Sicurezza

120 password casuali per server, chiavi master, account admin

120 password casuali generate con il metodo Unbiased Random Selection (CSPRNG di sistema con rejection sampling). Lunghezze da 32 a 10 caratteri. Click su una password per copiarla negli appunti.

Password in formato ASCII

Le più sicure: charset di 85 caratteri stampabili, entropia 6.4 bit/char. Una password ASCII da 30 caratteri richiede circa 41 trilioni di anni per essere craccata con brute-force GPU offline. Usale per servizi critici: accesso server, chiavi master, account amministrativi.

Charset: !"#$%&'()*+,-./23456789:;<=>?@ABCDEFGHJKMNPQRSTUVWXYZ[\]^_`abcdefghjkmnpqrstuvwxyz{|}~

32 caratteri

<b{dyPU{,hvNP&TG%GW+QFx:YTD:C6'{

}j4Wz`eb4!+>kb<&x?T:>}bM3?S)n&rU

C^E9e?4;z&<S.m5u?'\,RvZp!kqht@!m

GWY('g|R+TB$>[jJR,|}^<#:c45F+CX?

{HdKUgtux5&pN8N,BNh,q*_XfWxZn@//

24 caratteri

?sx<3p)Q/EC/%"3=FF(/S#Me

}v8*UP(kQSR@mb2a|.KGV<6p

r\/R_+2[z2U][%,nyk8bsgXq

"2H.XS-WU~XbmNp[K`S<r.Mf

E5uBCXV(X4|^r8`4KmBYJr6U

20 caratteri

Up%R*kErU3h!MH`3;C{(

))&|7a'^P(-ufeRf(9vm

csWk{T_dP)ns!CBq^r#\

!bwX\@U]`/xunF$yG]w5

MP~`82J`FGD5%^NaM=%u

16 caratteri

}@qa!3[^.ETt{xtj

AP)%,M$RSP4!3WJE

?An=f49UHHxm*Q*C

&f3{=\G3gh\z#V^#

p}:[email protected]+Y

12 caratteri

<.'k+@W'qNy\

}(DAxGsE~5j:

)MuZBw"_ZcPf

>%*{_(f?ec[s

|cre6U+yPV9d

10 caratteri

tGe}kC]vZB

8pH&vE_H>]

{-),A3ar<P

UKXEBN5_Eq

$BraYxPR(z

Password in formato alfanumerico

Charset ridotto (54 caratteri): più leggibili e digitabili ma meno entropia per simbolo. OK per servizi con policy che vietano caratteri speciali. Per tutto il resto, preferisci l'ASCII qui sopra.

