Guía de Análisis de Fortaleza de Contraseña: Evalúa y Genera Contraseñas Seguras

Codificación

Tres Dimensiones de la Fortaleza de Contraseña

La seguridad de una contraseña está determinada por tres dimensiones fundamentales:

1. Longitud

La longitud es el factor más importante. Cada carácter adicional multiplica los intentos de fuerza bruta por el tamaño del juego de caracteres.

Longitud Combinaciones Solo Dígitos Tiempo de Descifrado (1B/seg)
4 10,000 Instantáneo
6 1,000,000 0.001 seg
8 100,000,000 0.1 seg
12 1 billón 17 min
16 10 cuatrillones 50 años
20 100 quintillones 30,000 años

2. Tamaño del Juego de Caracteres

Un juego de caracteres más amplio significa más combinaciones por carácter:

Juego de Caracteres Caracteres Disponibles Ejemplo
Solo dígitos 10 0-9
Minúsculas 26 a-z
Mayúsculas + minúsculas 52 a-z, A-Z
Mayúsculas + minúsculas + dígitos 62 a-z, A-Z, 0-9
Juego completo 95 a-z, A-Z, 0-9, !@#$%...

3. Entropía

La entropía mide matemáticamente la aleatoriedad de la contraseña:

Entropía (bits) = log₂(tamaño_juego_caracteres ^ longitud) = longitud × log₂(tamaño_juego_caracteres)
Contraseña Juego de Caracteres Longitud Entropía Calificación
123456 Dígitos 6 19.9 bit Muy débil
abc123 Minúsculas+dígitos 6 31.0 bit Débil
Abc123 Mixto+dígitos 6 35.7 bit Débil
Kx9#mP2v Completo 8 52.6 bit Medio
Kx9#mP2vLq5! Completo 12 78.9 bit Fuerte
Kx9#mP2vLq5!nR8@ Completo 16 105.2 bit Muy fuerte

Estándar de la industria: entropía ≥ 80 bit es fuerte, ≥ 100 bit es muy fuerte.


Métodos de Ataque Comunes

Fuerza Bruta

Probar todas las combinaciones posibles. Defensa:

  • Aumentar la longitud y el juego de caracteres
  • Usar bloqueo de cuenta y limitación de tasa

Ataque de Diccionario

Probar contraseñas comunes de diccionarios (ej., rockyou.txt con 14M de entradas). Defensa:

  • Evitar contraseñas comunes (123456, password, qwerty)
  • Evitar palabras del diccionario (sunshine, iloveyou)

Ataque de Tabla Rainbow

Pre-calcular tablas hash para buscar contraseñas en reversa. Defensa:

  • Hash con salt en el servidor (Salt + Hash)
  • Usar algoritmos de hash lentos como Bcrypt

Relleno de Credenciales

Usar credenciales filtradas de un sitio para intentar iniciar sesión en otros. Defensa:

  • Contraseña única por sitio
  • Usar un gestor de contraseñas

Usar la Herramienta de Fortaleza de Contraseña

Paso 1: Abrir la Herramienta

Abre Fortaleza de Contraseña, escribe la contraseña a probar.

Paso 2: Revisar Resultados

La herramienta muestra en tiempo real:

  • Calificación de fortaleza: Muy débil / Débil / Medio / Fuerte / Muy fuerte
  • Entropía: En bits
  • Análisis del juego de caracteres: Qué tipos de caracteres se usan
  • Tiempo estimado de descifrado: Basado en diferentes velocidades de ataque
  • Sugerencias de mejora: Cómo fortalecer la contraseña

Paso 3: Mejorar

Si la calificación es demasiado baja:

  • Aumentar la longitud (más efectivo)
  • Añadir tipos de caracteres faltantes
  • Evitar patrones secuenciales y repetitivos

Usar el Generador de Contraseñas

Crear contraseñas fuertes manualmente es difícil. Usa el Generador de Contraseñas en su lugar:

Paso 1: Configurar

  • Longitud: Se recomiendan 16-24 caracteres
  • Juego de caracteres: Activar mayúsculas, minúsculas, dígitos, símbolos
  • Excluir caracteres ambiguos: Como 0/O, 1/l/I

Paso 2: Generar

Haz clic en "Generar" — produce múltiples contraseñas para elegir.

Paso 3: Verificar

Pega la contraseña generada en Fortaleza de Contraseña para confirmar que alcanza el nivel "Fuerte" o "Muy fuerte".


Mejores Prácticas de Seguridad de Contraseñas

1. Usar un Gestor de Contraseñas

  • Generar contraseñas aleatorias únicas para cada sitio
  • Recordar solo una contraseña maestra
  • Recomendados: Bitwarden, 1Password, KeePass

2. Habilitar Autenticación de Dos Factores (2FA)

Incluso si la contraseña se filtra, 2FA bloquea el acceso no autorizado. Prefiere TOTP sobre verificación por SMS.

3. Verificar Filtraciones Regularmente

Usa servicios como Have I Been Pwned para comprobar si tu correo electrónico aparece en filtraciones de datos.

4. En el Servidor: Usar Bcrypt

Si eres desarrollador, siempre hashea las contraseñas con Bcrypt (con salt) antes de almacenarlas. Nunca almacenes contraseñas en texto plano.


Conceptos Erróneos Comunes

"Reglas complejas = contraseña fuerte"

Muchos sitios requieren mayúsculas+minúsculas+dígito+símbolo, pero P@ssw0rd cumple todas las reglas y sin embargo es descifrada trivialmente por ataques de diccionario. La longitud importa más que las reglas de complejidad.

"Reemplazar letras con símbolos es seguro"

Los patrones de sustitución de p@$$w0rd ya están cubiertos por las herramientas de ataque. No confíes en la sustitución simple de caracteres.

"Nunca cambiar mi contraseña está bien"

Si tu contraseña ha sido filtrada, no cambiarla significa que sigues expuesto. Verifica filtraciones regularmente y cámbiala inmediatamente si ha sido comprometida.

"Los verificadores de fortaleza filtran mi contraseña"

Fortaleza de Contraseña de ToolsKu se ejecuta completamente en tu navegador. Tu contraseña nunca se envía a ningún servidor.


Herramientas Relacionadas


Resumen

El núcleo de la seguridad de contraseñas es la entropía suficiente, determinada por la longitud y el tamaño del juego de caracteres. Usa Fortaleza de Contraseña para evaluar contraseñas existentes, Generador de Contraseñas para crear contraseñas fuertes, y combina con un gestor de contraseñas y 2FA para una seguridad de cuenta completa. Recuerda: longitud primero, única por sitio, procesamiento local, hash con salt en el servidor.

#密码强度#安全##字典攻击#暴力破解