Sicurezza

120 password casuali per server, chiavi master, account admin

120 password casuali generate con il metodo Unbiased Random Selection (CSPRNG di sistema con rejection sampling). Lunghezze da 32 a 10 caratteri. Click su una password per copiarla negli appunti.

Password in formato ASCII

Le più sicure: charset di 85 caratteri stampabili, entropia 6.4 bit/char. Una password ASCII da 30 caratteri richiede circa 41 trilioni di anni per essere craccata con brute-force GPU offline. Usale per servizi critici: accesso server, chiavi master, account amministrativi.

Charset: !"#$%&'()*+,-./23456789:;<=>?@ABCDEFGHJKMNPQRSTUVWXYZ[\]^_`abcdefghjkmnpqrstuvwxyz{|}~

32 caratteri

U,NB:;=gjH-B*ktZZS/NC=fB~<zS3:tR

@{fU%[Kd/nM`YYGq<'*$jv$\D.Uv$/f^

~P2p\@2BA37hx2m%-%+&Du?^qK#^rJ$'

(A#+''d%?Z8r},/PM8{b.g74XY"T4<>)

9.as..*[H,zqx)G&#`_%Ps}x)ZmB"bsB

24 caratteri

,c;)>;Tj2vtT4n|t?R)#.$V.

EH7SW3@enXEZd'B](|>f-yq8

h|PnK6YtYY9^]#^#\mZ-"t=)

tJ9Vu9HyUwN`T9g^+C,[>+X#

YZt)rt`*@rCx@z7Y4nzBrR@4

20 caratteri

u@F\n4M}E?2kay;_k<CA

&ua(YMn+A;[cdpS?y42H

{m@zZs*3=#>;aUe+)yA(

5+S;B43'F>gQ5|(rgq76

AgG6,k)]h(`MTgaq,9YV

16 caratteri

Wr]K#dD\k}q|y|Dc

#W'-Ps]/meUfsYPe

V.BC2c9@h6dE{h|C

#%`J>$29+ntTyZm3

&6EJNF|2DbDE%"MD

12 caratteri

qHVZ6f:V%['$

^%gtS}/.S=,C

Umn(FWXvW+vM

P~KZe"WgX}4X

K>ru=C_~;q9=

10 caratteri

/)t"j,v[!2

dRNyH>jf2(

c''=+n^?2^

8.]GehH)qh

V!+}35aCAN

Password in formato alfanumerico

Charset ridotto (54 caratteri): più leggibili e digitabili ma meno entropia per simbolo. OK per servizi con policy che vietano caratteri speciali. Per tutto il resto, preferisci l'ASCII qui sopra.

