Seguridad

Verificador de fuerza de contraseña

Escribí una contraseña y te mostramos su entropía en bits, qué tan fuerte es, el tiempo estimado que llevaría crackearla y un checklist de mejoras. Todo se calcula en tu navegador: no se envía nada.

Instantáneo🔒En tu navegadorSin registro
En vivo

🔒 Todo se calcula en tu navegador. No se envía nada a ningún servidor.

Escribí algo para empezar

Qué es la entropía y por qué se mide en bits

La entropía es la forma matemática de decir cuán impredecible es tu contraseña. Se mide en bits: cada bit adicional duplica la cantidad de combinaciones que un atacante tendría que probar. La fórmula que usamos es longitud × log₂(tamaño del alfabeto), donde el tamaño del alfabeto suma las clases de caracteres presentes: minúsculas aportan 26, mayúsculas otros 26, los dígitos 10 y los símbolos comunes 33. Así, una contraseña de 12 caracteres que mezcla minúsculas, mayúsculas y dígitos usa un alfabeto de 62 y tiene unos 71,5 bits de entropía.

Por qué la longitud le gana a la complejidad

Es el concepto más importante y el peor entendido. La entropía crece de manera lineal con la longitud, pero solo de manera logarítmica con el tamaño del alfabeto. En criollo: agregar un carácter más multiplica el espacio de búsqueda por el alfabeto entero, mientras que agregar una clase de símbolos raros apenas suma unos pocos bits. Una contraseña de 16 letras minúsculas (unos 75 bits) es más fuerte que una de 8 caracteres con símbolos, mayúsculas y números (unos 52 bits). Por eso la recomendación moderna es: primero longitud, después variedad.

Frases de contraseña (passphrases)

La forma más práctica de tener una contraseña larga que un humano pueda recordar es usar una frase de varias palabras al azar. Cuatro o cinco palabras elegidas sin relación entre sí (como "caballo-batería-grapa-correcta") superan cómodamente los 60 bits y se memorizan mucho mejor que un revoltijo de símbolos. La clave es que las palabras sean realmente aleatorias, no una frase famosa ni una cita: un diccionario de frases hechas las adivina rápido.

Gestores de contraseñas

Si tenés que recordar decenas de claves, tarde o temprano vas a reutilizar alguna, y ese es el error de seguridad más costoso: cuando filtran un sitio, el atacante prueba tu clave en todos los demás. Un gestor de contraseñas resuelve esto generando una contraseña única, larga y aleatoria por cada sitio, guardándola cifrada. Vos solo memorizás una contraseña maestra fuerte. Es la mejora de seguridad más grande que podés hacer con menos esfuerzo.

Cómo estimamos el tiempo de crackeo

Suponemos un atacante offline que ya obtuvo el hash de tu contraseña y puede probar unos 10.000 millones (10¹⁰) de combinaciones por segundo, una velocidad realista con GPUs modernas contra hashes rápidos. Dividimos la mitad del espacio de combinaciones —el promedio para dar con la clave— por esa velocidad. El resultado es una estimación de orden de magnitud: te dice si tu contraseña cae en segundos, en años o en siglos, no un cronómetro exacto. Contra un hash lento y bien salteado (como bcrypt o Argon2), el tiempo real sería muchísimo mayor.

Referencia: entropía y tiempo de crackeo

Rangos aproximados asumiendo 10¹⁰ intentos por segundo offline. El tiempo es el promedio para encontrar la clave.

EntropíaCalificaciónTiempo estimado de crackeo
< 28 bitsMuy débilInstantáneo
28 – 35 bitsDébilSegundos a minutos
36 – 59 bitsAceptableMinutos a años
60 – 127 bitsFuerteSiglos o más
≥ 128 bitsMuy fuertePrácticamente inquebrantable

Preguntas frecuentes

¿Qué es la entropía de una contraseña?

Una medida en bits de cuán impredecible es. Se calcula como longitud × log2(tamaño del alfabeto), sumando las clases de caracteres presentes (minúsculas 26, mayúsculas 26, dígitos 10, símbolos 33). Más bits, más combinaciones posibles.

¿Cuántos bits son seguros?

Menos de 28 muy débil, hasta 36 débil, hasta 60 aceptable, hasta 128 fuerte, 128 o más muy fuerte. Apuntá a 60 bits como mínimo para cuentas importantes.

¿Por qué la longitud le gana a los símbolos raros?

Porque la entropía crece linealmente con la longitud y solo logarítmicamente con el alfabeto. Agregar un carácter multiplica las combinaciones por todo el alfabeto; agregar una clase apenas suma bits.

¿Cómo se estima el tiempo de crackeo?

Asumiendo un atacante offline que prueba ~10^10 combinaciones por segundo, dividiendo la mitad del espacio por esa velocidad. Es una estimación de orden de magnitud.

¿Mi contraseña se envía a algún servidor?

No. Todo el análisis ocurre en tu navegador; la contraseña nunca sale de tu dispositivo ni se guarda.

¿Qué es una contraseña común?

Claves de las listas de filtraciones como "123456" o "qwerty". Un atacante las prueba primero con un diccionario, así que la entropía teórica no te protege.

¿Conviene una frase de contraseña o un gestor?

Sí a ambos. Una passphrase de 4-5 palabras al azar supera los 60 bits y se recuerda fácil; un gestor genera claves únicas por sitio para que nunca reutilices la misma.

¿Te sirvió este generador?