Forza della password + stimatore del tempo di cracking

Se ti stai chiedendo se la tua password è davvero abbastanza forte, questo strumento rapido ti aiuta a stimarlo in pochi secondi. Il calcolatore mostra una valutazione live della forza mentre digiti (con feedback a colori molto chiaro), poi stima quanto tempo potrebbe servire per “craccare” la stessa password con diversi livelli di potenza di calcolo — da un Raspberry Pi a un PC da gaming (GPU) fino a un modello teorico di computer quantistico. È pensato per chi vuole capire in modo pratico la forza della password, l’entropia e la domanda “quanto tempo ci vuole per crackare una password?” in uno scenario di attacco offline. Usalo per migliorare password deboli, creare passphrase più sicure e sviluppare abitudini migliori di cybersecurity — soprattutto se riutilizzi la stessa password su più account.

Password Strength Checker

Educational estimator. Nothing is sent to the server. Avoid entering real passwords—use a sample.

Strength: Entropy: 0 bits

La guida completa alla forza delle password: entropia, stime dei tempi di cracking e abitudini di sicurezza reali

Le password sono una di quelle cose che usiamo ogni giorno, ma quasi nessuno ha voglia di pensarci. Accedi, vai avanti. Il problema è che gli attaccanti ci pensano continuamente — e non “indovinano” come fanno gli esseri umani. Automatizzano, scalano e sfruttano pattern che spesso ripetiamo senza accorgercene.

Questa guida serve a rendere la forza delle password comprensibile e pratica. Imparerai che cosa significa entropia, perché password “complicate” possono essere comunque deboli, come il cracking offline differisce dai tentativi online, e cosa funziona davvero nel 2026: password (o passphrase) lunghe e uniche, più MFA/2FA, più una buona igiene di recupero dell’account.

Se hai cercato cose come password strength checker, calcolatore di entropia, quanto tempo per crackare una password o offline password cracking time, sei nel posto giusto.

Cosa significa davvero “forza” di una password (in parole semplici)

Una password forte è una password difficile da indovinare, difficile da prevedere e mai riutilizzata altrove. Fine.

Molte persone pensano che la forza significhi “sembra confusa”. Tipo: M@rk1991!
Ha simboli, maiuscole e numeri… eppure è il genere di password che gli attaccanti spesso crackano velocemente perché segue pattern umani comuni: nome + anno + simbolo.

La vera forza di solito deriva da:

  • Lunghezza (più lunga = molto più dura da brute-forzare)

  • Imprevedibilità (casuale, non “furba”)

  • Unicità (mai riusata)

Ecco perché gli esperti ripetono sempre lo stesso consiglio: una passphrase lunga o una stringa casuale generata da un password manager è quasi sempre meglio di una password corta “complessa”.

“Craccare” una password: cosa fanno davvero gli attaccanti

Quando si dice che una password è stata “hackerata”, di solito è successo uno di questi scenari:

  1. Tentativi online (tramite la pagina di login)
    L’attaccante prova password direttamente sul sito/app. I sistemi decenti rallentano con:

  • rate limiting

  • captcha

  • blocchi temporanei

  • controlli reputazionali IP

Per questo il brute force online è spesso lento. Può funzionare su sistemi deboli, ma i numeri tipo “miliardi di tentativi al secondo” non vengono da qui.

  1. Credential stuffing (il problema #1 quando si riutilizzano le password)
    Gli attaccanti usano combinazioni email+password rubate da vecchie violazioni e le provano ovunque. È per questo che il riuso è così pericoloso: puoi perdere un account nuovo senza che qualcuno abbia “indovinato” nulla.

  2. Phishing
    Nessun cracking: inserisci la password in una pagina finta e l’attaccante la usa subito.

  3. Cracking offline (cracking di hash)
    Qui la velocità hardware conta davvero. Dopo una violazione, gli attaccanti possono ottenere un database di hash. Poi testano le ipotesi sui loro computer, senza limiti, alla massima velocità consentita dall’algoritmo e dall’hardware.

Le stime del tuo calcolatore (“Raspberry Pi / PC ufficio / PC gaming / supercomputer / quantistico”) riguardano soprattutto questo scenario offline. È importante leggerle come stime educative: i tempi reali dipendono molto dal tipo di hash e da quanto la password sia prevedibile.

Un livello di attaccante molto rilevante nel mondo reale, ma spesso non incluso, è:

  • Online (limitato) — utile per chi ragiona in termini di tentativi via login. Se vuoi, si può aggiungere una riga in futuro.

Entropia della password: l’idea chiave dietro il calcolatore

L’entropia è un modo per stimare quante prove servirebbero per trovare una password se fosse scelta in modo casuale.

