Perché generare le password in locale?
Un generatore lato server ha, per definizione, visto la tua password. Questo usa il generatore crittografico del browser, lo stesso dei siti bancari: la pagina funziona anche offline.
Cosa rende una password forte in pratica
- La lunghezza batte l'astuzia. Una password casuale di 20 caratteri è astronomicamente più forte di una "furba" di 10 caratteri. Ogni carattere extra moltiplica il lavoro di un attaccante.
- La casualità batte la memorabilità. Gli esseri umani sono pessimi generatori di casualità - schemi, date e sostituzioni (p@ssw0rd) sono le prime cose che i tool di cracking provano.
- L'unicità batte tutto. Il percorso di violazione più comune è una password riutilizzata. Usa un gestore di password e una password casuale diversa per ogni sito.
Cosa significa il numero di entropia
L'entropia (in bit) misura quante ipotesi ha bisogno un attaccante: ogni bit aggiuntivo raddoppia il lavoro. Come regola pratica, 80+ bit è forte per gli account online e 100+ bit è praticamente inviolabile con l'hardware attuale.
FAQ
Generatore di password: i miei dati vengono inviati a un server?
- No. Nessuna richiesta di rete è coinvolta nella loro generazione - puoi verificarlo guardando la scheda rete negli strumenti di sviluppo del tuo browser.
Viene usato Math.random()?
- No - non è crittograficamente sicuro. Questo strumento usa
crypto.getRandomValuescon rejection sampling per evitare distorsioni statistiche. Devo escludere i caratteri simili?
- Se dovrai mai leggere o digitare la password manualmente, sì. Se risiede in un gestore di password, puoi includerli per un pool di caratteri leggermente più ampio.