Verifica gratuita della sicurezza delle password

Come viene calcolata la sicurezza della password

La forza della password è la risposta a una domanda semplice con una risposta complicata: quanti tentativi servirebbero a un attaccante per trovare la tua password? La formula ingenua, bit di entropia = lunghezza × log₂(dimensione del set di caratteri), dà un limite superiore ordinato, ma assume che l'attaccante stia facendo pura forza bruta sull'intero spazio delle chiavi. Gli attaccanti reali non fanno così. Iniziano con dizionari di password probabili (il corpus rockyou.txt e il top milione dalle violazioni pubbliche), applicano regole di trasformazione che imitano le sostituzioni che gli umani realmente fanno (leet-speak, mettere la prima lettera maiuscola, aggiungere 1 o ! o un anno a quattro cifre), e ricorrono alla forza bruta solo quando i pattern non si applicano. Un misuratore basato su classi di caratteri vede P@$$w0rd99 come avente tutte e quattro le classi di caratteri e lo valuta in modo molto positivo. Un vero cracker lo decifra in pochi secondi perché ogni pattern al suo interno è nell'elenco delle regole più comuni.

Questo strumento riporta entrambi i numeri, l'entropia ingenua dal set di caratteri e dalla lunghezza, più un punteggio di forza separato che penalizza i pattern riconoscibili (parole del dizionario, percorsi sulla tastiera come la riga inferiore "zxcvbn", ripetizioni, sequenze, date) nel modo in cui farebbe un attaccante esperto. I due numeri divergeranno quando la tua password contiene struttura prevedibile, che è esattamente il momento in cui hai più bisogno di saperlo.

Una breve storia della sicurezza delle password

I computer non hanno sempre avuto le password. Prima dell'arrivo del time-sharing nei primi anni Sessanta, un "computer" era una macchina monoutente e il modello di sicurezza era una porta chiusa a chiave. La storia tradizionale della password informatica inizia al Project MAC del MIT, dove il Compatible Time-Sharing System (CTSS) di Fernando Corbató rese una macchina utilizzabile da molte persone contemporaneamente. Una volta che più utenti condivisero un solo filesystem, divenne possibile leggere i file altrui. A Corbató viene generalmente attribuito il merito di aver introdotto il prompt della password come soluzione più semplice possibile: un segreto condiviso tra utente e macchina che provava il diritto di accesso ai file richiesti. La data esatta è discussa nelle fonti secondarie (tra il 1960 e il 1963), ma a metà degli anni Sessanta la password era diventata una caratteristica standard dei sistemi multiutente, e Multics, il successore più ambizioso del CTSS entrato in funzione nel 1965, ereditò ed estese in modo sostanziale il progetto di Corbató.

Il momento successivo fondamentale è del novembre 1979, quando Robert Morris e Ken Thompson dei Bell Laboratories pubblicarono "Password Security: A Case History" sulle Communications of the ACM. L'articolo è breve, meno di cinque pagine, e quasi imbarazzante nella sua concretezza. Due idee al suo interno divennero il fondamento di ogni serio archivio di password costruito successivamente. Primo, l'hashing a senso unico: invece di memorizzare la password stessa, il sistema memorizza un valore facile da calcolare dalla password ma praticamente impossibile da invertire. Secondo, il salting: aggiungere un valore casuale a 12 bit a ogni password prima di sottoporla all'hashing, in modo che due utenti con la stessa password producano hash memorizzati diversi e un attaccante non possa precalcolare un unico dizionario di hash valido per tutti. Morris e Thompson notarono che questo moltiplicò il lavoro per attaccare un file password rubato per 4.096, cioè per 2¹², la dimensione dello spazio del sale. Ogni discussione su bcrypt, scrypt e argon2id negli ultimi quarant'anni è in un certo senso una nota a piè di pagina di Morris e Thompson.