Un modello comune è:

Entropia (bit) = lunghezza × log2(dimensione dell’insieme di caratteri)

  • lunghezza: numero di caratteri

  • insieme di caratteri: quante possibilità per posizione (es. solo minuscole = 26; lettere+numeri ≈ 62; ASCII stampabile ≈ 95)

Più entropia di solito significa più combinazioni, più tentativi e tempi di cracking più lunghi.

Un esempio semplice

Password di 12 caratteri con un set ampio:

bit ≈ 12 × log2(62) ≈ 12 × 5,95 ≈ 71 bit

Ottimo… se è davvero casuale.

Il punto più importante: l’entropia assume casualità

La verità è che la maggior parte delle password create da persone non è casuale. Ha una struttura:

  • nomi, squadre, città

  • anni, date

  • “1!” alla fine

  • pattern da tastiera (qwerty, asdf)

  • sostituzioni comuni (a→@, o→0)

Gli attaccanti non partono dal brute force puro. Partono da ciò che funziona:

  • dizionari di password comuni

  • liste di password leaked

  • regole di mutazione (aggiungi 1, aggiungi !, maiuscola iniziale, ecc.)

  • generatori di “keyboard walks”

  • modelli probabilistici

Quindi l’entropia va letta così: “se questa password fosse casuale, questo sarebbe lo spazio di ricerca”.
Se non lo è, la forza effettiva può essere molto più bassa.

Perché la lunghezza è la regina della sicurezza

La lunghezza è potentissima perché fa esplodere lo spazio delle combinazioni.

Aggiungere un carattere non aumenta “un po’” la sicurezza: moltiplica lo spazio per la dimensione del set di caratteri. Ecco perché:

  • da 8 → 12 caratteri è un salto enorme

  • da 12 → 16 è ancora più grande

È anche il motivo per cui le passphrase funzionano così bene: sono lunghe e la lunghezza dà sicurezza senza regole assurde sui simboli.

Velocità di cracking offline: perché conta la “lista di macchine”

Nel cracking offline, si possono fare tentativi velocissimi, ma la velocità dipende da:

  • algoritmo di hash

  • GPU vs CPU

  • memory-hardness (Argon2/scrypt rallentano le GPU)

  • budget e parallelizzazione

Il calcolatore usa ipotesi di base come livelli educativi:

  • Raspberry Pi (bassa potenza)

  • PC da ufficio (CPU)

  • PC da gaming (GPU) (molto veloce per alcuni hash)

  • supercomputer / cluster GPU

  • quantistico (teorico) (stima tipo Grover, ipotesi ottimistiche)

Ottimo per visualizzare “livelli di potenza dell’attaccante”.

Hashing 101: perché la stessa password può essere facile o difficile da crackare

Un servizio che fa le cose bene non memorizza le password in chiaro. Memorizza un hash (trasformazione a senso unico).

Ma non tutti gli hash sono uguali.

Hash veloci (cattivi per le password)

  • MD5

  • SHA-1

  • SHA-256 (se usato da solo, senza schema di hashing per password)

Sono velocissimi da calcolare: ottimi per integrità, pessimi per password.

Hash lenti per password (buoni)

  • bcrypt

  • scrypt

  • Argon2

Sono progettati per essere costosi (lenti e/o memory-hard), rendendo i tentativi massivi molto più difficili.

Salt e perché è importante

I sistemi seri usano un salt casuale, memorizzato insieme all’hash, così password identiche non producono hash identici tra utenti. Questo impedisce di crackare una volta e “matchare” tutti.

A volte c’è anche un pepper (segreto lato server), a seconda dell’implementazione.

Morale: il tempo di cracking dipende anche da come il sito salva le password. Ma tu dovresti comunque scegliere password robuste anche in caso di violazione.

Cosa significa “abbastanza forte” nella pratica

Regole pratiche:

  • Password casuali: 16+ caratteri

  • Passphrase: 4–6 parole casuali, spesso 20+ caratteri

  • Account critici (email, banca, admin): più lungo + MFA + recupero blindato

L’email è spesso l’account più importante: è la chiave di recupero di molti altri.

Passphrase: l’upgrade più facile da mantenere

Una buona passphrase è:

  • lunga

  • composta da parole casuali

  • non è una citazione

  • non è un testo di canzone

  • non è una frase famosa

Da evitare:

  • frasi celebri

  • battute di film

  • proverbi

  • slogan

Cosa funziona:

  • 4–6 parole non correlate, scelte davvero a caso

  • opzionalmente separatori o una parola in più

Sono memorabili senza essere prevedibili, se le parole sono realmente casuali.

Perché alcune regole sulle password possono peggiorare le cose

Molti sistemi impongono ancora:

  • un simbolo obbligatorio

  • una maiuscola obbligatoria

  • cambio ogni X giorni

Questo spesso genera comportamenti prevedibili:

  • “Password1!”

