Password Checker
Verifica la sicurezza delle tue password
Controlla la robustezza delle tue password, genera credenziali sicure e verifica se sono state esposte in un data breach. Tutto nel rispetto della tua privacy.
Analizza la tua password
Inserisci una password per verificarne la robustezza e controllare se è stata compromessa in un data breach. Lo strumento calcola l'entropia, stima il tempo di crack e interroga il database Have I Been Pwned tramite il protocollo k-anonymity.
Verifica password
Come funziona: protocollo k-anonymity
Il browser calcola l'hash SHA-1 della tua password
Solo i primi 5 caratteri dell'hash vengono inviati all'API
L'API restituisce migliaia di hash che iniziano con quei 5 caratteri
Il browser confronta localmente il resto dell'hash — nessuno sa quale password hai verificato
Genera password sicura
Tutti i calcoli vengono eseguiti localmente nel browser. Nessuna password viene salvata o trasmessa a server esterni, fatta eccezione per il controllo breach che utilizza il protocollo k-anonymity di Have I Been Pwned.
Come funziona la verifica delle password
La sicurezza di una password dipende da diversi fattori: lunghezza, complessità, unicità e assenza da database di credenziali compromesse. Questo strumento analizza tutti questi aspetti per darti una valutazione completa.
Entropia della password
L'entropia misura la casualità di una password in bit. Più bit di entropia significano più combinazioni possibili e maggiore resistenza agli attacchi. Una password sicura dovrebbe avere almeno 60 bit di entropia.
Tempo di crack
Stima il tempo necessario per indovinare la password con un attacco brute-force, considerando diverse velocità di calcolo: da un singolo computer a cluster GPU specializzati. Password robuste richiedono secoli per essere violate.
Set di caratteri
Una password che combina lettere maiuscole, minuscole, numeri e simboli speciali utilizza un set di caratteri più ampio, aumentando esponenzialmente le combinazioni possibili e la resistenza agli attacchi.
Database breach
Verifica se la password compare nei database di Have I Been Pwned, che raccoglie miliardi di credenziali esposte in violazioni note. Il controllo avviene tramite k-anonymity: la password non viene mai trasmessa in chiaro.
Passkey
Le passkey (FIDO2/WebAuthn) sono l'alternativa moderna alle password. Utilizzano crittografia asimmetrica e biometria del dispositivo, eliminando il rischio di phishing, riuso e compromissione delle credenziali.
MFA phishing-resistant
L'autenticazione multi-fattore resistente al phishing (hardware security key, passkey) protegge anche se la password viene compromessa. È lo standard richiesto da framework come NIS2 e ISO 27001 per gli accessi privilegiati.
Per implementare una strategia completa di gestione delle identità digitali nella tua azienda, consulta la nostra pagina dedicata alla gestione delle identità digitali e degli accessi.
Domande frequenti sulla sicurezza delle password
Le risposte alle domande più comuni sulla verifica delle password, il protocollo k-anonymity e le alternative moderne alle password tradizionali.
Le password deboli sono la causa principale degli accessi non autorizzati. Oltre l’80% delle violazioni di dati coinvolge credenziali compromesse o deboli. Verificare la robustezza delle password e controllare se sono state esposte in data breach è il primo passo per proteggere i propri account e i dati aziendali.
Lo strumento analizza la password su tre livelli: calcola l’entropia (misura della casualità) per stimare la robustezza, valuta il tempo necessario per un attacco brute-force considerando diverse velocità di calcolo, e verifica se la password è stata esposta in data breach noti tramite il database Have I Been Pwned. Tutto avviene localmente nel browser, la password non viene mai inviata ai nostri server.
Il protocollo k-anonymity permette di verificare se una password è stata compromessa senza mai trasmettere la password stessa. Lo strumento calcola l’hash SHA-1 della password, invia solo i primi 5 caratteri dell’hash al servizio Have I Been Pwned e confronta localmente il resto dell’hash con i risultati ricevuti. In questo modo nessuno, nemmeno il servizio di verifica, può conoscere la password controllata.
Una password sicura deve essere lunga almeno 16 caratteri, contenere una combinazione di lettere maiuscole e minuscole, numeri e simboli speciali, e non deve essere basata su parole di dizionario o informazioni personali. La soluzione migliore è utilizzare un password manager per generare e memorizzare password uniche per ogni servizio, oppure adottare le passkey dove disponibili.
Le passkey sono credenziali crittografiche basate sullo standard FIDO2/WebAuthn che sostituiscono completamente le password. A differenza delle password, le passkey non possono essere indovinate, rubate tramite phishing o esposte in data breach, perché la chiave privata non lascia mai il dispositivo dell’utente. L’autenticazione avviene tramite biometria (impronta, volto) o PIN del dispositivo, eliminando il rischio di password deboli o riutilizzate.
Proteggi le identità digitali della tua azienda
Dalla gestione delle password aziendali all'implementazione di passkey e MFA phishing-resistant: progettiamo soluzioni di Identity & Access Management su misura. Contattaci per una consulenza.