Da dove viene il numero di entropia

L'unità di misura è il bit di entropia, e proviene dall'articolo del 1948 di Claude Shannon "A Mathematical Theory of Communication", pubblicato in due puntate sul Bell System Technical Journal. L'articolo di Shannon inventò il campo della teoria dell'informazione e diede al mondo il termine "bit", che Shannon attribuì a John Tukey. Tradotta nel contesto delle password, l'entropia di una password è log₂ del numero di password distinte che lo stesso processo avrebbe potuto produrre. Se un generatore sceglie ogni carattere in modo indipendente e uniforme da un insieme di R caratteri possibili e produce una password di lunghezza L, allora esistono R^L password equiprobabili e l'entropia è di L × log₂(R) bit. Una password scelta uniformemente tra i 95 caratteri ASCII stampabili con lunghezza 12 porta circa 78,8 bit. Ogni bit aggiuntivo raddoppia il lavoro che un attaccante deve fare; la relazione è esponenziale, motivo per cui un'estensione di due caratteri a una password scelta casualmente conta molto più di una singola sostituzione di carattere. Il problema, ed è un grande problema, è che le password reali non sono quasi mai prodotte da un campionamento casuale uniforme. Le persone scelgono date di nascita, nomi del partner, parole del dizionario, sequenze di tastiera. La formula ingenua è quindi un limite superiore alla forza, e di solito un limite piuttosto lasco.

NIST e il cambio di paradigma del 2017

Per decenni la voce istituzionale dominante sulle regole delle password negli Stati Uniti è stata il NIST, il National Institute of Standards and Technology. Le sue pubblicazioni precedenti ci hanno dato l'ormai folclore delle politiche password: minimo otto caratteri, mix di maiuscole e minuscole, deve contenere una cifra, deve contenere un simbolo. Quella guida fu ampiamente copiata nelle policy IT aziendali molto dopo che la comunità di ricerca sulla sicurezza aveva concluso che era attivamente controproducente. Nel 2017, nella NIST Special Publication 800-63B, l'agenzia invertì formalmente le parti più dolorose della guida precedente. I cambiamenti chiave: basta con i cambi periodici forzati delle password a meno che non ci sia prova che la password sia stata compromessa, gli studi hanno dimostrato che i reset obbligatori ogni novanta giorni inducono gli utenti a scegliere password più deboli e più prevedibili (mettere una lettera maiuscola e aggiungere 1 è l'esempio canonico), vanificando l'intero scopo della rotazione. Basta con le regole di composizione obbligatorie, i verificatori non dovrebbero richiedere particolari classi di caratteri, perché spingono gli utenti verso sostituzioni prevedibili come P@ssw0rd! invece che verso password più forti. La lunghezza è il fattore dominante. Controllare le password rispetto agli elenchi di violazioni note, il cambiamento operativo più significativo e la ragione per cui il corpus Pwned Passwords di Have I Been Pwned esiste nella forma attuale. Il NIST ha pubblicato la versione finale della successiva revisione importante, la SP 800-63B-4, il 31 luglio 2025, rafforzando la direzione del 2017 ed estendendola agli autenticatori resistenti al phishing (inclusi gli autenticatori sincronizzabili usati dalle passkey).

zxcvbn, perché i moderni misuratori si assomigliano

Il motivo per cui la maggior parte dei misuratori di forza delle password seri si assomigliano in superficie è che la maggior parte sta eseguendo, o si ispira, allo stesso pezzo di codice. Quel codice è zxcvbn, uno stimatore open source consapevole dei pattern rilasciato originariamente da Daniel Lowe Wheeler presso Dropbox nell'aprile 2012 e successivamente formalizzato in un articolo peer-reviewed al 25° USENIX Security Symposium nell'agosto 2016. Il nome è di per sé una battuta, è la riga inferiore di una tastiera QWERTY, il tipo di password che la libreria è progettata per riconoscere e penalizzare. zxcvbn rileva corrispondenze di dizionario contro circa 30.000 password comuni più nomi e cognomi del censimento USA, parole inglesi popolari, token di Wikipedia e titoli di TV/film USA; sostituzioni leet (così p@ssw0rd è trattata come password); percorsi sulla tastiera come qwertyuiop e asdfghjkl; ripetizioni (aaaa, abcabcabc); sequenze (abcdef, 12345); e date in intervalli umanamente plausibili. Quindi calcola la decomposizione a minimo numero di tentativi, la combinazione più economica di pattern riconosciuti che spiega l'intera password, e moltiplica i conteggi di tentativi per pattern per stimare i tentativi totali che un attaccante informato dovrebbe fare. La libreria è distribuibile via browser ma non è leggera: assemblata e minificata, zxcvbn pesa circa 400 KB gzippati, di cui la maggior parte sono i dizionari stessi. È abbastanza piccola per una pagina monofunzione come questa ma abbastanza pesante che i manutentori sconsigliano esplicitamente di includerla in ogni pagina di un'applicazione web generica.

