Verificador de Fortaleza de Contraseñas
Comprueba lo fuerte que es una contraseña: entropía, tiempo estimado de descifrado y una lista de comprobación clara, todo verificado localmente en tu navegador.
Cargando Verificador de Fortaleza de Contraseñas… Si no ocurre nada, activa JavaScript.
Un verificador de fortaleza de contraseñas estima lo difícil que sería adivinar una contraseña. Este mide la entropía de la contraseña en bits, la convierte en un tiempo estimado para que un atacante sin conexión la descifre y muestra una lista sencilla de lo que está bien y lo que falta. Se actualiza mientras escribes y funciona enteramente en tu navegador, así que la contraseña que pruebas nunca se transmite ni se almacena en ningún sitio.
Preguntas frecuentes
¿Se envía mi contraseña a algún sitio?
¿Qué significa 'entropía en bits'?
¿Por qué una frase de contraseña larga suele ser más fuerte que una contraseña corta y compleja?
¿Cómo se estima el tiempo de descifrado?
El verificador dice que mi contraseña es fuerte. ¿Puedo reutilizarla sin problema?
¿Por qué se penalizan las secuencias y las repeticiones?
Acerca de Verificador de Fortaleza de Contraseñas
La fortaleza depende sobre todo de la entropía, no de marcar casillas. La entropía se calcula a partir de la longitud de la contraseña y del tamaño del conjunto de caracteres del que se nutre (las minúsculas añaden 26 posibilidades por carácter, las mayúsculas otras 26, los dígitos 10 y los símbolos unos 33). Más larga supera a más compleja: una frase de contraseña larga formada por palabras corrientes suele tener más entropía, y es mucho más fácil de recordar, que una cadena corta de símbolos aleatorios. El verificador también penaliza las debilidades que la entropía bruta pasa por alto, como ser una contraseña común conocida, contener una secuencia directa como 'abc' o '123', o repetir el mismo carácter tres o más veces.
La estimación del tiempo de descifrado supone un ataque sin conexión realista de unos diez mil millones de intentos por segundo contra un hash rápido. Es un buen punto de referencia, pero trátalo como un orden de magnitud y no como una promesa: un hash lento como bcrypt hace que los ataques sean mucho más lentos, mientras que una base de datos de texto plano filtrada deja sin valor cualquier contraseña. El hábito más sólido que existe es una contraseña larga y única por sitio, idealmente generada y guardada por un gestor de contraseñas.
El consejo sobre contraseñas que cambió
Durante años, las directrices oficiales impulsaron reglas de complejidad: al menos una letra mayúscula, un dígito, un símbolo y un cambio forzado cada 90 días. En 2017, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) revirtió gran parte de eso en su Special Publication 800-63B. La investigación demostró que la complejidad forzada empujaba a la gente hacia patrones predecibles como 'Password1!' y que la caducidad programada les hacía elegir variantes más débiles y de incremento progresivo.
La recomendación moderna es más sencilla: favorecer la longitud, permitir frases de contraseña largas y espacios, comparar las contraseñas nuevas con listas de las ya filtradas y dejar de forzar cambios rutinarios salvo que haya indicios de compromiso. La famosa tira cómica de xkcd 'correct horse battery staple' captó la idea años antes: cuatro palabras comunes aleatorias son fáciles de recordar para una persona y difíciles de adivinar para un ordenador, que es de lo que va todo esto.