Modello di sicurezza e privacy

Tutto viene generato nel tuo browser

Tutte le passphrase, le password e i token vengono creati in locale, sul tuo dispositivo, dal JavaScript in esecuzione nel tuo browser. Non c'è alcuna fase di generazione lato server. La pagina è di fatto uno strumento statico: una volta caricata, svolge il suo lavoro senza dialogare con un backend.

I tuoi segreti non vengono mai inviati o memorizzati

I valori che generi non vengono trasmessi in rete, non vengono scritti in un registro, non vengono salvati in un account e non vengono inseriti in un cookie. Non esistono affatto account utente. L'unico strumento di analisi è uno strumento rispettoso della privacy e senza cookie che conta le visite anonime alle pagine — non riceve mai i segreti che generi.

Quale fonte di casualità viene usata

La casualità proviene dalla Web Crypto API (crypto.getRandomValues), il generatore di numeri casuali crittograficamente sicuro integrato nei browser moderni. Quando il generatore mappa i byte casuali su un elenco di parole o su un set di caratteri, usa il campionamento con rifiuto per evitare le distorsioni da modulo, così ogni parola o carattere è ugualmente probabile. Non usa mai Math.random per i segreti.

Come viene stimata l'entropia

Poiché lo strumento sceglie da sé le parole e i caratteri, conosce la dimensione esatta del pool da cui ciascuno è stato attinto e calcola l'entropia direttamente: bit = lunghezza × log2(dimensione del pool). Non usa un misuratore di robustezza euristico, che sottovaluterebbe i segreti realmente casuali. Le cifre sul tempo di violazione sono illustrative, basate su frequenze di tentativi presunte, e la stima quantistica riflette solo l'accelerazione quadratica di Grover.

Da cosa questo strumento può e non può proteggere

Può darti un segreto ad alta entropia che resiste ai tentativi di indovinare e alla violazione offline. Non può proteggerti da un dispositivo compromesso, un keylogger, malware, sguardi indiscreti, phishing o un servizio che conserva male la tua password. Una generazione robusta è uno strato; la conservazione sicura e le buone abitudini sono gli altri.

Tratta il risultato come sensibile dal momento in cui compare sullo schermo. Copialo nel tuo gestore di password, poi svuota gli appunti se sei su una macchina condivisa.

Consigli pratici che sosteniamo con convinzione

Usa un gestore di password affidabile, così ogni account ha un segreto unico e tu memorizzi una sola passphrase robusta. Non riutilizzare mai una passphrase o una password tra i servizi. Attiva l'autenticazione a due fattori dove disponibile. Preferisci la lunghezza alla complessità. E mantieni aggiornati i tuoi dispositivi e il tuo browser — il segreto più robusto non può aiutare una macchina compromessa.

Uso offline e JavaScript

I generatori richiedono JavaScript, perché il lavoro crittografico avviene nel browser; con JavaScript disattivato, lo strumento non può produrre segreti. Una volta caricata la pagina, funziona offline — puoi disconnetterti dalla rete e continuare a generare, un modo ragionevole per creare un segreto di alto valore con la certezza aggiuntiva che nulla stia lasciando la tua macchina.