Generador de Contraseñas

Genera contraseñas aleatorias fuertes y seguras.

Cómo se crean las contraseñas

Fija una longitud entre 4 y 64 caracteres, activa cualquier combinación de mayúsculas, minúsculas, números y símbolos, y pulsa Generar. La aleatoriedad viene de la Web Crypto API de tu navegador (crypto.getRandomValues), el mismo generador criptográficamente seguro que se usa para las claves de cifrado, no el predecible Math.random(). Con los cuatro conjuntos activados, el grupo es de 88 caracteres distintos, y cada posición se extrae de forma independiente, así que nada de un carácter da pistas sobre el siguiente.

Por qué la longitud gana a la astucia

Cada carácter de un grupo de 88 símbolos añade unos 6,5 bits de entropía, y cada bit duplica el trabajo de adivinación. Suponiendo un atacante que prueba 10.000 millones de intentos por segundo sin conexión:

LongitudEntropíaTiempo medio para descifrar
8 caracteres~52 bitsdías
12 caracteres~77 bitscientos de miles de años
16 caracteres~103 bitsbillones de años
20 caracteres (por defecto)~129 bitsprácticamente para siempre

El salto de 8 a 12 caracteres es la diferencia entre "descifrable esta semana" y "sobrevive al universo", que es justo lo que refleja el medidor de fuerza bajo la salida: pasa de Débil por debajo de 8 caracteres, por Aceptable y Buena, hasta Fuerte a partir de 16.

Ejemplo resuelto: elegir ajustes

Digamos que un sitio bancario heredado rechaza los símbolos. Desmarca símbolos, lo que deja un grupo de 62 caracteres (26 + 26 + 10), y compensa con longitud: a ~5,95 bits por carácter, una contraseña de 22 caracteres de letras y dígitos (~131 bits) es en realidad más fuerte que una de 20 caracteres usando los cuatro conjuntos (~129 bits). Regla práctica: siempre que un sitio restrinja tu conjunto de caracteres, añade unos cuantos caracteres de longitud y habrás compensado con creces la diferencia.

Usar bien las contraseñas generadas

  • Una contraseña por sitio. La reutilización, no la debilidad, es como caen la mayoría de las cuentas: un sitio comprometido desbloquea todos los demás.
  • Guárdalas en un gestor de contraseñas. Una cadena aleatoria de 20 caracteres no está pensada para memorizarse; está pensada para pegarse.
  • Regenera sin reparos. Volver a pulsar Generar no cuesta nada; si una contraseña se mostró en algún sitio semipúblico, crea una nueva.
  • Añade un segundo factor donde se ofrezca: hasta una contraseña perfecta puede caer por phishing.

Privacidad

La generación corre por completo en tu navegador: no se envía nada a ningún servidor, no se almacena nada, y cerrar la pestaña destruye la contraseña salvo que la hayas guardado. Si necesitas credenciales relacionadas, el generador de UUID crea identificadores aleatorios y el generador de hash calcula sumas de verificación SHA-256, ambos igual de locales.

Preguntas frecuentes

¿Cómo de aleatorias son las contraseñas generadas?
Usan la Web Crypto API del navegador (crypto.getRandomValues), una fuente aleatoria criptográficamente segura, la misma clase de generador que se usa para las claves de cifrado, a diferencia del predecible Math.random().
¿Las contraseñas se almacenan o se envían a algún sitio?
No. La generación ocurre por completo en tu navegador; nada se transmite ni se guarda. Una vez que cierras la pestaña, la contraseña desaparece salvo que la hayas guardado tú.
¿Cuánto debe medir mi contraseña?
Al menos 16 caracteres para cualquier cosa importante; el valor por defecto de 20 da unos 129 bits de entropía, muy por encima de un descifrado realista. Por debajo de 12 caracteres, los ataques sin conexión se vuelven factibles.
Un sitio no acepta símbolos, ¿mi contraseña es más débil?
Un poco por carácter, pero la longitud lo arregla: las letras y los dígitos dan ~5,95 bits por carácter frente a ~6,5 con símbolos, así que añadir 2–3 caracteres extra compensa con creces.
¿Cómo funciona el medidor de fuerza?
Puntúa la contraseña generada por longitud: Débil por debajo de 8 caracteres, Aceptable a partir de 8, Buena a partir de 12, Fuerte a partir de 16, reflejando que la longitud domina la fuerza de la contraseña.