Cómo se crean las contraseñas
Fija una longitud entre 4 y 64 caracteres, activa cualquier combinación de mayúsculas, minúsculas, números y símbolos, y pulsa Generar. La aleatoriedad viene de la Web Crypto API de tu navegador (crypto.getRandomValues), el mismo generador criptográficamente seguro que se usa para las claves de cifrado, no el predecible Math.random(). Con los cuatro conjuntos activados, el grupo es de 88 caracteres distintos, y cada posición se extrae de forma independiente, así que nada de un carácter da pistas sobre el siguiente.
Por qué la longitud gana a la astucia
Cada carácter de un grupo de 88 símbolos añade unos 6,5 bits de entropía, y cada bit duplica el trabajo de adivinación. Suponiendo un atacante que prueba 10.000 millones de intentos por segundo sin conexión:
| Longitud | Entropía | Tiempo medio para descifrar |
|---|---|---|
| 8 caracteres | ~52 bits | días |
| 12 caracteres | ~77 bits | cientos de miles de años |
| 16 caracteres | ~103 bits | billones de años |
| 20 caracteres (por defecto) | ~129 bits | prácticamente para siempre |
El salto de 8 a 12 caracteres es la diferencia entre "descifrable esta semana" y "sobrevive al universo", que es justo lo que refleja el medidor de fuerza bajo la salida: pasa de Débil por debajo de 8 caracteres, por Aceptable y Buena, hasta Fuerte a partir de 16.
Ejemplo resuelto: elegir ajustes
Digamos que un sitio bancario heredado rechaza los símbolos. Desmarca símbolos, lo que deja un grupo de 62 caracteres (26 + 26 + 10), y compensa con longitud: a ~5,95 bits por carácter, una contraseña de 22 caracteres de letras y dígitos (~131 bits) es en realidad más fuerte que una de 20 caracteres usando los cuatro conjuntos (~129 bits). Regla práctica: siempre que un sitio restrinja tu conjunto de caracteres, añade unos cuantos caracteres de longitud y habrás compensado con creces la diferencia.
Usar bien las contraseñas generadas
- Una contraseña por sitio. La reutilización, no la debilidad, es como caen la mayoría de las cuentas: un sitio comprometido desbloquea todos los demás.
- Guárdalas en un gestor de contraseñas. Una cadena aleatoria de 20 caracteres no está pensada para memorizarse; está pensada para pegarse.
- Regenera sin reparos. Volver a pulsar Generar no cuesta nada; si una contraseña se mostró en algún sitio semipúblico, crea una nueva.
- Añade un segundo factor donde se ofrezca: hasta una contraseña perfecta puede caer por phishing.
Privacidad
La generación corre por completo en tu navegador: no se envía nada a ningún servidor, no se almacena nada, y cerrar la pestaña destruye la contraseña salvo que la hayas guardado. Si necesitas credenciales relacionadas, el generador de UUID crea identificadores aleatorios y el generador de hash calcula sumas de verificación SHA-256, ambos igual de locales.