  • “Password2!”

  • “Estate2026!”

Esattamente ciò che gli attaccanti provano.

Le linee guida moderne (in generale) puntano a:

  • permettere password lunghe

  • bloccare password già compromesse

  • incoraggiare MFA

  • evitare rotazioni forzate senza indizi di compromissione

Come usare il calcolatore nel modo giusto (e in sicurezza)

Il calcolatore gira nel browser e non invia dati al server: ottimo.

Comunque, per sicurezza:

  • non digitare la password reale che usi ora

  • prova un esempio con lunghezza/stile simile

  • considera i tempi come stima, non certezza

Se dice “Strong”, spesso significa “forte nel modello casuale”. Se la password segue pattern umani, il rischio può essere più alto.

Una visione realistica dei numeri di “tempo di cracking”

I tempi possono essere fuorvianti:

  • spesso assumono brute force

  • gli attaccanti spesso vincono prima con tentativi intelligenti

  • di solito è un tempo medio, non il worst-case

  • dipende molto da:

    • tipo di hash

    • hardware

    • presenza in liste leaked

    • struttura prevedibile

Uso migliore: come campanello d’allarme.

  • “minuti/ore” → cambia stile subito

  • “anni” → probabilmente ok, se unica + MFA

MFA (2FA): la rete di sicurezza che vuoi davvero

Anche una password perfetta può essere rubata via phishing o malware. La MFA aggiunge un secondo requisito:

  • codice monouso

  • prompt nell’app

  • o meglio: chiave di sicurezza hardware

Per account importanti (email, banca, cloud, social, WordPress admin), MFA dovrebbe essere standard.

Proteggi anche i metodi di recupero: codici di backup, email/telefono di recupero.

Password manager: perché conviene

Tenere password uniche e forti per decine di siti senza aiuto è poco realistico.

I password manager:

  • generano password casuali robuste

  • le conservano in modo sicuro

  • le compilano automaticamente

  • riducono riuso e varianti

Se prendi una sola abitudine: smetti di riutilizzare password.

Errori comuni (e fix veloci)

  • Errore: corta ma “complessa”
    Fix: più lunga.

  • Errore: template prevedibile (NomeAnno!)
    Fix: basta template. Casualità / passphrase casuali.

  • Errore: “una password forte per tutto”
    Fix: unica per sito + password manager.

  • Errore: salvarle in posti insicuri
    Fix: vault/manager, non note in chiaro o screenshot.

  • Errore: trascurare l’email
    Fix: email = master key. Unica + MFA + recupero sicuro.

Piano di upgrade pratico (senza stress)

In meno di un’ora:

  1. Metti in sicurezza l’email

    • password lunga e unica

    • MFA

    • recupero protetto

  2. Metti in sicurezza il password manager (se lo usi)

    • master passphrase forte

    • MFA

  3. Sistemi i conti più importanti

    • banca, cloud, social, lavoro

  4. Stop al riuso da ora in poi

    • ogni account nuovo = password unica

Nota WordPress (utile se pubblichi il tool su un sito WP)

Su WordPress, la forza della password è anche una questione di business.

Best practice:

  • password lunghe e uniche per gli admin

  • MFA per admin

  • limitare i tentativi di login

  • aggiornare core/temi/plugin

  • evitare “admin” come username

  • least privilege

Domande frequenti

Quanto deve essere lunga una password oggi?
16+ caratteri per password casuali. 20+ per passphrase.

I simboli contano?
Sì, ma la lunghezza conta di più.

“Very strong” è sempre sicuro?
No, se è una frase prevedibile o riutilizzata. Forza + unicità + MFA.

Il quantistico le cracka istantaneamente?
Per scenari consumer è soprattutto teorico. Password lunghe e hashing moderno offrono margine; l’autenticazione evolve (passkeys, standard nuovi).

Qual è il rischio più comune?
Riuso delle password e credential stuffing.

Checklist da salvare

  • password uniche ovunque

  • 16+ caratteri casuali o 20+ in passphrase

  • MFA sui conti importanti

  • proteggi email e recupero come master key

  • usa un password manager

  • considera le violazioni come possibili e pianifica

La sicurezza delle password non deve essere spaventosa: deve essere coerente. Password (o passphrase) lunghe e uniche + MFA ti spostano da “bersaglio facile” a “non vale lo sforzo” per la maggior parte degli attacchi. Il calcolatore rende visibile l’invisibile: mostra quanto velocemente crollano le password deboli sotto tentativi automatizzati e perché le buone abitudini contano.



Image(s) used in this article are either AI-generated or sourced from royalty-free platforms like Pixabay or Pexels.

Articoli simili