Cosa significa davvero "tempo di crack"

Ogni misuratore di forza mostra una stima del "tempo per il crack", incluso questo. La risposta onesta è che questo è uno dei numeri più facili da riportare e uno dei più difficili da difendere, perché dipende quasi interamente da ipotesi che l'utente non può vedere. L'ipotesi di base è il numero di tentativi al secondo dell'attaccante. Quel numero non è un numero unico, è uno spettro di circa dieci ordini di grandezza a seconda di cosa l'attaccante ha rubato e quale schema di hashing ha usato il difensore. MD5 o SHA-1 senza sale: una singola NVIDIA RTX 4090, una scheda grafica di livello consumer del 2022, può calcolare nell'ordine di 150-165 miliardi di hash MD5 al secondo usando lo strumento di cracking standard hashcat. Otto schede di questo tipo in un singolo rig spingono il numero oltre il trilione al secondo; istanze multi-GPU su AWS o Google Cloud costano da pochi a poche decine di dollari l'ora. Per qualsiasi archivio password che usi hashing veloce senza sale, le password modeste sono essenzialmente indifese. bcrypt con fattori di costo sensati: bcrypt è stato progettato nel 1999 specificamente per essere lento su hardware parallelo. Con un fattore di costo 12 (il default approssimativo del settore), una singola GPU può fare da centinaia a poche migliaia di tentativi al secondo per core, non decine di miliardi. Il tempo di crack contro bcrypt è milioni di volte più lungo rispetto a MD5. scrypt e argon2id: aggiungono la durezza in memoria, ogni tentativo richiede non solo cicli CPU ma una quantità sostanziale di RAM, il che rende la parallelizzazione su GPU e ASIC proibitivamente costosa con parametri sensati. Argon2id è la raccomandazione OWASP attuale e il vincitore della Password Hashing Competition del 2015.

Un misuratore che cita un singolo tempo di crack, nella migliore delle ipotesi, ti sta dicendo la risposta per lo scenario peggiore in cui l'attaccante ha rubato un database con hashing veloce. Questo è anche l'unico default onesto che un misuratore di forza generico possa mostrare, un utente non può sapere in anticipo se il prossimo servizio che subirà una violazione avrà usato MD5 o argon2id. I 10 miliardi di tentativi al secondo che questo strumento ipotizza sono nello stesso ordine di grandezza dello scenario peggiore con hashing veloce, un ordine di grandezza sotto il picco assoluto di un rig di alta gamma ma rappresentativi di ciò che un attaccante determinato può noleggiare con un piccolo budget.

