Questo generatore è crittograficamente sicuro?

Sì. Il generatore utilizza il metodo crypto.getRandomValues() integrato nel browser — un generatore di numeri pseudocasuali crittograficamente sicuro (CSPRNG). Questa stessa funzione viene utilizzata per generare chiavi di crittografia in TLS/SSL, Web Crypto API e altri sistemi di sicurezza critici. Nessun dato viene inviato al server — tutto viene generato localmente nel browser.

A cosa servono le stringhe casuali?

Le stringhe casuali vengono utilizzate per: generare password e chiavi segrete, creare token di autenticazione (JWT, chiave API), identificatori di sessione, valori salt per l'hashing delle password, nonce nella crittografia, identificatori univoci (UUID) per record di database, dati di test per sviluppo e QA.

Quale lunghezza di stringa scegliere per una password?

Per una password sicura si raccomanda un minimo di 12-16 caratteri utilizzando maiuscole e minuscole, numeri e caratteri speciali. Per token di autorizzazione e chiavi API lo standard è 32-64 caratteri. Per identificatori di sessione — almeno 128 bit di entropia (circa 22 caratteri alfanumerici). Per UUID si utilizza un formato fisso di 36 caratteri (32 hex + 4 trattini).

Cos'è UUID v4 e quando usarlo?

UUID v4 (Universally Unique Identifier) è un identificatore a 128 bit generato casualmente nel formato xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx. Il 4 nel terzo gruppo denota la versione 4 (casuale). UUID è ideale per chiavi primarie in database distribuiti, identificatori di oggetti nelle API, tracciamento degli eventi e qualsiasi situazione che richieda unicità globale senza un generatore centralizzato.

Qual è la differenza tra HEX e Base64?

HEX (esadecimale) utilizza 16 caratteri (0-9, a-f) e codifica un byte con due caratteri. Base64 utilizza 64 caratteri (A-Z, a-z, 0-9, +, /) e codifica tre byte con quattro caratteri. Base64 è più compatto: per la stessa quantità di dati richiede meno caratteri. HEX è più leggibile e facile da debuggare. Entrambi i formati sono ampiamente utilizzati per token, hash e chiavi di crittografia.

Le stringhe generate vengono memorizzate?

No. Tutte le stringhe vengono generate localmente nel browser utilizzando JavaScript e l'API crypto. Nessun dato viene inviato al server, memorizzato in cookie, localStorage o qualsiasi altro storage. Dopo aver chiuso la pagina o averla aggiornata — le stringhe generate scompaiono. Per salvarle, copiale o scarica il file di testo.

Come usare un set di caratteri personalizzato?

Seleziona il preset "Set personalizzato", inserisci i caratteri desiderati nel campo e clicca su "Genera". Ad esempio, per generare stringhe solo con caratteri cirillici inserisci "абвгдежзийклмнопрстуфхцчшщъыьэюя". Per il codice binario — "01". Il generatore selezionerà casualmente i caratteri dal tuo set.

Cos'è l'entropia e come si calcola?

L'entropia è una misura della casualità che determina la resistenza di una stringa agli attacchi di forza bruta. Si calcola con la formula: entropia = lunghezza × log2(dimensione_alfabeto). Ad esempio: una stringa alfanumerica di 16 caratteri (62 caratteri) ha 16 × 5,95 ≈ 95 bit di entropia. Per la protezione contro gli attacchi moderni si raccomanda un minimo di 128 bit di entropia per le chiavi di crittografia e 72+ bit per le password.

Generatore di Stringhe Casuali Online 2026 — token, password, chiavi

Generatore di Stringhe Casuali — come e perché generare token, password e chiavi sicure

Un generatore di stringhe casuali è uno strumento per creare sequenze di caratteri da un set dato (alfabeto, numeri, caratteri speciali) della lunghezza desiderata. Tali stringhe vengono utilizzate nello sviluppo software, nei test, nella sicurezza informatica e nell'amministrazione di sistemi. Il nostro generatore funziona sulla base dell'algoritmo crittograficamente sicuro crypto.getRandomValues(), integrato in tutti i browser moderni.

