Quanto è sicura la tua password?

No, assolutamente mai. Tutto il codice di analisi gira direttamente nel tuo browser. La password non lascia mai il tuo computer o smartphone. Puoi verificarlo: apri gli Strumenti per Sviluppatori (F12), vai sulla scheda Rete e vedrai che non parte nessuna richiesta mentre digiti. Il tool funziona anche completamente offline.

Il tool è scritto interamente in JavaScript vanilla, senza librerie esterne o richieste di rete. Analizza in tempo reale: lunghezza, varietà dei caratteri, presenza di parole comuni da un dizionario integrato, sequenze prevedibili, caratteri ripetuti. Calcola l'entropia in bit e stima il tempo di crack basandosi su 10 miliardi di tentativi al secondo — velocità realistica di un cluster GPU moderno.

Su questo sito sì, perché tutto avviene nel browser senza trasmissione di dati. Come regola generale, diffida sempre dei siti che non dichiarano esplicitamente il funzionamento offline. Puoi sempre testare una password simile (stessa struttura, caratteri diversi) per una stima accurata senza rischi.

L'entropia misura l'imprevedibilità di una password in bit. Si calcola come log₂(C^L) dove C è la dimensione del set di caratteri (es. 94 per tutti gli ASCII stampabili) e L è la lunghezza. Sotto 40 bit è pericolosa, 40–60 bit è accettabile, oltre 70 bit è sicura, oltre 90 bit è eccellente. Ogni carattere aggiunto moltiplica esponenzialmente le combinazioni.

Il calcolo si basa sull'entropia divisa per la velocità di attacco di un cluster GPU moderno: circa 10 miliardi di tentativi al secondo per hash bcrypt. Questo rappresenta uno scenario di attacco offline: se un database viene violato, gli hacker possono tentare miliardi di combinazioni al secondo localmente. Online, i siti bloccano l'account dopo pochi tentativi.

Una passphrase è una sequenza di 4 o più parole casuali separate da simboli, come Cavallo-Blu-Montagna-2026. È sia memorabile che estremamente sicura: con oltre 70 bit di entropia resiste a qualsiasi attacco brute force pratico. Il metodo si chiama Diceware ed è raccomandato dal NIST. La lunghezza totale (tipicamente 20+ caratteri) la rende superiore a password brevi ma "complesse".

Una password di 6 caratteri, anche con simboli e numeri, ha al massimo 94⁶ ≈ 689 miliardi di combinazioni — esaurite da una GPU moderna in meno di un minuto. Una password di 12 caratteri ha 94¹² ≈ 475 miliardi di miliardi di combinazioni, rendendo il brute force impraticabile per decenni. La lunghezza è il fattore più importante.

Un attacco a dizionario usa elenchi di parole comuni, nomi propri, date e combinazioni tipiche (password1, admin123, nomecognome2024) invece di provare tutte le combinazioni possibili. Evita sempre parole di dizionario, anche se modificate: p@ssw0rd è una delle prime combinazioni che i tool di hacking testano.

Il credential stuffing usa credenziali rubate in una violazione per tentare l'accesso su altri siti. Se usi la stessa password su Gmail, Netflix e la tua banca, basta che uno solo venga violato per comprometterli tutti. L'unica difesa è usare una password diversa per ogni sito, gestita con un password manager come Bitwarden.

I pattern di tastiera sono sequenze che seguono la disposizione fisica dei tasti: qwerty, asdfgh, 1qaz2wsx, zxcvbn. Molte persone li usano credendo siano sicuri per la loro apparente casualità. In realtà sono tra le prime combinazioni che i tool di hacking provano.

Sì. I password manager affidabili usano crittografia AES-256 con architettura zero-knowledge: nemmeno il fornitore può vedere le tue password. Sono molto più sicuri che riusare le stesse password a mente. I più consigliati: Bitwarden (open source, gratuito), 1Password e KeePass (completamente offline).

L'autenticazione a due fattori aggiunge un secondo livello oltre alla password: un codice temporaneo generato da un'app (Google Authenticator, Authy, 2FAS). Anche se un hacker scopre la tua password, non può accedere senza il secondo fattore. Attivala sempre per email, banche e social media.

Le linee guida moderne del NIST non raccomandano più il cambio periodico obbligatorio. È consigliato cambiare subito se: sospetti una compromissione, vieni a sapere di una violazione del sito, o l'hai condivisa con qualcuno. Usa HaveIBeenPwned.com per monitorare le violazioni.

Se un sito viene violato e i suoi database rubati, gli hacker ottengono gli hash delle password. Con strumenti come Hashcat e GPU moderne, riescono a craccare in pochi minuti le password deboli o comuni. Le password forti richiedono miliardi di anni. Il secondo rischio è il credential stuffing: provano automaticamente le credenziali rubate su migliaia di altri siti. Per questo ogni account deve avere una password unica. Controlla subito su HaveIBeenPwned.com se il tuo indirizzo email è apparso in violazioni note.

Il phishing è diverso dal brute force: non cerca di indovinare la tua password, ma ti inganna per farmela digitare direttamente. Un'email falsa da "la tua banca" ti porta su un sito clonato dove inserisci le credenziali reali. Contro il phishing, anche la password più forte è inutile se non la riconosci. Le difese sono: verificare sempre l'URL esatto del sito, non cliccare link nelle email ma accedere direttamente al sito, e soprattutto attivare il 2FA — anche se ti rubano la password, senza il secondo fattore non possono accedere.

I gestori di password integrati nei browser (Chrome, Firefox, Safari) sono molto migliorati e offrono una protezione accettabile per l'utente medio. Usano la crittografia del sistema operativo e sincronizzano tramite account cloud. Tuttavia hanno limitazioni: sono legati a un solo browser, condividono il profilo di rischio con la navigazione web, e in caso di malware locale possono essere esposti. Un password manager dedicato come Bitwarden o 1Password è più sicuro perché è isolato dal browser, ha audit di sicurezza indipendenti e funziona su tutti i dispositivi e browser.