Guía de Análisis de Fortaleza de Contraseña: Evalúa y Genera Contraseñas Seguras
Tres Dimensiones de la Fortaleza de Contraseña
La seguridad de una contraseña está determinada por tres dimensiones fundamentales:
1. Longitud
La longitud es el factor más importante. Cada carácter adicional multiplica los intentos de fuerza bruta por el tamaño del juego de caracteres.
| Longitud | Combinaciones Solo Dígitos | Tiempo de Descifrado (1B/seg) |
|---|---|---|
| 4 | 10,000 | Instantáneo |
| 6 | 1,000,000 | 0.001 seg |
| 8 | 100,000,000 | 0.1 seg |
| 12 | 1 billón | 17 min |
| 16 | 10 cuatrillones | 50 años |
| 20 | 100 quintillones | 30,000 años |
2. Tamaño del Juego de Caracteres
Un juego de caracteres más amplio significa más combinaciones por carácter:
| Juego de Caracteres | Caracteres Disponibles | Ejemplo |
|---|---|---|
| Solo dígitos | 10 | 0-9 |
| Minúsculas | 26 | a-z |
| Mayúsculas + minúsculas | 52 | a-z, A-Z |
| Mayúsculas + minúsculas + dígitos | 62 | a-z, A-Z, 0-9 |
| Juego completo | 95 | a-z, A-Z, 0-9, !@#$%... |
3. Entropía
La entropía mide matemáticamente la aleatoriedad de la contraseña:
Entropía (bits) = log₂(tamaño_juego_caracteres ^ longitud) = longitud × log₂(tamaño_juego_caracteres)
| Contraseña | Juego de Caracteres | Longitud | Entropía | Calificación |
|---|---|---|---|---|
123456 |
Dígitos | 6 | 19.9 bit | Muy débil |
abc123 |
Minúsculas+dígitos | 6 | 31.0 bit | Débil |
Abc123 |
Mixto+dígitos | 6 | 35.7 bit | Débil |
Kx9#mP2v |
Completo | 8 | 52.6 bit | Medio |
Kx9#mP2vLq5! |
Completo | 12 | 78.9 bit | Fuerte |
Kx9#mP2vLq5!nR8@ |
Completo | 16 | 105.2 bit | Muy fuerte |
Estándar de la industria: entropía ≥ 80 bit es fuerte, ≥ 100 bit es muy fuerte.
Métodos de Ataque Comunes
Fuerza Bruta
Probar todas las combinaciones posibles. Defensa:
- Aumentar la longitud y el juego de caracteres
- Usar bloqueo de cuenta y limitación de tasa
Ataque de Diccionario
Probar contraseñas comunes de diccionarios (ej., rockyou.txt con 14M de entradas). Defensa:
- Evitar contraseñas comunes (
123456,password,qwerty) - Evitar palabras del diccionario (
sunshine,iloveyou)
Ataque de Tabla Rainbow
Pre-calcular tablas hash para buscar contraseñas en reversa. Defensa:
- Hash con salt en el servidor (Salt + Hash)
- Usar algoritmos de hash lentos como Bcrypt
Relleno de Credenciales
Usar credenciales filtradas de un sitio para intentar iniciar sesión en otros. Defensa:
- Contraseña única por sitio
- Usar un gestor de contraseñas
Usar la Herramienta de Fortaleza de Contraseña
Paso 1: Abrir la Herramienta
Abre Fortaleza de Contraseña, escribe la contraseña a probar.
Paso 2: Revisar Resultados
La herramienta muestra en tiempo real:
- Calificación de fortaleza: Muy débil / Débil / Medio / Fuerte / Muy fuerte
- Entropía: En bits
- Análisis del juego de caracteres: Qué tipos de caracteres se usan
- Tiempo estimado de descifrado: Basado en diferentes velocidades de ataque
- Sugerencias de mejora: Cómo fortalecer la contraseña
Paso 3: Mejorar
Si la calificación es demasiado baja:
- Aumentar la longitud (más efectivo)
- Añadir tipos de caracteres faltantes
- Evitar patrones secuenciales y repetitivos
Usar el Generador de Contraseñas
Crear contraseñas fuertes manualmente es difícil. Usa el Generador de Contraseñas en su lugar:
Paso 1: Configurar
- Longitud: Se recomiendan 16-24 caracteres
- Juego de caracteres: Activar mayúsculas, minúsculas, dígitos, símbolos
- Excluir caracteres ambiguos: Como
0/O,1/l/I
Paso 2: Generar
Haz clic en "Generar" — produce múltiples contraseñas para elegir.
Paso 3: Verificar
Pega la contraseña generada en Fortaleza de Contraseña para confirmar que alcanza el nivel "Fuerte" o "Muy fuerte".
Mejores Prácticas de Seguridad de Contraseñas
1. Usar un Gestor de Contraseñas
- Generar contraseñas aleatorias únicas para cada sitio
- Recordar solo una contraseña maestra
- Recomendados: Bitwarden, 1Password, KeePass
2. Habilitar Autenticación de Dos Factores (2FA)
Incluso si la contraseña se filtra, 2FA bloquea el acceso no autorizado. Prefiere TOTP sobre verificación por SMS.
3. Verificar Filtraciones Regularmente
Usa servicios como Have I Been Pwned para comprobar si tu correo electrónico aparece en filtraciones de datos.
4. En el Servidor: Usar Bcrypt
Si eres desarrollador, siempre hashea las contraseñas con Bcrypt (con salt) antes de almacenarlas. Nunca almacenes contraseñas en texto plano.
Conceptos Erróneos Comunes
"Reglas complejas = contraseña fuerte"
Muchos sitios requieren mayúsculas+minúsculas+dígito+símbolo, pero P@ssw0rd cumple todas las reglas y sin embargo es descifrada trivialmente por ataques de diccionario. La longitud importa más que las reglas de complejidad.
"Reemplazar letras con símbolos es seguro"
Los patrones de sustitución de p@$$w0rd ya están cubiertos por las herramientas de ataque. No confíes en la sustitución simple de caracteres.
"Nunca cambiar mi contraseña está bien"
Si tu contraseña ha sido filtrada, no cambiarla significa que sigues expuesto. Verifica filtraciones regularmente y cámbiala inmediatamente si ha sido comprometida.
"Los verificadores de fortaleza filtran mi contraseña"
Fortaleza de Contraseña de ToolsKu se ejecuta completamente en tu navegador. Tu contraseña nunca se envía a ningún servidor.
Herramientas Relacionadas
- Fortaleza de Contraseña — Evalúa la seguridad de la contraseña
- Generador de Contraseñas — Genera contraseñas aleatorias fuertes
- Hash Bcrypt — Hash con salt para almacenamiento de contraseñas
Resumen
El núcleo de la seguridad de contraseñas es la entropía suficiente, determinada por la longitud y el tamaño del juego de caracteres. Usa Fortaleza de Contraseña para evaluar contraseñas existentes, Generador de Contraseñas para crear contraseñas fuertes, y combina con un gestor de contraseñas y 2FA para una seguridad de cuenta completa. Recuerda: longitud primero, única por sitio, procesamiento local, hash con salt en el servidor.