Tutto rimane nel tuo browser. Il calcolo è interamente locale. L'unica richiesta esterna è un controllo di perdita anonimo (5 primi caratteri hash SHA-1, mai password).

Domande frequenti

Comprendere il funzionamento tecnico →

Come misurare la resistenza della mia password?

Time2Crack è un estimatore di resistenza password gratuito che misura la robustezza della password contro gli attacchi reali del computer.

Processo di valutazione a tre fasi

  1. Inserisci la password nel campo degli strumenti Time2Crack. (La tua password rimane interamente sul tuo computer - nessuna trasmissione)
  2. Fare clic su "Analisi" per attivare l'analisi della resistenza. Lo strumento prova la password contro 7 tipi di attacchi di computer realistici: attacco di forza cruda, dizionario, ibrido, maschera, probabilità Markov, PCFG grammaticale e combinatore di parola.
  3. Leggi i risultati : Lo strumento visualizza il tempo stimato per rompere la password con ciascuno dei 6 algoritmi hash (MD5, SHA-1, SHA-256, NTLM, bcrypt, Argon2id).

Risultati interpretativi

Time2Crack mostra due misure principali:

  • "Crack Time" : Quanto tempo ci vorrebbe un aggressore medio (12 GPU moderna) per rompere la password.
    • Ottimo > 100 anni
    • Molto bene. 1 anno – 100 anni
    • Accettabile : 1 giorno – 1 anno
    • Basso < 1 giorno
    • Ultra-basso < 1
  • "Fast Attack" : Che tipo di attacco romperà prima la password. Ad esempio, una semplice password del dizionario sarà decisa da una dizionario attacco, mentre una passphrase (4+ parole) sarà decifrata da Attacco combinato.

Perché questa misura è scientifica

Time2Crack non misuraentropia teorica (approccio tradizionale NIST), che sovrastima le password ignorando i modelli umani. Invece, considera il costo di attacco pratico in base a:

  • Ricerca accademica (Wheeler 2016, Wang & Ding 2023, Weir 2009) convalida 7 attacchi reali
  • Dati empirici rockyou2021 (32.6M password reali) per calibrare modelli probabilistici
  • benchmark GPU ufficiali (Hashcat v6.2.6, Hive Systems 2025) per velocità di cracking

Ciò significa che Time2Crack stima più accuratamente la sicurezza reale una barra di forza visiva tradizionale.

Passi per migliorare il tuo punteggio

Se la password è bassa, migliorala come segue:

  1. Aumentare la lunghezza : Aumento da 8 a 12+ caratteri. Ogni carattere aggiuntivo moltiplica la difficoltà di ~70 (numero medio di caratteri).
  2. Utilizzare una passphrase (consigliato): 4-5 parole casuali separate da tratti o spazi. Esempio: correct-horse-battery-staple Questo è più sicuro e memorizzabile di una parola complessa.
  3. Evitare modelli umani : Non combinare "nome + anno" (ex: Jean1985). Time2Crack rileva questi modelli e li rompe in pochi secondi tramite attacco PCFG.
  4. Utilizzare un password manager : Lascia che un manager generi una stringa casuale di carattere 16-32. Time2Crack lo stima a > 10.000 anni, garantendo la massima sicurezza.

Consigli chiave : Non cercare una barra di forza visiva perfetta. tempo di crepa > 100 anni per una password critica (email, banca). Un passphrase a 4 parole riesce facilmente, mentre una parola a 12 caratteri può fallire a seconda della composizione.

Cos'è Time2Crack?
Time2Crack è una calcolatrice di tempo di cracking password. Si stima quanto tempo ci vorrebbe un aggressore per indovinare la tua password utilizzando 7 diversi attacchi (forza di gravità, dizionario, ibrido, maschera, Markov, PCFG, combinatore). sul tuo computer — la password non lascia mai il dispositivo.
I miei dati sono al sicuro?

Time2Crack funziona. 100% locale Non viene inviata alcuna password ai nostri server. Facciamo solo un controllo facoltativo: controlla tramite Have I Been Pwned (HIBP) se la tua password è conosciuta in vecchie perdite. k-anonimato (inviamo solo i primi 5 caratteri dell'hash SHA-1, mai la password completa).

Esempio concreto: come funziona l'anonimato

Per la password password :

  • Hash SHA-1 completo (locale, mai trasmesso): 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8
  • Prefisso inviato a HIBP: 5BAA6 (solo 5 caratteri)
  • Suffisso conservato localmente (mai trasmesso): 1E4C9B93F3F0682250B6CF8331B7EE68FD8
  • HIBP restituisce tutti i hash a partire da 5BAA6 (~500-1000 risultati anonimi)
  • Time2Crack confronta localmente il suffisso con le risposte, solo sul computer

Risultati: La password completa non lascia mai il tuo dispositivoanche durante la verifica HIBP.

