BrowserTools
Publicidad
Inicio / Validadores / Verificador de Fortaleza de Contraseñas

Verificador de Fortaleza de Contraseñas

Comprueba lo fuerte que es una contraseña: entropía, tiempo estimado de descifrado y una lista de comprobación clara, todo verificado localmente en tu navegador.

Cargando Verificador de Fortaleza de Contraseñas… Si no ocurre nada, activa JavaScript.

Un verificador de fortaleza de contraseñas estima lo difícil que sería adivinar una contraseña. Este mide la entropía de la contraseña en bits, la convierte en un tiempo estimado para que un atacante sin conexión la descifre y muestra una lista sencilla de lo que está bien y lo que falta. Se actualiza mientras escribes y funciona enteramente en tu navegador, así que la contraseña que pruebas nunca se transmite ni se almacena en ningún sitio.

Preguntas frecuentes

¿Se envía mi contraseña a algún sitio?
No. Todo el análisis se ejecuta localmente en tu navegador con JavaScript. Tu contraseña nunca se transmite, registra ni almacena, que es justamente la razón por la que un verificador de fortaleza debería ejecutarse en el lado del cliente. Puedes desconectarte de internet y seguirá funcionando.
¿Qué significa 'entropía en bits'?
La entropía mide cuántos intentos necesitaría un atacante de media. Cada bit adicional duplica ese número. Se calcula como la longitud de la contraseña multiplicada por el logaritmo en base 2 del tamaño del conjunto de caracteres. Como guía aproximada, menos de 28 bits es muy débil, alrededor de 60 bits es razonable y 80 bits o más es fuerte frente a ataques sin conexión.
¿Por qué una frase de contraseña larga suele ser más fuerte que una contraseña corta y compleja?
Porque la longitud aporta entropía de forma más fiable que los caracteres especiales. Cuatro o cinco palabras aleatorias pueden superar los 60 bits de entropía sin dejar de ser fáciles de recordar, mientras que una 'P@ss1' corta tiene poca entropía y es difícil de recordar. La longitud es la mayor palanca que controlas.
¿Cómo se estima el tiempo de descifrado?
Se supone que un atacante sin conexión prueba unos diez mil millones de intentos por segundo contra un hash rápido y luego se divide el número de combinaciones posibles entre esa tasa. Es una estimación del orden de magnitud. Un hash de contraseña lento (bcrypt, scrypt, Argon2) hace que los ataques reales sean muchísimo más lentos, y los servicios en línea suelen limitar la frecuencia de intentos.
El verificador dice que mi contraseña es fuerte. ¿Puedo reutilizarla sin problema?
No. La fortaleza solo protege frente a la adivinación. Si reutilizas una contraseña y alguno de los sitios sufre una brecha, los atacantes probarán esa misma contraseña en todas partes (relleno de credenciales). Usa una contraseña única para cada cuenta, por muy fuerte que sea cada una.
¿Por qué se penalizan las secuencias y las repeticiones?
Los atacantes no adivinan al azar; primero prueban diccionarios, patrones de teclado y sustituciones predecibles. 'abc123' o 'aaa' tienen mucha menos fortaleza real de la que sugiere su número bruto de caracteres, así que el verificador baja su puntuación para reflejar cómo abordaría realmente la contraseña un atacante.

Acerca de Verificador de Fortaleza de Contraseñas

La fortaleza depende sobre todo de la entropía, no de marcar casillas. La entropía se calcula a partir de la longitud de la contraseña y del tamaño del conjunto de caracteres del que se nutre (las minúsculas añaden 26 posibilidades por carácter, las mayúsculas otras 26, los dígitos 10 y los símbolos unos 33). Más larga supera a más compleja: una frase de contraseña larga formada por palabras corrientes suele tener más entropía, y es mucho más fácil de recordar, que una cadena corta de símbolos aleatorios. El verificador también penaliza las debilidades que la entropía bruta pasa por alto, como ser una contraseña común conocida, contener una secuencia directa como 'abc' o '123', o repetir el mismo carácter tres o más veces.

La estimación del tiempo de descifrado supone un ataque sin conexión realista de unos diez mil millones de intentos por segundo contra un hash rápido. Es un buen punto de referencia, pero trátalo como un orden de magnitud y no como una promesa: un hash lento como bcrypt hace que los ataques sean mucho más lentos, mientras que una base de datos de texto plano filtrada deja sin valor cualquier contraseña. El hábito más sólido que existe es una contraseña larga y única por sitio, idealmente generada y guardada por un gestor de contraseñas.

El consejo sobre contraseñas que cambió

Durante años, las directrices oficiales impulsaron reglas de complejidad: al menos una letra mayúscula, un dígito, un símbolo y un cambio forzado cada 90 días. En 2017, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) revirtió gran parte de eso en su Special Publication 800-63B. La investigación demostró que la complejidad forzada empujaba a la gente hacia patrones predecibles como 'Password1!' y que la caducidad programada les hacía elegir variantes más débiles y de incremento progresivo.

La recomendación moderna es más sencilla: favorecer la longitud, permitir frases de contraseña largas y espacios, comparar las contraseñas nuevas con listas de las ya filtradas y dejar de forzar cambios rutinarios salvo que haya indicios de compromiso. La famosa tira cómica de xkcd 'correct horse battery staple' captó la idea años antes: cuatro palabras comunes aleatorias son fáciles de recordar para una persona y difíciles de adivinar para un ordenador, que es de lo que va todo esto.

Publicidad
Publicidad
Publicidad