Charset: ABCDEFGHJKMNPQRSTUVWXYZabcdefghjkmnpqrstuvwxyz23456789

32 caratteri

Q9sAxst3ZdZBHCpwU4g3DFG6gxH6fW7A

BYrHVHhxcFG9re8jjSuUkURyksHGQrhM

w42AH8wde8C5vm9kAWzDzwH6nCuK85Fr

buzkJQA98u2hm7Ccnn9hWs9PwczBmbNw

uPvCRGE3vKGWW3bZafzbBnjTS2pSfyRP

24 caratteri

FNfVX6wRyA6g7MQPEyjeyuh6

RUV3RwdVc9nxKCdrYGYk8B2E

RB3KYN2knKbNgE35khQta7vC

4MjHnycXbUd2aanztWQH4GC4

qbnQSm3RvhcEurVFDGG43aUE

20 caratteri

yFsWmEf4G6nkfWQUnrKz

KqHqZfGWVdmxuPV3grPt

rM2KmckMcMZtd33mtejV

MnFpQuDExXTWs548cue7

JWNzrckcu3HJ753ccbtC

16 caratteri

QDw6u2ECVx4PVaRy

evSsMgJ3X59sbZbE

y3d5XtSnMpYDbvy3

g26ZrS5p2KcTKU9f

Bzxm8qgG4wGAVat4

12 caratteri

D36zwfcQrh9p

rA5eK2aJGtJn

sDynyPjMJMcR

AFEWBHfHm9hT

ez5YvXy3K7up

10 caratteri

QC47mhfwhx

ACYTZRr2uD

jBqzQbyMC5

yHC7WWCAwh

PzGuA3Dhsj

Perché queste password sono sicure davvero

La generazione usa unbiased random sampling tramite la PHP random_int() e quindi il CSPRNG del sistema operativo (/dev/urandom su Linux, equivalenti su altri OS), con rejection sampling per evitare il modulo bias che molti generatori artigianali sbagliano: ogni carattere ha probabilità esattamente 1/|charset|. Su 20 caratteri ASCII l'entropia reale è di 128 bit. Per confronto, una password "robusta" scelta da un umano ha tipicamente 30-50 bit di entropia ed è brute-forciabile in ore su GPU moderne. Le password servite in pagina esistono solo nell'HTML inviato al tuo browser: non vengono loggate, non vengono salvate da nessuna parte e non sopravvivono al caricamento della pagina.

Domande frequenti

Quanto è lunga una password davvero sicura nel 2026?

Per account personali: almeno 16 caratteri ASCII (circa 100 bit di entropia). Per server SSH, chiavi API, account amministrativi: 24-32 caratteri. Il vero fattore di sicurezza è l'entropia totale, non il tipo di caratteri: una password di 30 caratteri ASCII è più sicura di una di 12 caratteri con 'simboli obbligatori'.

Perché le password generate qui non contengono '0', '1', 'l', 'I', 'O'?

Ambiguità visiva. Se devi leggere o digitare a mano la password (su mobile, su console seriale, su terminale di un server remoto), i caratteri simili tra loro causano errori. Il charset escluso mantiene la stessa entropia effettiva (rimuovere 5 caratteri su 94 cambia l'entropia per carattere di ~0.08 bit, irrilevante rispetto alla lunghezza totale).

Le password vengono loggate o trasmesse altrove?

No. Il PHP che genera le password gira server-side in un processo isolato, non logga l'output, non lo invia in nessun database e non lo conserva. Ogni ricarica della pagina produce 120 password nuove che esistono solo nell'HTML servito a te. Le password sono sempre servite via HTTPS.

random_int() è davvero sicuro?

Sì. In PHP 8.x, random_int() usa internamente il CSPRNG di sistema (/dev/urandom su Linux, equivalenti su altri OS): è la stessa sorgente di entropia che alimenta i tool crittografici standard. L'implementazione applica rejection sampling per evitare il modulo bias, dettaglio critico che molti generatori artigianali sbagliano e che porta a distribuzioni non uniformi sul charset.

Posso usare queste password per crittografia o chiavi API?

Per password di account e servizi sono adatte. Per chiavi crittografiche (AES, RSA, ECDSA) no: le chiavi vanno generate direttamente con la libreria crittografica che le userà, con il formato e la lunghezza specifici dell'algoritmo. Usare una password ASCII come chiave crittografica introduce una derivazione (KDF) non necessaria e tipicamente sbagliata.

E se lavoro in un'azienda dove tutti condividono password scritte in Excel?

Situazione comune, molto rischiosa, risolvibile. Migrare a un password manager aziendale (Bitwarden self-hosted, 1Password Business, Vaultwarden) richiede 2-3 giorni di consulenza per setup + formazione. Se vuoi un percorso strutturato per la tua PMI, contattami: è una delle aree in cui lavoro regolarmente.

La gestione password nella tua azienda non è a posto?

Se la tua PMI usa ancora password condivise in un Excel, credenziali ripetute tra servizi, o non ha un password manager centralizzato, il rischio di compromissione è alto e misurabile. Offro consulenza specifica su password policy aziendali, migrazione a password manager self-hosted (Vaultwarden/Bitwarden), e audit delle credenziali dei servizi in uso. Vent'anni di esperienza backend + cybersecurity applicata.

Parla con me di sicurezza password