Perché le stime del tempo variano secondo l'algoritmo di hash?
MD5 e SHA-1 sono veloci da rompere (~2 miliardi di tentativi/secondo), mentre bcrypt e Argon2id sono volontariamente lenti (~2 milioni e ~800 tentativi/secondo). Time2Crack mostra il tempo per ogni algoritmo, in modo da capire l'importanza di utilizzare b. o Argon2id per password critiche.
Cos'è "forza cruda", "Dizionario", ecc.?
Questi sono i 7 tipi di attacchi reali che i pirati usano:
  • Forza lorda : testare ogni possibile combinazione (slow per lunghe password)
  • Dizionario : testare parole comuni e perdite note (velocità per parole semplici)
  • ibrido : dizionario + mutazioni minori (ex: password → p@ssw0rd)
  • Maschera Obiettivo delle strutture prevedibili (ad esempio Nome + Anno)
  • Markov : analizzare le probabilità di sequenze (ex: "qu" corrente in francese)
  • PCF : Strutture grammaticali (ad esempio Majuscule+minuscules+figures)
  • Combinatore : concate parole (es: "corsa-corsa-staple")
Cos'è "Favorevole" contro "Standard"?
Standard : ritiene ottimista che l'aggressore utilizzi l'attacco più noto. Favorevole : suppone che l'attaccante test solo il dizionario e le mutazioni semplici (lo scenario più favorevole per la tua password). In pratica, queste due stime sono spesso simili, come i migliori attaccanti provano tutti i metodi in parallelo.
La mia password è contrassegnata "Ultra-weak".
Una password ultra-bassa (cracked in meno di un secondo) significa che è incluso nelle liste di password più comuni. Cambialo subito. Invece, usare:
  • Uno Passphrase (4+ parole casuali separate da spazi, ad esempio "corsa-corsa-corsa-staple")
  • Uno password generata casualmente (almeno 12 caratteri misti)
  • Uno password manager (Bitwarden, 1Password, KeePass, ecc.)
Come creare una password sicura?
I tre approcci:
  1. Passphrase (consigliato): 4-5 parole casuali comuni (ad esempio "sun-table-computer-flower"). Facile da memorizzare, molto sicuro (~10.000+ anni se numeri aggiunti).
  2. Random : 16+ caratteri (majuscules, minuscole figure, simboli). Cracking richiede 10.000+ anni.
  3. Passphrase + mutazione "Sun2024!" (passphrase + anno + simbolo). Combina sicurezza e memoria.
Perché una breve password con simboli non basta?
Esempio: "P@ssw0rd!" (10 caratteri) può essere incrinato in pochi giorni con bcrypt. Anche con simboli, una parola breve rimane vulnerabile perché segue una schema prevedibile L'attacco PCFG prova esattamente questo modello. Un passphrase a 4 parole è più sicuro di una parola breve "complesso".
E se usassi un gestore di password?
Ottima scelta! I gestori (Bitwarden, 1Password, KeePass) generano password casuali di 16-32 caratteri, che non è necessario memorizzare. 10.000+ anni per una parola generata casualmente. passphrase solido per sbloccare il manager.
Le mie stime possono essere errate?
Time2Crack utilizza i migliori dati pubblici disponibili (rockyou2021, NIST, ricerca accademica) per calibrare le sue stime. L'errore tipico è ±1 ordine di grandezza (cioè 10× più veloce/più basso della realtà). attacco con 12× RTX 4090 — un vero attaccante può essere 100× più lento o 10.000× più veloce a seconda delle sue risorse. Argon2id sono più affidabili (più bassi, meno variazioni).
Perché Time2Crack mostra 7 diversi attacchi?
Perché? ogni password è vulnerabile a un diverso attacco. "password" cade in 1 tentativo (dizionario). "P@ssw0rd!" cade in ~10.000 tentativi (hybrid + PCFG). "a1b2c3d4e5f6g7h8" cade solo in forza raw (~10^30 tentativi). il miglior attacco per la tua password e visualizza il tempo per ogni algoritmo hash.
La pagina Metodo spiega come funziona?
Sì! Metodo (accessibile tramite menu) dettagli:
  • Come ogni attacco funziona (con esempi)
  • Fonti di dati utilizzate (rockyou, NIST, Hive Systems)
  • Limitazioni e ipotesi
  • Ricerca accademica che convalida le nostre stime
Posso usare Time2Crack offline?
Si! Time2Crack funziona completamente offline una volta caricato. I dati del dizionario e modelli ML (Markov, PCFG) vengono scaricati una volta all'avvio. È quindi possibile chiudere Internet — Time2Crack continua a funzionare normalmente.
Quanto tempo può essere decisa una password "buona"?
Con una stima conservatrice:
  • 8 caratteri casuali : ~8 ore (MD5) / ~3 anni (bcrypt)
  • 12 caratteri casuali : ~2.000 anni (MD5) / ~1 milioni di anni (bcrypt)
  • 16 caratteri casuali : ~2 milioni di anni (bcrypt)
  • Passphrase 4 parole + simbolo : ~ 10.000+ anni (bcrypt)
Uso b. o Argon2id per tutte le password critiche.
Time2Crack è open source?
Il codice sorgente è disponibile su Codeberg. Time2Crack ha Dipendenza zero — è JavaScript puro, nessun bundlers o sudorazione. È possibile controllare il codice da soli per confermare che nessuna password viene trasmessa.