🇬🇧 English
Strumento di Sicurezza

Password Tester

Punteggio realistico • Entropia • Tempo di crack • Rilevamento pattern e leetspeak

Robustezza
Punteggio
Entropia
Lunghezza
Tentativi necessari
Tempo di crack — cluster GPU
Tempo di crack — attacco online
Powered by zxcvbn — algorithm used by Dropbox, 1Password, Firefox
100% Privato
L'analisi avviene interamente nel tuo browser. La password non viene mai inviata a nessun server.
Punteggio realistico
Non solo entropia — conteggio reale dei tentativi di un attaccante. Rileva parole comuni, sequenze di tastiera, date e leetspeak.

Come creare una password robusta

La lunghezza è il fattore più importante

Ogni carattere in più moltiplica esponenzialmente il tempo di crack. Nel 2026 le soglie consigliate sono: 16 caratteri — minimo, 20+ — consigliato per tutti gli account (email, banca, master password del password manager). Una passphrase casuale di 20 caratteri è enormemente più robusta di una password complessa di 8.

Passphrase: la casualità è tutto

Quattro o più parole casuali sono più facili da ricordare e molto più robuste di una password breve e complessa. Ma la parola chiave è casuale — non una frase qualsiasi che ti viene in mente:

  • DeboleAmocalcioepizza — lunga ma del tutto prevedibile; ogni parola è comune e la frase ha un significato per te
  • Robustaviola-motore-fiume-pianeta-42 — parole casuali e non correlate, senza alcun legame personale

Una passphrase robusta deve essere: casuale (senza significato personale), imprevedibile (non da libri, film o testi di canzoni) e unica (mai riutilizzata su altri account). Usa un password manager per generarle e conservarle.

Cosa rileva questo strumento (v2)

  • Parole comuni — oltre 200 parole italiane e inglesi frequenti, anche se incorporate in password più lunghe
  • Sostituzioni leetspeak — "p@ssw0rd" e "c4n3" vengono normalizzate e controllate; gli attaccanti lo fanno automaticamente
  • Sequenze di tastiera — "qwerty", "asdfg", "12345" e le loro inversioni, di qualsiasi lunghezza dalla 3 in su
  • Pattern di date — anni (1900–2099), compleanni, formati gg/mm/aaaa
  • Pattern parola+numero — "Cane2024!" è il formato più diffuso nei database delle violazioni in tutto il mondo
  • Caratteri ripetuti — "aaa", "111", "!!" non aggiungono sicurezza significativa
  • Suffissi/prefissi comuni — "1", "123", "!" aggiunti prima o dopo una parola

Cosa significa entropia

L'entropia (in bit) misura l'imprevedibilità teorica della password sulla base della dimensione del set di caratteri e della lunghezza. Come riferimento: sotto 40 bit è debole, 60+ è buona, 80+ è robusta. Questo strumento va oltre — zxcvbn modella come gli attaccanti tentano davvero, penalizzando i pattern prevedibili che gonfiano l'entropia grezza. Una password può avere alta entropia sulla carta ma essere comunque craccata in pochi secondi se segue un pattern noto.

Scenari di tempo di crack

Cluster GPU — un attaccante con un sistema di cracking offline che esegue 10 miliardi di tentativi al secondo contro un hash trafugato (MD5, NTLM). È lo scenario peggiore per le vittime di una violazione dati e il modello di minaccia più rilevante per scegliere la lunghezza di una password.

Attacco online — un attaccante che prende di mira un form di login dal vivo, limitato a ~100 tentativi/ora. La maggior parte degli account sopravvive a questo scenario, a meno che il database stesso non venga compromesso — ed è proprio per questo che lo scenario GPU è quello che conta.

Errori comuni da evitare

  • Usare nome, data di nascita, nome dell'animale, città o squadra del cuore — tutti presenti nei wordlist degli attaccanti
  • Sostituzioni leetspeak: "p@ssw0rd", "c@ne", "c4lc10" — controllate automaticamente dagli strumenti di cracking
  • Riutilizzare la stessa password su più siti — una sola violazione le espone tutte
  • Sequenze di tastiera: "qwerty", "123456", "asdfgh", "zxcvbn"
  • Aggiungere "1!" o "123" a una parola per soddisfare i requisiti di complessità
  • Pattern parola+anno: "Cane2024", "Estate23!", "Admin2025"
  • Password sotto i 16 caratteri — anche quelle complesse cadono in fretta contro una GPU; 16 è il minimo, 20+ è l'obiettivo

Usa un password manager

Bitwarden (gratuito, open source) genera password davvero casuali e uniche di oltre 20 caratteri per ogni sito. Devi solo ricordare un'unica master password robusta — idealmente una passphrase di 5 parole. Inoltre monitora i tuoi account salvati confrontandoli con i database di violazioni note e ti avvisa automaticamente.

Autenticazione a due fattori (2FA)

Anche una password perfetta può essere rubata tramite phishing o violazioni lato server. Il 2FA aggiunge un secondo livello che blocca gli attaccanti anche se hanno la tua password. Abilitalo prima sull'account email — è la chiave maestra per tutti i link di reset password e per tutto il resto.

✨ Novità nella v2
Rilevamento leetspeak (p@ssw0rd, c4n3)
Rilevamento sequenze di tastiera (qwerty, asdf…)
Dizionario di oltre 200 parole (IT + EN)
Riconoscimento passphrase e punteggio bonus
Analisi dell'entropia (bit)
Barra di composizione caratteri
Analisi in tempo reale durante la digitazione
Tempo di crack su cluster GPU (caso peggiore)