Test de fuerza de contraseña (entropía + crack)
Escribe una contraseña (solo navegador, nunca transmitida). El tester calcula entropía, cobertura de charset, riesgo de match en diccionario y tiempos estimados de crack para ataques offline GPU, online API y online lento.
Cómo funciona
Qué significa 'entropía' para contraseñas
La entropía mide impredecibilidad en bits. Una contraseña con 30 bits necesita ~2³⁰ ≈ mil millones de intentos para crack. 70+ bits se considera fuerte; 80+ excelente.
Fórmula: entropía = longitud × log₂(charset). 'abcdefgh' (8 chars, solo minúsculas) = 8 × log₂(26) ≈ 37.6 bits. 'aA1!aaaa' (8 chars, todos los charsets) = 8 × log₂(95) ≈ 52.6 bits — pero el tiempo real de crack es mucho peor de lo que sugieren 52 bits porque 'aaaa' es patrón común.
Por qué los tiempos varían tanto
Offline GPU: hash filtrado atacado offline. GPUs modernas adivinan 10⁹+ hashes MD5/segundo; bcrypt solo 10⁴-10⁵/s. La estimación usa GPU rápida.
Online rápido: atacante golpeando una API directamente. La mayoría tiene rate limit; 1000 intentos/seg es estimación alta para endpoint mal defendido.
Online lento: endpoint bien defendido con rate limit estricto, bloqueo de cuenta y CAPTCHA. 100/seg es generoso; muchos sistemas permiten solo 5-10/min.
Estas estimaciones ignoran factores reales como ataques de diccionario (encuentran comunes mucho más rápido que fuerza bruta) y reutilización (crackear un sitio ayuda con otros).
Qué hace fuerte a una contraseña
Longitud sobre complejidad: una passphrase de 16 chars como 'correct horse battery staple' es más fuerte que un torturado de 8 'P@ssw0rd!'. La idea de XKCD de 2011 sigue: 4 palabras random = ~44 bits.
Evita patrones: fechas, nombres, '123', 'qwer', repeticiones reducen la entropía real bajo el valor de fórmula. Las herramientas de ataque incluyen extensos rule-sets ('password' → 'P@ssw0rd!').
Usa un gestor de contraseñas: los humanos eligen patrones; los gestores no. Bitwarden, 1Password, KeePass generan contraseñas verdaderamente aleatorias por sitio, 16+ chars todos los charsets. La única que recuerdas es la maestra — y esa debe ser una passphrase larga.
Preguntas frecuentes
›¿Se envía mi contraseña a algún sitio?
No. Todo corre localmente en tu navegador. No vemos, almacenamos ni transmitimos tu contraseña.
›¿Por qué mi contraseña larga muestra baja entropía?
La longitud no es todo — repetir 'a' 50 veces tiene muy poca entropía real. El calculador usa fórmula simple pero marca patrones repetidos/secuenciales. Mejor: larga, variada, sin patrones.
›¿Estos tiempos son precisos?
Son estimaciones por fuerza bruta naïve. Los crackers reales usan diccionarios, patrones comunes y bases de filtraciones primero — así una 'común' puede caer en segundos pese a entropía alta de fórmula.
›¿Debo preocuparme por cuánticos?
Eventualmente sí — Grover halvea bits efectivos del simétrico. Una clave de 128 bits equivalente necesita 64+ post-cuántico. Por ahora, 80+ bits es cómodo; 128+ para muy largo plazo.
›¿Por qué marca 'P@ssw0rd1' aunque tenga todos los charsets?
Porque 'password' está en diccionarios y las sustituciones triviales (P → P, a → @) son parte del rule-set de toda herramienta. Usa truly aleatorias o passphrases, no sustituciones de palabras comunes.
›¿'correct horse battery staple' es realmente segura?
Razonablemente. 4 palabras al azar de 7000 = ~52 bits. Más fuerte que la mayoría de 8 chars complejas. Pero al ser famosa entró en diccionarios — elige tus propias palabras.
›¿Longitud mínima?
8 es lo mínimo (y solo con todos los charsets). 12+ recomendado para la mayoría. 16+ para importantes (email, banco, master del gestor).
›¿Importa la sensibilidad a mayúsculas?
Sí — añadir mayúsculas dobla el charset de 26 a 52. ~+1 bit por carácter. Mezclar significativamente (no solo la primera letra) merece la pena.
Herramientas relacionadas
Última actualización: