§

Modalità di generazione

§

Impostazioni caratteri

Trascina per impostare la lunghezza della password. Intervallo: da 4 a 128 caratteri.
Rimuove i caratteri visivamente simili: 0, O, o, 1, l, I, | e l'accento grave.
Intervallo: da 1 a 50. Ogni risultato ha il proprio pulsante Copia; "Copia tutto" le unisce con un a capo.
§

Risultato

    Le Misure Minime di Sicurezza ICT per le Pubbliche Amministrazioni pubblicate da AgID richiedono password robuste e rotazione periodica per ogni account amministrativo, e il Garante per la protezione dei dati personali nei suoi provvedimenti pretende che gli accessi ai sistemi che trattano dati sanitari del Fascicolo Sanitario Elettronico siano protetti da credenziali ad alta entropia. Per gli sviluppatori italiani questo strumento è utile per generare password monouso da consegnare ai colleghi tramite PEC Aruba o Namirial, password robuste per il backend SPID di un Service Provider, segreti applicativi per le funzioni serverless su Cubbit DS3 e chiavi API per i bot Telegram dei Comuni che integrano PagoPA.

    // Strumenti correlati

    ./hash-generator
    Generatore di hash
    Genera digest MD5, SHA-1, SHA-256 e SHA-512 nel tuo browser.
    ./uuid-generator
    Generatore UUID
    Genera UUID RFC 4122 v4/v1 e RFC 9562 v7 nel tuo browser.
    ./jwt-decoder
    Decodificatore JWT
    Decodifica i JSON Web Token e verifica le firme HS256/384/512.
    ./
    Tutti gli strumenti
    Sfoglia l'intera collezione di strumenti online Ultim8Soft.

    Cosa rende questo generatore di password diverso?

    Questo è un generatore di password privacy-first, che funziona solo nel browser. Ogni byte casuale proviene dal generatore di numeri casuali crittografico del sistema operativo tramite crypto.getRandomValues — mai da Math.random. La pagina non effettua alcuna richiesta di rete per generare una password e il valore generato non lascia mai la tua scheda. Apri il pannello Rete in DevTools e clicca Genera: rimane in silenzio.

    Come funziona questo generatore di password?

    Lo strumento viene eseguito interamente in JavaScript dentro il tuo browser. Nessun viaggio al server, nessun beacon di analisi che porti via la password, nessuna richiesta di font remoti dopo il caricamento della pagina.

    1. Seme dal CSPRNG del SO. Ogni intero casuale è estratto da crypto.getRandomValues(new Uint32Array(n)) — la stessa sorgente crittograficamente sicura che il browser usa per il materiale di chiave TLS e crypto.randomUUID. Math.random non viene mai chiamato intenzionalmente; un grep a livello di progetto lo impone.
    2. Assemblaggio dell'alfabeto. La modalità Caratteri casuali concatena le classi attive — maiuscole, minuscole, cifre, simboli — in un unico alfabeto. L'opzione "Escludi ambigui" rimuove poi i glifi visivamente simili (0, O, o, 1, l, I, |, accento grave) così che la password non sia ambigua quando letta ad alta voce o ricopiata a mano.
    3. Campionamento dell'indice senza bias. Mappare un intero unsigned a 32 bit su un indice dell'alfabeto in modo ingenuo (modulo) introduce un piccolo bias quando la dimensione dell'alfabeto non divide 2^32 esattamente. Lo strumento usa il rejection sampling: ogni campione che cade nella coda del modulo viene scartato e ricampionato, in modo che ogni carattere dell'alfabeto sia ugualmente probabile.
    4. Generazione in blocco. In modalità Caratteri casuali puoi richiedere da 1 a 50 password con un solo clic. Ogni risultato è mostrato come una riga con la sua stima di entropia, etichetta di forza e pulsante Copia. Il pulsante "Copia tutto" unisce le righe con a capo, così puoi incollarle in un CSV o in un file di import per il tuo gestore.
    5. Modalità passphrase. Cambia modalità e la pagina scarica in modo pigro la EFF Short Wordlist #1 (1296 parole inglesi di pubblico dominio) al primo utilizzo. Cinque parole offrono circa 51,7 bit di entropia — abbastanza per account quotidiani e molto più memorizzabili di una zuppa casuale di 9 caratteri. Dopo quell'unica richiesta same-origin, la pagina torna in silenzio.

    Perché usare questo generatore di password?

    • La tua password non lascia mai il browser. Nessun endpoint sul server, nessuna chiamata di analisi che porti via il valore, nessun font remoto, nessuna telemetria. Apri DevTools, genera una password e guarda il pannello Rete rimanere vuoto.
    • Casualità crittograficamente sicura, per costruzione. Ogni intero proviene da crypto.getRandomValues, con rejection sampling contro il bias di modulo. Il bug più comune nei generatori di password del browser — usare Math.random per l'entropia — è strutturalmente impossibile qui.
    • Due modalità, uno strumento. La modalità Caratteri casuali produce stringhe ad alta entropia per i gestori di password; la modalità passphrase produce stringhe memorizzabili in stile xkcd (correct-horse-battery-staple) basate sulla EFF Short Wordlist #1. Stesso modello di privacy in entrambe.
    • Entropia trasparente. Ogni riga generata mostra la sua entropia in bit e un'etichetta di forza chiara, così vedi a colpo d'occhio se una stringa di 12 caratteri senza simboli è davvero forte quanto una passphrase di 5 parole. Niente marketing, solo numeri.

    Quali sono le applicazioni comuni delle password generate?

    Ogni volta che ti serve un nuovo segreto casuale, questo è lo strumento che riduce al minimo la superficie di fiducia:

    • Import nei gestori di password. Genera 50 password forti in un colpo solo, clicca Copia tutto, incolla nel CSV di import del tuo vault. I valori non hanno mai attraversato alcun server, quindi non c'è una finestra di leak tra generazione e archiviazione.
    • Passphrase principali. Passa alla modalità passphrase, scegli 6 o 7 parole, eventualmente metti l'iniziale maiuscola, e ottieni una stringa ad alta entropia che puoi davvero ricordare senza scriverla. Circa 62 bit di entropia con 6 parole — ben oltre la soglia per un attacco offline.
    • Chiavi API e token in progetti personali. Ti serve un segreto condiviso usa-e-getta per la firma di un webhook o per la password di un database di sviluppo? Genera qui una stringa di 32 caratteri ricca di simboli, copiala una volta, e l'unico posto in cui è esistita in transito è la tua scheda del browser.

    Com’è fatto un esempio di password generata?

    Imposta la lunghezza a 16, lascia abilitate tutte e quattro le classi di caratteri e clicca Genera. L'alfabeto ha 26 + 26 + 10 + 32 = 94 caratteri, quindi ogni carattere generato porta log2(94) ≈ 6,55 bit di entropia. Sedici caratteri arrivano a circa 104,9 bit — ben oltre la soglia "molto forte" di 80 bit e in pratica impossibili da forzare con l'hardware attuale. Ora passa alla modalità passphrase, scegli 5 parole con il separatore trattino predefinito: cocktail-sprig-aspect-magenta-tonic porta log2(1296) x 5 ≈ 51,7 bit. Memorizzabile, digitabile e più forte della password media scelta dagli umani.

    Genera, copia, vai oltre. La pagina non vede mai un server, la password non lascia mai la scheda e l'entropia viene calcolata dai primi principi. Tutta qui la promessa.