Strumento password Torna al generatore

Guida alla sicurezza

Quanto deve essere lunga una password?

Scopri quando scegliere 12, 16, 20 o 32 caratteri e perché lunghezza, unicità e archiviazione della password contano più della complessità visiva.

Per la maggior parte degli account moderni, 16 caratteri casuali rappresentano una solida base pratica. Usa 20 o più per account personali importanti, email, banking, lavoro o amministrazione. Usa 32 caratteri quando la password sarà archiviata in un gestore e protegge accessi ad alto valore.

Prova i generatori da 16 caratteri, 20 caratteri o 32 caratteri.

Fasce di lunghezza

Le password corte sono più facili da indovinare perché ci sono meno combinazioni possibili. Da sei a nove caratteri è generalmente troppo corto per la sicurezza di un account. Da dieci a quattordici caratteri possono essere accettati da molti servizi, ma non dovrebbero essere considerati la scelta preferita per account importanti.

Sedici caratteri casuali è un buon default quando un gestore di password archivia il valore. Venti caratteri aggiungono margine rimanendo compatibili con molti siti. Trentadue caratteri sono utili per pannelli di amministrazione, file crittografati, credenziali di database e segreti locali.

Lunghezza casuale vs lunghezza umana

Una password casuale di 16 caratteri è molto diversa da una frase di 16 caratteri creata da un umano. Le scelte umane spesso includono parole, date, nomi e finali prevedibili. Gli aggressori testano questi schemi prima di tentare un attacco brute force cieco.

Raccomandazioni pratiche

Guida dettagliata

Questa guida si concentra sulla scelta della lunghezza della password per diversi rischi degli account. È scritta per lettori che confrontano scelte da 12, 16, 20, 24 e 32 caratteri, quindi l’obiettivo pratico non è creare un’affermazione di sicurezza drammatica. L’obiettivo è scegliere un’abitudine di password che possa sopravvivere all’uso quotidiano: moduli di accesso, gestori di password, tastiere mobili, recupero account, dispositivi condivisi e il servizio occasionale con strane regole di validazione. Una raccomandazione sicura è utile solo se una persona reale può seguirla coerentemente.

Il punto di partenza più sicuro è casualità più unicità. Casualità significa che il valore è selezionato da uno spazio ampio da una fonte casuale crittograficamente adatta, non inventato da un compleanno, un nome di animale domestico, uno schema di tastiera o una citazione preferita. Unicità significa che la stessa password non viene usata da nessun’altra parte. Una password lunga ma riutilizzata può fallire rapidamente dopo una violazione non correlata, mentre una password unica e casuale limita il danno al singolo account in cui è stata usata.

Per questo argomento, un preset pratico è 16 caratteri per account ordinari, 20 o più per account importanti e 32 per segreti che vengono archiviati piuttosto che digitati. Puoi applicare questo preset con il generatore di password a 32 caratteri e poi archiviare il valore finale in un gestore di password affidabile. PwdGen genera valori localmente nel browser con Web Crypto; la password generata non viene inviata a un server PwdGen. Questo design locale riduce l’esposizione lato server, ma non protegge da ogni minaccia. Un’estensione del browser dannosa, un dispositivo compromesso, una pagina di phishing o una gestione non sicura degli appunti possono ancora esporre un segreto dopo la generazione.

I problemi più comuni da evitare sono valori casuali corti, limiti di lunghezza massima, moduli legacy e presumere che un numero fisso sia sicuro per ogni sistema. Questi problemi contano perché gli aggressori raramente hanno bisogno di fare brute force su ogni possibile password quando le abitudini umane danno loro una scorciatoia. Credential stuffing, phishing, elenchi di password trapelate e abuso del recupero account sono spesso più realistici di una pura ricerca matematica. Ecco perché il miglior consiglio combina la qualità della password con controlli a livello di account come MFA, passkey, archiviazione dei codici di recupero e revisione regolare delle impostazioni di email o telefono di recupero.

Usa questa checklist quando applichi la raccomandazione:

Se un sito web rifiuta l’impostazione ideale, non forzare la password in uno schema più debole manualmente. Regola una variabile alla volta. Se i simboli sono rifiutati, mantieni maiuscole, minuscole e numeri abilitati e aumenta la lunghezza. Se la lunghezza massima è bassa, usa la lunghezza più grande accettata e assicurati che il valore sia unico. Se una password deve essere letta ad alta voce, stampata o digitata su uno schermo TV o router, considera di escludere caratteri confondibili e aumentare la lunghezza per compensare l’alfabeto più piccolo.

Infine, ricorda il confine del consiglio sulle password. Una password forte è uno strato di difesa, non una garanzia. Non può rendere sicura una pagina di phishing, riparare malware o compensare un servizio che archivia le credenziali in modo inadeguato. L’abitudine utile è noiosa ma duratura: genera un valore unico, archivialo in modo sicuro, proteggi il percorso di recupero e sostituiscilo rapidamente se sospetti un’esposizione.

Domande frequenti

12 caratteri sono sufficienti?

Una password casuale di 12 caratteri può essere utile per compatibilità, ma 16 o più sono un default migliore quando il servizio lo accetta.

Quando dovrei usare 20 o 32 caratteri?

Usa 20 o più per account importanti e 32 per flussi di lavoro di amministrazione, file crittografati o segreti per sviluppatori archiviati in un gestore di password.

Una password può essere troppo lunga?

Alcuni servizi impongono lunghezze massime o rifiutano simboli. Usa il valore casuale unico più lungo che la destinazione accetta.

Fonti