Charset: ABCDEFGHJKMNPQRSTUVWXYZabcdefghjkmnpqrstuvwxyz23456789

32 caratteri

9AevA39zSe5tVwhk3Xf3AHxXS7fawBCz

x3abDUjdGHSXWDESXmV5f2pMUFEku5BK

GPYkPr26KZP6NGgt3Q32wbwWJud5TxyU

Ge5sgkur43tA9HCmdvtM5ZtXBPUamsTK

366ethNZ5m77NPGggqyScS8wtAXEv59P

24 caratteri

6VQvTM8jFBkdtxZu2GN5GHY7

bGnM8gX2B64vacRRn9UEddQB

4tASAxYaWjd9p7YdVqFjPhTF

NW2zbUsX4JBM8pG3NsCQ75th

UhDwaDsxpbKf9H59UP89rxpf

20 caratteri

xhkUshPJ5GqNP5MeY58Q

UCDGzypkEcHMGCqRY2qj

rXDZssSQYKqvzfmUzYg6

XxSjzHyARJNqaeXdyCYs

EeB5gT2X3mDDw8pmJfMm

16 caratteri

yjpHSNuFx6Fpy6Pz

YRTmvzeGcjwuttrJ

FAgksEqPFmcpz5Wr

N7q6uWXPCrwT4Vuk

EyRHfKKbEGrmAYRG

12 caratteri

Phz5xZ3qFngx

ba3xBw3SDMbq

MGSN9AEMHyvp

dwPAsWcdq2nj

nRwDsRc7pYqd

10 caratteri

dN4v5PKcZs

evYxpgc6FW

SAmakJTpF7

MJ8rsVyShp

thmdzhWVsQ

Perché queste password sono sicure davvero

La generazione usa unbiased random sampling tramite la PHP random_int() e quindi il CSPRNG del sistema operativo (/dev/urandom su Linux, equivalenti su altri OS), con rejection sampling per evitare il modulo bias che molti generatori artigianali sbagliano: ogni carattere ha probabilità esattamente 1/|charset|. Su 20 caratteri ASCII l'entropia reale è di 128 bit. Per confronto, una password "robusta" scelta da un umano ha tipicamente 30-50 bit di entropia ed è brute-forciabile in ore su GPU moderne. Le password servite in pagina esistono solo nell'HTML inviato al tuo browser: non vengono loggate, non vengono salvate da nessuna parte e non sopravvivono al caricamento della pagina.

Domande frequenti

Quanto è lunga una password davvero sicura nel 2026?

Per account personali: almeno 16 caratteri ASCII (circa 100 bit di entropia). Per server SSH, chiavi API, account amministrativi: 24-32 caratteri. Il vero fattore di sicurezza è l'entropia totale, non il tipo di caratteri: una password di 30 caratteri ASCII è più sicura di una di 12 caratteri con 'simboli obbligatori'.

Perché le password generate qui non contengono '0', '1', 'l', 'I', 'O'?

Ambiguità visiva. Se devi leggere o digitare a mano la password (su mobile, su console seriale, su terminale di un server remoto), i caratteri simili tra loro causano errori. Il charset escluso mantiene la stessa entropia effettiva (rimuovere 5 caratteri su 94 cambia l'entropia per carattere di ~0.08 bit, irrilevante rispetto alla lunghezza totale).

Le password vengono loggate o trasmesse altrove?

No. Il PHP che genera le password gira server-side in un processo isolato, non logga l'output, non lo invia in nessun database e non lo conserva. Ogni ricarica della pagina produce 120 password nuove che esistono solo nell'HTML servito a te. Le password sono sempre servite via HTTPS.

random_int() è davvero sicuro?

Sì. In PHP 8.x, random_int() usa internamente il CSPRNG di sistema (/dev/urandom su Linux, equivalenti su altri OS): è la stessa sorgente di entropia che alimenta i tool crittografici standard. L'implementazione applica rejection sampling per evitare il modulo bias, dettaglio critico che molti generatori artigianali sbagliano e che porta a distribuzioni non uniformi sul charset.

Posso usare queste password per crittografia o chiavi API?

Per password di account e servizi sono adatte. Per chiavi crittografiche (AES, RSA, ECDSA) no: le chiavi vanno generate direttamente con la libreria crittografica che le userà, con il formato e la lunghezza specifici dell'algoritmo. Usare una password ASCII come chiave crittografica introduce una derivazione (KDF) non necessaria e tipicamente sbagliata.

E se lavoro in un'azienda dove tutti condividono password scritte in Excel?

Situazione comune, molto rischiosa, risolvibile. Migrare a un password manager aziendale (Bitwarden self-hosted, 1Password Business, Vaultwarden) richiede 2-3 giorni di consulenza per setup + formazione. Se vuoi un percorso strutturato per la tua PMI, contattami: è una delle aree in cui lavoro regolarmente.

La gestione password nella tua azienda non è a posto?

Se la tua PMI usa ancora password condivise in un Excel, credenziali ripetute tra servizi, o non ha un password manager centralizzato, il rischio di compromissione è alto e misurabile. Offro consulenza specifica su password policy aziendali, migrazione a password manager self-hosted (Vaultwarden/Bitwarden), e audit delle credenziali dei servizi in uso. Vent'anni di esperienza backend + cybersecurity applicata.

Parla con me di sicurezza password