Password Strength Checker
Verifica la robustezza della tua password e cerca violazioni tramite HIBP. Interamente nel tuo browser.
Come funziona questo strumento
Analisi locale
L'entropia è calcolata in base al set di caratteri usato (maiuscole, minuscole, cifre, simboli) e alla lunghezza. Vengono rilevati anche schemi deboli: parole comuni, sequenze di tastiera, ripetizioni e anni.
Stima del tempo di violazione
Ipotizzando un attacco di forza bruta a 10 miliardi di tentativi/secondo (GPU moderna), il tempo è stimato dall'entropia: 2^bit / 10^10 secondi. Oltre i 60 bit, un attacco richiede anni.
Controllo violazioni HIBP (opzionale)
Quando fai clic sul pulsante, viene calcolato un hash SHA-1 lato client. Solo i primi 5 caratteri (prefisso) vengono inviati all'API di Have I Been Pwned. I suffissi restituiti sono confrontati localmente — la tua password completa non lascia mai il dispositivo.
La tua password non lascia mai il browser
L'analisi della robustezza è interamente locale: nessuna chiamata di rete. Per il controllo delle violazioni viaggiano solo 5 caratteri dell'hash SHA-1 (k-anonimato). Have I Been Pwned riceve un prefisso generico — non può risalire alla tua password. Apri la scheda Rete di DevTools per verificarlo di persona.
Creare e conservare password robuste
Una password robusta (almeno 16 caratteri, maiuscole + cifre + simboli) produce un'entropia superiore a 80 bit, rendendo gli attacchi di forza bruta praticamente impossibili anche con hardware specializzato.
Una volta creata una password robusta, conservala in un password manager. Cifra la tua cassaforte localmente prima di qualsiasi sincronizzazione cloud.
Conserva le tue password in sicurezza
Una password robusta conservata in modo insicuro è inutile. Bitwarden, Proton Pass e NordPass sono open source, verificabili e gratuiti.
Domande frequenti
La mia password viene inviata su internet?
No. L'analisi della robustezza è 100% locale. Per il controllo HIBP vengono trasmessi solo i primi 5 caratteri dell'hash SHA-1 della tua password (k-anonimato). Né l'hash completo né la password in chiaro lasciano mai il browser — Have I Been Pwned non può ricavare la tua password dal prefisso.
Che cos'è Have I Been Pwned?
Have I Been Pwned (HIBP) è un database pubblico creato dal ricercatore di sicurezza Troy Hunt, che raccoglie oltre 10 miliardi di coppie di credenziali da violazioni di dati note. La sua API di verifica usa la k-anonimità, così l'hash completo della password non viene mai esposto.
Come viene calcolata l'entropia?
L'entropia è calcolata come L × log₂(N), dove L è la lunghezza della password e N la dimensione del set di caratteri (26 minuscole, 26 maiuscole, 10 cifre, 32 simboli). Ad esempio, una password di 16 caratteri con tutti i set dà 16 × log₂(94) ≈ 104 bit.
Quale punteggio minimo consigliate?
Punta almeno a 'Robusta' (60+ bit). Per gli account critici (email principale, banca, password manager), punta a 'Molto robusta' (80+ bit) — ovvero 16+ caratteri con maiuscole, cifre e simboli.
Cosa devo fare se la mia password è stata violata?
Cambiala subito su ogni servizio in cui l'hai usata. Attiva l'autenticazione a due fattori (2FA) su quegli account. Usa un password manager per creare e conservare password uniche per ogni servizio.