Generador de contraseñas (criptográficamente seguro)
Construye contraseñas con crypto.getRandomValues — la misma fuente que usan los bancos, no Math.random. Ajusta longitud y clases de caracteres; el medidor de entropía muestra cuán fuerte es realmente.
Cómo funciona
Por qué este generador es realmente seguro
La mayoría de 'generadores' web usa Math.random(), que no es criptográficamente seguro — su salida puede predecirse. Este usa crypto.getRandomValues de la Web Crypto API, la misma primitiva que respalda HTTPS y los keychain del SO. Cada carácter se extrae de una distribución uniforme sobre el alfabeto seleccionado.
La generación ocurre enteramente en tu navegador. La contraseña nunca viaja por la red ni toca nuestros servidores. Aunque nuestro dominio se comprometiera, no habría nada que robar porque no se almacena nada.
Cómo funciona el medidor
La etiqueta se computa desde la entropía: bits = log₂(tamaño_alfabeto) × longitud. 10 caracteres en minúsculas tiene log₂(26) × 10 ≈ 47 bits — vulnerable a un atacante offline determinado. 16 caracteres con las cuatro clases ~105 bits — fuerte para casi todo. Bandas: <50 débil, 50-80 media, 80-128 fuerte, ≥128 excelente.
Los umbrales corresponden a: débil = adivinable en días por atacante moderado; media = años para una botnet; fuerte = sin atacante realista hoy; excelente = margen cómodo contra futuros incluyendo cuántica.
La longitud manda
La matemática es implacable: añadir un carácter dobla aproximadamente el espacio de búsqueda. Añadir una clase más solo lo amplía algo. Una contraseña de 20 caracteres en minúsculas tiene más entropía que una de 12 con mayúsculas-símbolos, y es más fácil de teclear. Si prefieres memorizar, elige 4 palabras al azar de una lista de 7000 — son 51 bits, similar a una de 8 caracteres mixtos fuerte.
La opción 'evitar ambiguos' excluye caracteres que se confunden con otros (0/O, I/l/1). La hace ligeramente menos fuerte pero más fácil de leer en voz alta o transcribir. Úsala cuando puedas necesitar teclearla desde una lista impresa.
Preguntas frecuentes
›¿Es realmente seguro?
Sí. Usamos la fuente segura de la Web Crypto API, no Math.random(). La implementación del navegador es auditada e idéntica a la base de HTTPS.
›¿La contraseña sale del navegador?
Nunca. Generación, entropía y copia al portapapeles, todo local. No tenemos endpoint que la reciba aunque quisiéramos.
›¿16 caracteres bastan?
Para cuentas online, sí — casi siempre. Para clave maestra del gestor o claves de cifrado, ve a 24+ o usa una passphrase de 6 palabras.
›¿Por qué el medidor no ama mi contraseña larga?
Solo conoce las clases que activaste. Si solo activaste minúsculas, el alfabeto es 26 — las largas siguen siendo fuertes pero crecen más lento.
›¿Qué son 'bits de entropía'?
log₂ del número de contraseñas posibles con tu config. 80 bits ≈ 1.2 × 10²⁴ posibilidades — muy fuera del alcance del fuerza bruta hoy.
›¿Incluir símbolos?
Sí cuando se permita. Cada símbolo añade aproximadamente la entropía de un número más una letra. Si un sitio antiguo los rechaza, aumenta longitud para compensar.
›¿Vale 'evitar ambiguos'?
Solo si necesitas leerla o teclearla a mano. Para gestores déjalo apagado — el coste de legibilidad se desperdicia.
›¿Puede repetirse la misma contraseña?
Teóricamente sí, pero con 50 bits la probabilidad por par es 1 en 2⁵⁰ ≈ 10¹⁵. Imposible en la práctica.
Herramientas relacionadas
Última actualización: