo generatore di password?

Sì. Questo generatore funziona interamente nel tuo browser usando JavaScript. Le password non vengono mai inviate a nessun server. Utilizza crypto.getRandomValues(), il generatore di numeri casuali crittograficamente sicuro integrato del browser — lo stesso API utilizzato da gestori di password come Bitwarden e 1Password.

Cosa rende una password forte?

Una password forte ha tre proprietà: lunghezza (almeno 16 caratteri, secondo le raccomandazioni CISA), casualità (niente parole di dizionario, nomi, date o pattern), e unicità (mai riutilizzata su account). NIST ha abbandonato i requisiti di caratteri speciali obbligatori a favore della lunghezza, perché ogni carattere aggiuntivo aumenta esponenzialmente la difficoltà di brute-force.

Quanto dovrebbe essere lunga la mia password?

NIST raccomanda ora un minimo di 15 caratteri per l'autenticazione single-factor (SP 800-63B Rev. 4). CISA raccomanda 16 o più caratteri. Per l'autenticazione multi-factor, 8 caratteri è il minimo. Il punto ideale per la maggior parte degli utenti è 16-20 caratteri — abbastanza lunga da essere sicura per decenni, gestibile con un gestore di password.

Che cos'è una passphrase ed è migliore di una password?

Una passphrase è una sequenza di 4-7 parole casuali e non correlate (ad esempio, “correct-horse-battery-staple”). Una passphrase casuale di 5 parole ha approssimativamente 86 bit di entropia — più forte di una password complessa di 12 caratteri (~79 bit) — mentre è più facile da ricordare. Le passphrase sono ideali per le password master dove devi digitare dalla memoria. Per gli account siti, le password casuali memorizzate in un gestore di password sono ugualmente sicure e più pratiche.

Quanto spesso dovrei cambiare le mie password?

NIST non raccomanda più i cambiamenti di routine delle password. Le linee guida aggiornate del 2024 affermano esplicitamente che le organizzazioni “non devono” richiedere la rotazione periodica delle password a meno che non vi siano evidenze di compromissione. I cambiamenti forzati hanno portato a pattern prevedibili. Cambia la tua password solo quando sospetti che sia stata compromessa, un servizio segnala una violazione di dati, o stai condividendo la password e desideri revocare l'accesso.

Che cos'è l'entropia della password?

L'entropia misura l'imprevedibilità della password in bit. La formula è E = log2(R^L), dove R è la dimensione del pool di caratteri e L è la lunghezza della password. Ogni bit raddoppia il numero di combinazioni possibili. Sotto i 35 bit è debole (crackato in minuti), 60-75 bit è forte, 75-100 è molto forte, e 100+ bit è eccellente. Una password di 16 caratteri usando tutti i tipi di caratteri ha circa 105 bit di entropia.

Che cos'è l'autenticazione a due fattori (2FA)?

L'autenticazione a due fattori richiede un secondo passo di verifica oltre la tua password — tipicamente un codice da un'app autenticatore, SMS, o una chiave di sicurezza hardware. Anche se la tua password viene rubata, l'attaccante non può accedere al tuo account senza il secondo fattore. Le app autenticatore (Google Authenticator, Authy) sono più sicure di SMS, e le chiavi hardware (YubiKey) sono l'opzione più sicura. Abilita 2FA su email, servizi bancari e social media almeno.

Come vengono crackate le password?

Gli attaccanti usano diversi metodi: Brute force prova ogni combinazione (veloce per password corte, impraticabile per 16+ caratteri). Attacchi di dizionario provano parole comuni, nomi e password rubate. Credential stuffing usa coppie nome utente/password rubate da una violazione per accedere ad altri siti. Tavole arcobaleno usano ricerche hash precompute per cracking offline. Phishing ti inganna per inserire credenziali su siti falsi. Una password casuale di 16 caratteri sconfigge brute force e attacchi di dizionario; le password uniche sconfiggono il credential stuffing.

Dovrei usare un gestore di password?

Sì. CISA, NIST e ogni grande organizzazione di sicurezza raccomanda di usare un gestore di password. Genera, memorizza e compila automaticamente password forti uniche per ogni account — ricordi solo una password master. Questo elimina il riutilizzo di password, la causa numero uno di acquisizioni di account. Un generatore di password (come questo strumento) crea le password; un gestore le memorizza. Le opzioni popolari includono Bitwarden (gratuito/open-source), 1Password e Dashlane.

Questo strumento è veramente gratuito?

Sì, completamente gratuito senza limiti. Nessuna registrazione, nessun account richiesto, nessuna restrizione su quante password puoi generare. Lo strumento funziona nel tuo browser senza alcuna interazione con il server. Usalo quanto hai bisogno.