La violazione RockYou del 2009 e perché il riutilizzo uccide

RockYou, produttore di add-on per Facebook e MySpace, conservava circa 32 milioni di password utente in chiaro. Nel dicembre 2009 un attaccante sfruttò una vulnerabilità di SQL injection ed esfiltrò l'intero database utenti. Le password in chiaro furono pubblicate. La lista deduplicata, rockyou.txt, con circa 14 milioni di password uniche, è ora il dizionario di partenza predefinito per quasi ogni strumento di password cracking al mondo. Ogni password apparsa in quella violazione è, ai fini pratici, immediatamente craccabile per sempre, indipendentemente da quanto sembrasse forte la sua entropia ingenua. È anche per questo che il riutilizzo delle password è il singolo rischio pratico più grande per la maggior parte degli account degli utenti. Un utente che riutilizza la stessa password su cinquanta siti ha bisogno che soltanto uno di quei siti venga compromesso; un utente con una password unica per servizio ha bisogno che tutti e cinquanta vengano compromessi. Il dataset di riferimento per le password compromesse è Have I Been Pwned, lanciato dal ricercatore di sicurezza australiano Troy Hunt il 4 dicembre 2013. Il sottosistema Pwned Passwords indicizza ben oltre un miliardo di hash SHA-1 unici di password compromesse, con circa 1,3 miliardi di password viste per la prima volta aggiunte nel solo aggiornamento di novembre 2025.

k-anonimato: controllare una password senza rivelarla

La parte ingegnosa di Pwned Passwords è il design dell'API, che risolve quello che storicamente era un serio problema di privacy: come permettere a una terza parte di controllare se una password è in un elenco di violazioni note senza inviare loro la password? L'approccio ingenuo, fare POST della tua password al servizio, ricrea proprio il problema che l'utente cercava di evitare. La soluzione di k-anonimato, progettata da Junade Ali presso Cloudflare nel 2018, funziona così: il client calcola l'hash SHA-1 della password; il client invia solo i primi cinque caratteri esadecimali di quell'hash (un prefisso che identifica uno tra circa un milione di bucket possibili); il server restituisce tutti i suffissi degli hash che iniziano con quel prefisso, tipicamente qualche centinaio di corrispondenze; il client verifica localmente se l'hash completo è nell'elenco restituito. Il server non sa mai quale password l'utente stia controllando; sa solo uno di circa un milione di bucket di prefisso, che da solo identifica centinaia di password plausibili. Questo è lo stesso modello di anonimato statistico usato per anonimizzare le cartelle cliniche: ogni interrogazione è statisticamente indistinguibile da almeno altre k. I gestori di password del browser, i sistemi di identità aziendali e i misuratori di forza seri usano lo stesso protocollo prefisso-suffisso.

Usa un gestore di password

L'argomento a favore dei gestori di password non è che ti rendano immune alle violazioni, non lo fanno, e diversi sono stati a loro volta violati, ma che ti permettono di avere una password unica su ogni servizio, così la prossima violazione di un servizio che usi non comprometta anche il tuo conto bancario. KeePass, il più vecchio tra i gestori ampiamente usati, fu rilasciato per la prima volta da Dominik Reichl nel novembre 2003. 1Password, di AgileBits, distribuì la sua prima versione nel 2006. Bitwarden, il gestore open source dominante con sincronizzazione cloud, fu lanciato nell'agosto 2016. La raccomandazione moderna, memorizzare una sola forte passphrase master, lasciare che il gestore generi tutto il resto, è condivisa da NIST, OWASP, EFF ed essenzialmente da ogni organizzazione di sicurezza seria. La singola passphrase master diventa l'unica password che devi ricordare bene; il gestore si occupa del resto, genera stringhe casuali di 20 caratteri per servizio, le compila per te e ti avverte quando ne riusi una. Se prendi un solo consiglio da questa intera pagina, prendi quello.

