Guida alla sicurezza

Cos'è l'API Web Crypto?

Q: Quale parte di Web Crypto usa PwdGen?

PwdGen usa crypto.getRandomValues() per richiedere valori casuali crittograficamente forti dal browser.

Scopri come l'API Web Crypto supporta la generazione locale di password casuali nel browser e perché è diversa dalla casualità JavaScript ordinaria.

Riepilogo

L’API Web Crypto è uno standard browser per operazioni crittografiche. Per la generazione di password, la caratteristica più importante è crypto.getRandomValues(), che fornisce alle pagine web valori casuali crittograficamente forti, adatti per selezionare i caratteri della password.

Perché è importante per le password

Le password devono essere imprevedibili. La casualità JavaScript ordinaria non è stata progettata per segreti. Web Crypto esiste per consentire ai browser di esporre primitive crittografiche più sicure tramite un’API standard. PwdGen utilizza quell’API per la selezione casuale limitata ed evita Math.random() per la generazione di password.

Limite del sistema operativo

Web Crypto non significa che una pagina controlli direttamente la fonte di entropia hardware. I browser si affidano tipicamente al sistema operativo e al provider crittografico della piattaforma. Una metodologia attenta dovrebbe dire che Web Crypto fornisce output CSPRNG, non che ogni chiamata legge rumore fisico dalla CPU.

Come lo usa PwdGen

PwdGen richiede interi casuali a 32 bit, utilizza il campionamento per rifiuto per evitare il bias del modulo, mappa i valori accettati agli indici dei caratteri e mescola le classi di caratteri richieste. Questo mantiene l’implementazione piccola e verificabile.

Guida dettagliata

Questa guida si concentra sulla comprensione dell’API Web Crypto come primitiva di sicurezza del browser. È scritta per utenti e sviluppatori che vogliono sapere perché la casualità del browser è importante, quindi l’obiettivo pratico non è creare un’affermazione di sicurezza drammatica. L’obiettivo è scegliere un’abitudine per le password che possa sopravvivere all’uso quotidiano: moduli di accesso, gestori di password, tastiere mobili, recupero account, dispositivi condivisi e il servizio occasionale con strane regole di validazione. Una raccomandazione sicura è utile solo se una persona reale può seguirla coerentemente.

Il punto di partenza più sicuro è casualità più unicità. Casualità significa che il valore è selezionato da uno spazio ampio da una fonte casuale crittograficamente adatta, non inventato da un compleanno, un nome di animale domestico, uno schema di tastiera o una citazione preferita. Unicità significa che la stessa password non viene usata altrove. Una password lunga ma riutilizzata può fallire rapidamente dopo una violazione non correlata, mentre una password unica e casuale limita il danno al singolo account in cui è stata usata.

Per questo argomento, un preset pratico è Chrome, Edge, Safari e Firefox moderni con crypto.getRandomValues disponibile. Puoi applicare quel preset con la pagina di supporto browser e poi memorizzare il valore finale in un gestore di password affidabile. PwdGen genera valori localmente nel browser con Web Crypto; la password generata non viene inviata a un server PwdGen. Quel design locale riduce l’esposizione lato server, ma non protegge da ogni minaccia. Un’estensione del browser dannosa, un dispositivo compromesso, una pagina di phishing o una gestione non sicura degli appunti possono ancora esporre un segreto dopo la generazione.

I problemi più comuni da evitare sono browser vecchi, contesti non sicuri, polyfill che usano silenziosamente Math.random e confusione tra codifica e crittografia. Questi problemi contano perché gli aggressori raramente devono forzare ogni possibile password quando le abitudini umane danno loro una scorciatoia. Credential stuffing, phishing, elenchi di password trapelate e abuso del recupero account sono spesso più realistici di una pura ricerca matematica. Ecco perché il miglior consiglio combina la qualità della password con controlli a livello di account come MFA, passkey, archiviazione dei codici di recupero e revisione regolare delle impostazioni di email o telefono di recupero.

Usa questa checklist quando applichi la raccomandazione:

Usa un browser moderno.
Evita strumenti che implementano la propria fonte casuale.
Comprendi che Web Crypto non risolve il malware.
Leggi la metodologia prima di fidarti di un generatore.

Se un sito web rifiuta l’impostazione ideale, non forzare la password in uno schema più debole manualmente. Regola una variabile alla volta. Se i simboli sono rifiutati, mantieni attivi maiuscole, minuscole e numeri e aumenta la lunghezza. Se la lunghezza massima è bassa, usa la lunghezza massima accettata e assicurati che il valore sia unico. Se una password deve essere letta ad alta voce, stampata o digitata su uno schermo di TV o router, considera di escludere caratteri confondibili e aumentare la lunghezza per compensare l’alfabeto più piccolo.

Infine, ricorda il limite del consiglio sulle password. Una password forte è uno strato di difesa, non una garanzia. Non può rendere sicura una pagina di phishing, risolvere il malware o compensare un servizio che memorizza le credenziali in modo inadeguato. L’abitudine utile è noiosa ma durevole: genera un valore unico, conservalo in modo sicuro, proteggi il percorso di recupero e sostituiscilo rapidamente se sospetti un’esposizione.

Un prossimo passo sicuro

Dopo aver letto questa guida, fai un piccolo audit di un account invece di cercare di sistemare tutto in una volta. Scegli l’account che causerebbe più problemi se fosse compromesso, conferma che la sua password sia unica e controlla l’email di recupero, il telefono di recupero, il metodo MFA e l’archiviazione dei codici di backup. Se qualche parte di quella catena è debole, migliora quella parte prima di passare ad account a rischio più basso. Questo ordine mantiene il lavoro gestibile e protegge gli account che gli aggressori hanno più probabilità di usare come trampolino di lancio. Per cos’è l’API Web Crypto?, il miglior risultato è un’abitudine ripetibile: genera localmente, conserva con cura ed evita il riutilizzo.

Domande frequenti

Quale parte di Web Crypto usa PwdGen?

PwdGen usa crypto.getRandomValues() per richiedere valori casuali crittograficamente forti dal browser.

Web Crypto significa che ogni byte proviene direttamente dall’hardware?

No. I browser generalmente usano provider crittografici del sistema operativo seminati con entropia di alta qualità; il browser e il sistema operativo scelgono l’implementazione.

Web Crypto è disponibile in tutti i browser?

È disponibile nei browser moderni. Se manca, PwdGen disabilita la generazione invece di ripiegare su casualità insicura.