ByteCompress

Generatore di Password

Crea password casuali, forti e crittografiche di qualsiasi lunghezza utilizzando il Web Crypto API. Personalizza set di caratteri e lunghezza, visualizza il punteggio di entropia e copia con un clic.

66
FreeClient-sideNo signup

Le password deboli o riutilizzate sono responsabili dell'80% delle violazioni dei dati legate all'hacking, secondo il rapporto Verizon 2023 sulle indagini sulle violazioni dei dati. Una password di 16 caratteri che combina maiuscole, minuscole, numeri e simboli ha oltre 1028 combinazioni possibili - richiedendo miliardi di anni per essere forzata con l'hardware attuale. Questo generatore utilizza l'API crypto.getRandomValues() del browser, lo stesso CSPRNG utilizzato dai sistemi operativi e dalle librerie di sicurezza. La pubblicazione speciale NIST 800-63B raccomanda un minimo di 8 caratteri; i professionisti della sicurezza raccomandano ampiamente 16 o più. Le password generate non vengono mai trasmesse a nessun server.

Come Generare Password

  1. Imposta la lunghezza desiderata della password utilizzando il cursore o il campo di input (8-128 caratteri).
  2. Seleziona i tipi di caratteri da includere: maiuscole, minuscole, numeri e/o simboli.
  3. Clicca su Genera per creare una nuova password.
  4. Controlla il punteggio di entropia e l'indicatore di forza.
  5. Clicca su Copia per copiare la password negli appunti.
  6. Memorizza immediatamente la password generata in un gestore di password.

Spiegazione della Forza della Password

Entropia e Dimensione del Set di Caratteri

La forza della password è misurata in bit di entropia - il logaritmo (base 2) delle combinazioni possibili totali. Una password di lunghezza L utilizzando un set di caratteri di dimensione N ha un'entropia di L × log₂(N) bit. Dimensioni del set di caratteri: solo minuscole = 26; + maiuscole = 52; + numeri = 62; + 32 simboli comuni = 94. Una password di 16 caratteri dal set completo di 94 caratteri ha ~104.7 bit di entropia. NIST considera 112 bit di entropia sufficienti per la maggior parte delle applicazioni di sicurezza fino al 2030.

Perché la Lunghezza Conta Più della Complessità

Aggiungere un carattere moltiplica lo spazio di ricerca per la dimensione del set di caratteri. Una password di 20 caratteri solo minuscole (~94 bit di entropia) è più forte contro la forza bruta rispetto a una password di 10 caratteri con tutti i tipi di caratteri (~65 bit). Sia NIST SP 800-63B che i ricercatori di sicurezza raccomandano di dare priorità alla lunghezza rispetto alle regole di complessità obbligatorie, che spesso producono schemi prevedibili - maiuscola prima, numero alla fine, ! alla fine.

Esempio

Password Generata (16 caratteri, tutti i tipi di caratteri)

kR9#mXv2@TqL5!nW
Lunghezza:      16 caratteri
Entropia:     ~104.7 bit
Charset:     94 (a-z, A-Z, 0-9, simboli)
Tempo di crack:  miliardi di anni con l'hardware attuale

Linee Guida NIST SP 800-63B

  • Lunghezza minima: 8 caratteri per password scelte dall'utente; consentire fino a 64 caratteri
  • Nessuna regola di complessità obbligatoria: la revisione del 2017 di NIST ha rimosso i requisiti per maiuscole, numeri e simboli - queste regole producono schemi deboli e prevedibili
  • Nessun cambiamento forzato periodico: la rotazione forzata non è più raccomandata a meno che non ci siano prove di compromissione
  • Controlla contro password violate: le password dovrebbero essere verificate contro database come la lista delle Password Violata di HaveIBeenPwned
  • Le passphrase sono valide: lunghe passphrase di parole casuali sono esplicitamente incoraggiate come alternativa

Migliori Pratiche

  • Usa un gestore di password (1Password, Bitwarden, KeePass) - non memorizzare password casuali
  • Genera una password unica per ogni account - il riutilizzo significa che una violazione espone tutti gli account
  • Per la master password di un gestore di password, utilizza una passphrase di 5+ parole invece di una stringa di caratteri casuali
  • Abilita l'autenticazione a due fattori su tutti gli account critici insieme a una password forte

Per generare identificatori casuali crittografici (non password), usa il Generatore UUID. Per codificare password in file di configurazione o intestazioni HTTP, il Codificatore Base64 gestisce il trasporto sicuro per i binari.

Domande Frequenti

Le password generate sono memorizzate o registrate da qualche parte?

No. Le password vengono generate utilizzando crypto.getRandomValues() interamente nel tuo browser. Non vengono mai inviate a nessun server, non vengono registrate e scompaiono quando chiudi o aggiorni la pagina. Apri la scheda Rete del browser durante la generazione e vedrai zero richieste in uscita.

Quanto dovrebbe essere lunga la mia password?

NIST SP 800-63B stabilisce un minimo di 8 caratteri. I professionisti della sicurezza raccomandano almeno 16 caratteri per la maggior parte degli account e 20 o più per gli account di alto valore (email, banking, master password del gestore di password). Con un set di 94 caratteri, una password di 16 caratteri ha ~105 bit di entropia - impossibile da forzare con l'hardware attuale o futuro prossimo.

Dovrei includere simboli nella mia password?

Sì, quando il servizio lo consente. Includere simboli aumenta il set di caratteri da 62 a 94 caratteri, aggiungendo circa 0.66 bit di entropia per carattere. Oltre 16 caratteri, ciò equivale a circa 10.5 bit extra. Il beneficio maggiore deriva comunque dalla lunghezza: una password di 20 caratteri composta da lettere e numeri è più forte di una password di 12 caratteri con tutti i simboli.

Qual è la differenza tra una password casuale e una passphrase?

Una password casuale è una stringa di caratteri casuali ottimizzata per massimizzare l'entropia nella lunghezza minima. Una passphrase è una sequenza di parole casuali (ad es., correct-horse-battery-staple) che scambia lunghezza per memorizzabilità. Una passphrase di 5 parole (lista di parole di 7.776 parole) ha ~65 bit di entropia. Per le voci del gestore di password, usa password con caratteri casuali. Per la master password, utilizza una passphrase che puoi memorizzare.

Posso usare questo generatore per password Wi-Fi o token API?

Per Wi-Fi (WPA2/WPA3), una password casuale di 20 caratteri con tutti i tipi di caratteri è eccellente - basta salvarla prima di doverla inserire sui dispositivi. Per chiavi SSH e token API, utilizza comandi di generazione dedicati (ssh-keygen, il flusso di creazione del token del tuo fornitore API) piuttosto che generazione manuale della password.