Passphrase per le cose che devi ricordare

Per le password che devi veramente memorizzare, la passphrase master del tuo gestore di password, il login del tuo computer, lo sblocco del telefono, le passphrase battono le password. XKCD #936 ("Password Strength"), pubblicato il 10 agosto 2011, ha portato la questione a un vasto pubblico: correct horse battery staple sono quattro parole inglesi casuali, più facili da memorizzare per un umano di Tr0ub4dor&3 e di ordini di grandezza più difficili da indovinare per un computer. La matematica è semplice: se peschi parole in modo uniforme da un elenco di dimensione N, ogni parola contribuisce log₂(N) bit di entropia. Il sistema Diceware, inventato da Arnold Reinhold nel 1995 e originariamente distribuito sulla mailing list Cypherpunks, formalizza tutto questo con un elenco di 7.776 parole (ogni parola viene selezionata tramite cinque lanci di un dado a sei facce). Ogni parola Diceware contribuisce circa 12,9 bit di entropia; una passphrase di sei parole porta circa 77 bit, che Reinhold ha raccomandato come la soglia minima per l'uso quotidiano. La Electronic Frontier Foundation ha rilasciato il proprio elenco di parole lunghe migliorato nel luglio 2016, con parole scelte per memorabilità e lunghezza (in media sette caratteri contro i ~4,3 di Diceware). La sicurezza dell'elenco EFF e dell'elenco Diceware originale è identica con lo stesso numero di parole; l'elenco EFF è semplicemente più facile da gestire. L'avvertenza cruciale è che le parole devono essere davvero casuali, scelte con dadi o un vero RNG. Una passphrase presa da un testo di canzone, una citazione di film o un famoso versetto biblico è nella wordlist di ogni attaccante a dizionario e non è più forte di una singola parola del dizionario.

Passkey: la sostituzione a lungo termine

La direzione di marcia a lungo termine è che gli account ad alto valore stanno lasciando completamente il mondo delle password. Il 5 maggio 2022, Apple, Google e Microsoft hanno annunciato congiuntamente un supporto esteso allo standard FIDO e un flusso di accesso senza password basato su passkey che si sincronizza tra dispositivi e piattaforme. Una passkey è una credenziale a chiave pubblica conservata sul dispositivo dell'utente; la chiave privata non lascia mai il dispositivo, la chiave pubblica è registrata presso la relying party, e l'autenticazione è una sfida-risposta crittografica che è immune al phishing in un modo che le password categoricamente non sono. La FIDO Alliance ha riportato all'inizio del 2025 che più di quindici miliardi di account online potevano già usare le passkey, e che l'adozione era raddoppiata nel solo 2024. Google ha riportato a fine 2024 che più di 800 milioni di account Google avevano almeno una passkey configurata, con tassi di successo nell'accesso più alti di circa il 30% e velocità di accesso più alta di circa il 20% in media. Le piattaforme principali, Amazon, Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator, supportano tutte le passkey sincronizzate oggi. Le passkey non sono ancora un sostituto completo (molti siti più piccoli non le supportano, e la storia del recupero varia ancora per piattaforma), ma per qualsiasi account che le supporta, includendo sempre più email, social media, banche e principali piattaforme SaaS, una passkey è la risposta giusta e una password forte è una seconda scelta ragionevole.

Privacy: perché un controllo solo nel browser è importante

Ogni strumento di "test della tua password" che invia la password a un server è, per costruzione, un rischio. Ciò include la maggior parte dei misuratori di password storici che eseguivano la loro analisi lato server. Lo schema giusto per uno strumento moderno, lo schema seguito da questa pagina, è che la password non lascia mai il tuo browser. Lo stimatore di forza viene eseguito localmente; il valore di entropia è calcolato localmente; i suggerimenti sono generati localmente. Niente è registrato, niente è memorizzato, niente attraversa la rete. È l'argomento sulla privacy che vale la pena fare chiaramente. È l'unico argomento per uno strumento di password che davvero distingue un'implementazione affidabile da una superficiale. Un utente che non controlla il codice sorgente di un misuratore di forza non può essere certo che la sua password non venga registrata, ma può almeno guardare l'attività di rete negli strumenti di sviluppo del browser, e uno strumento che non fa richieste di rete quando l'utente digita è verificabile in pochi secondi. Questo rende "viene eseguito interamente nel tuo browser" non solo un'affermazione di marketing ma una falsificabile, che è una specie di affermazione molto migliore. Anche con questa garanzia, la pratica più sicura è comunque testare una password strutturalmente simile piuttosto che quella reale, stessa lunghezza, stesso mix di caratteri, stessi pattern, per qualsiasi password che usi oggi.