Sicurezza crittografica: perché è importante

Non tutti i generatori di numeri casuali sono uguali. Il normale Math.random() in JavaScript è pseudocasuale e prevedibile — non è adatto per generare password, token o chiavi di crittografia. Il metodo crypto.getRandomValues() appartiene alla classe CSPRNG (Cryptographically Secure Pseudo-Random Number Generator) e utilizza la fonte di entropia del sistema operativo. Questo stesso metodo viene utilizzato in TLS/SSL, Web Crypto API, generazione di token JWT e altri sistemi critici. Il nostro generatore utilizza esclusivamente l'API crypto, garantendo la massima resistenza delle stringhe generate.

Generazione di password: lunghezza, entropia, resistenza

Una password sicura ha un'entropia sufficiente — una misura di imprevedibilità. L'entropia si calcola come la lunghezza della stringa moltiplicata per il logaritmo della dimensione dell'alfabeto in base 2. Per una password del set a-z, A-Z, 0-9 (62 caratteri), ogni carattere aggiunge ~5,95 bit di entropia. Una password di 12 caratteri ha ~71 bit, di 16 caratteri — ~95 bit, di 20 caratteri — ~119 bit. Le raccomandazioni NIST (SP 800-63B) prevedono un minimo di 8 caratteri per i servizi online, ma la pratica moderna è 14-20 caratteri con set misto.

Token di autorizzazione e chiavi API

I token (access token, refresh token, chiave API) sono stringhe segrete che confermano i diritti di accesso a una risorsa. Per le chiavi API, la lunghezza standard è 32-64 caratteri alfanumerici, che forniscono 190-380 bit di entropia. Gli identificatori di sessione devono avere almeno 128 bit di entropia secondo le raccomandazioni OWASP. I token CSRF, i valori nonce e i codici di conferma monouso vengono anche generati utilizzando CSPRNG.

UUID v4: identificatore univoco universale

UUID v4 (RFC 4122) è un identificatore a 128 bit dove 122 bit sono casuali e 6 bit sono riservati per versione e variante. Formato: xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx, dove y è uno dei caratteri 8, 9, a, b. UUID v4 fornisce 2^122 (~5,3 × 10^36) valori possibili, rendendo la probabilità di collisione trascurabile anche quando si generano miliardi di identificatori. UUID è ampiamente utilizzato come chiave primaria in PostgreSQL, MongoDB, architetture di microservizi e sistemi distribuiti.

HEX e Base64: formati di codifica

HEX (codifica esadecimale) rappresenta ogni byte con due caratteri (0-9, a-f). Utilizzato per hash (SHA-256 = 64 caratteri HEX), indirizzi MAC, colori CSS (#FF5733) e chiavi di crittografia. Base64 codifica tre byte con quattro caratteri dell'alfabeto A-Z, a-z, 0-9, +, / (e = per il riempimento). Applicato per codificare JWT, incorporare immagini in HTML (data URI), trasmettere dati binari in JSON e XML.

Salt e hashing delle password

Il salt è una stringa casuale aggiunta alla password prima dell'hashing per proteggere contro le rainbow table e gli attacchi di forza bruta. Ogni utente deve avere un salt univoco. La lunghezza raccomandata del salt è di almeno 16 byte (32 caratteri HEX o 22 caratteri Base64). Gli algoritmi moderni di hashing (bcrypt, Argon2, scrypt) generano il salt automaticamente, ma per altri scenari — ad esempio, HMAC o crittografia — il salt deve essere generato separatamente.

Dati di test per lo sviluppo

Le stringhe casuali sono indispensabili nei test: compilare campi di moduli, creare dati simulati, test di carico, verifica della validazione e dei limiti di lunghezza. Il generatore permette di creare rapidamente mille stringhe della lunghezza necessaria con qualsiasi set di caratteri — e scaricarle come file di testo per l'importazione in un database di test o script.

Consigli di sicurezza quando si lavora con stringhe segrete

Le password, le chiavi e i token generati devono essere memorizzati in un gestore di password (1Password, Bitwarden, KeePass) o in un vault sicuro di segreti (HashiCorp Vault, AWS Secrets Manager, GCP Secret Manager). Non memorizzare mai i segreti in chiaro nel codice, nelle configurazioni o nel repository (git). Per trasferire i segreti tra i membri del team, utilizzare canali crittografati o link monouso (ad esempio, OneTimeSecret). La rotazione delle chiavi e dei token è una pratica obbligatoria: cambiare le chiavi API e i token di servizio almeno ogni 90 giorni.