Misuratore di sicurezza password

// Misuratore di sicurezza password

La tua password non lascia mai il browser. L'analisi della robustezza avviene interamente sul tuo dispositivo. Il controllo delle violazioni invia solo un hash parziale — la tua password non viene mai trasmessa.

Suggerimenti

Usa almeno 12 caratteri

Mescola maiuscole, minuscole, numeri e simboli

Usa una password unica per ogni account

Generatore di password sicure →

Come Viene Misurata la Forza di una Password

La forza di una password viene misurata in bit di entropia — una rappresentazione matematica di quanto sia imprevedibile una password. La formula considera la dimensione del pool di caratteri (minuscole, maiuscole, cifre, simboli) elevata alla potenza della lunghezza della password. Un'entropia più alta significa un maggior numero di combinazioni possibili che un attaccante deve provare.

Ad esempio, una password che utilizza solo lettere minuscole (26 caratteri) ha circa 4,7 bit di entropia per carattere. Aggiungendo le maiuscole (52 in totale) si ottengono 5,7 bit. Includendo cifre e simboli (95+ caratteri), ogni carattere contribuisce circa 6,6 bit. Una password di 16 caratteri con il set completo di caratteri produce oltre 100 bit di entropia — praticamente inviolabile con la forza bruta.

Verifica Have I Been Pwned

Questo strumento verifica la tua password nel database Have I Been Pwned, che contiene oltre 700 milioni di password compromesse, utilizzando la k-anonimità. Solo i primi 5 caratteri dell'hash SHA-1 vengono inviati — la password completa non lascia mai il tuo browser. Se viene trovata una corrispondenza, la tua password è apparsa in una violazione di dati nota e dovrebbe essere cambiata immediatamente.

FAQ

Cos'è l'entropia di una password?

L'entropia misura l'imprevedibilità di una password in bit. Ogni bit raddoppia il numero di combinazioni possibili. Una password con 60 bit di entropia ha 2^60 (circa un quintilione) combinazioni possibili, rendendo gli attacchi a forza bruta impraticabili.

Come tutela la mia privacy la verifica delle violazioni?

Utilizziamo la k-anonimità: la tua password viene sottoposta a hashing SHA-1 localmente e solo i primi 5 caratteri dell'hash vengono inviati all'API. Il server restituisce tutti gli hash che iniziano con quei 5 caratteri, e il confronto avviene interamente nel tuo browser.

Il "tempo per violare la password" è accurato?

È una stima che presuppone 10 miliardi di tentativi al secondo (un valore realistico per i moderni cluster di GPU). Il tempo effettivo dipende dal metodo di attacco, dall'hardware e dal fatto che la tua password corrisponda a pattern comuni.

La mia password non è stata trovata nelle violazioni — è al sicuro?

Non necessariamente. Una password non trovata significa che non è apparsa in violazioni pubbliche note. Potrebbe comunque essere vulnerabile ad attacchi a dizionario, corrispondenza di pattern o tentativi mirati. Punta sempre a un'alta entropia.