Sette punti chiave

1. La lunghezza domina. Dodici caratteri sono il minimo pratico; sedici o più sono il livello giusto per account importanti. Ogni carattere aggiuntivo raddoppia approssimativamente la superficie di attacco a forza bruta.
2. Le regole di composizione sono teatro. Una passphrase lunga batte una stringa breve di maiuscole-minuscole-più-cifre-più-simboli su ogni misura onesta.
3. Il riutilizzo è la superficie di attacco dominante. Una sola password trafugata diventa la chiave per ogni servizio che la condivide.
4. Un gestore di password è la risposta per la maggior parte delle persone. Memorizza una sola passphrase forte, lascia che il gestore gestisca il resto.
5. Le passkey, dove supportate, sono migliori di qualsiasi password. Sono resistenti al phishing per progetto e si sincronizzano tra i dispositivi dell'utente.
6. Un misuratore di forza è uno stimatore, non una garanzia. Presuppone un particolare modello di attacco; gli attaccanti reali possono fare meglio contro password ricche di pattern di quanto il numero del misuratore suggerisca.
7. Fidati della dichiarazione di privacy del misuratore solo se puoi verificarla. Un misuratore che viene eseguito interamente nel browser può essere verificato da qualsiasi utente con gli strumenti di sviluppo aperti. Un misuratore che invia dati a un server no.

Domande frequenti

La mia password viene inviata a un server?

No. Tutta l'analisi avviene nel tuo browser. La tua password non lascia mai il tuo dispositivo.

Di quanti caratteri dovrebbe essere la mia password?

Almeno 12 caratteri per la maggior parte degli account, 16 o più per quelli importanti (banca, e-mail, password manager). Più lunga è, meglio è.

Una passphrase è migliore di una password casuale?

Una passphrase (come "correct-horse-battery-staple") può essere molto sicura se è abbastanza lunga (4 o più parole casuali). Sono più facili da ricordare ma devono essere davvero casuali · non testi di canzoni o citazioni.

Perché questo strumento mostra un punteggio diverso da un altro misuratore?

Perché misuratori diversi usano modelli diversi. Un misuratore ingenuo basato sulle classi di caratteri vede P@$$w0rd99 come avente tutte e quattro le classi e lo valuta in modo molto positivo; un misuratore consapevole dei pattern (basato sulla libreria open source zxcvbn di Dropbox) riconosce la parola del dizionario, le sostituzioni leet e il pattern delle cifre finali, e la valuta come decifrabile in pochi secondi. Questo strumento riporta entrambi, l'entropia ingenua da lunghezza e set di caratteri, più un punteggio consapevole dei pattern che penalizza le strutture riconoscibili. I due divergeranno quando la tua password contiene pattern prevedibili, che è esattamente quando l'avviso è più utile.

Devo fidarmi della stima del tempo di crack?

Come ordine di grandezza nel caso peggiore, sì. I 10 miliardi di tentativi al secondo che questo strumento ipotizza sono dello stesso ordine di grandezza di un attaccante determinato con una singola GPU recente che decifra hash MD5 o SHA-1 non salati (una RTX 4090 può fare 150-165 miliardi di MD5/sec; un piccolo rig porta il numero a trilioni). Per i servizi che usano hashing moderno corretto (bcrypt con fattore di costo 12, scrypt, argon2id), l'attacco reale sarebbe milioni di volte più lento, ma non hai modo di sapere in anticipo quale schema di hashing il prossimo servizio violato avrà usato, quindi pianificare per il caso peggiore è prudente.

E controllare se la mia password è apparsa in una violazione?

Per quello, usa il servizio Pwned Passwords di Have I Been Pwned (haveibeenpwned.com/Passwords). Usa un modello di k-anonimato progettato da Junade Ali presso Cloudflare nel 2018: il tuo browser calcola lo SHA-1 della tua password, invia solo i primi cinque caratteri esadecimali, e il server restituisce tutti i suffissi corrispondenti; la tua password completa e il tuo hash completo non attraversano mai la rete. Il corpus contiene oltre un miliardo di hash SHA-1 di password compromesse. I gestori di password del browser (Watchtower di 1Password, il report di violazione dati di Bitwarden, il Password Checkup di Chrome) integrano automaticamente la stessa API.

Strumenti correlati