Verificador de Contraseñas
Analizar entropía de contraseñas, tiempo estimado de descifrado y patrones de vulnerabilidad.
Cómo se mide la fuerza de una contraseña
Los medidores de contraseñas tradicionales verifican mayúsculas, minúsculas, dígitos y símbolos. Este enfoque es fundamentalmente erróneo porque 'P@ssw0rd!' pasa todas las reglas pero aparece en la mayoría de las listas de contraseñas filtradas. Los atacantes reales usan diccionarios, bases de datos de patrones y tablas de sustitución l33t, no reglas de clases de caracteres.
zxcvbn, la biblioteca que impulsa esta herramienta, fue desarrollada por el equipo de seguridad de Dropbox y toma un enfoque diferente. Descompone una contraseña en los patrones que un atacante realmente explotaría: palabras de diccionario, recorridos de teclado ('qwerty'), fechas, secuencias repetidas y sustituciones comunes. Luego estima el número de intentos necesarios y lo traduce en un tiempo de descifrado basado en velocidades de ataque realistas.
La entropía, mostrada en bits, representa la aleatoriedad teórica de su contraseña. Mayor entropía significa más combinaciones posibles que un atacante debe probar. Una contraseña verdaderamente aleatoria de 20 caracteres de un gestor de contraseñas típicamente tiene 120+ bits de entropía, mientras que la contraseña promedio elegida por el usuario tiene 20-40 bits. La diferencia entre estos dos números explica por qué los profesionales de seguridad recomiendan consistentemente los gestores de contraseñas.
Preguntas frecuentes
¿Cómo funciona este verificador de contraseñas?
Esta herramienta utiliza zxcvbn, un estimador de fuerza de contraseñas de código abierto desarrollado por Dropbox. En lugar de basarse en reglas simples como longitud mínima o caracteres especiales obligatorios, zxcvbn analiza su contraseña buscando patrones comunes como palabras de diccionario, secuencias de teclado, caracteres repetidos, sustituciones l33t y contraseñas filtradas conocidas. Estima cuánto tiempo necesitaría un atacante real para descifrarla.
¿Se envía mi contraseña a un servidor?
No. Todo el análisis se ejecuta en su navegador usando JavaScript. Su contraseña nunca sale de su dispositivo, nunca se transmite por la red y nunca se almacena en cookies, almacenamiento local ni parámetros de URL. Puede verificarlo desconectándose de Internet y usando la herramienta sin conexión.
¿Qué puntuación de fuerza de contraseña es buena?
Puntuación 4 (muy fuerte) significa un tiempo estimado de más de 10 años para descifrar incluso con hardware dedicado. Puntuación 3 (fuerte) significa meses a años. Todo lo que esté por debajo de 3 debería mejorarse. Tenga en cuenta que zxcvbn evalúa patrones de ataque reales, por lo que una puntuación de 4 es un indicador mucho más fiable que pasar reglas de complejidad arbitrarias.
¿Por qué 'Tr0ub4dor&3' no es una contraseña fuerte?
Las sustituciones comunes de letras por números (a por @, o por 0, e por 3) son bien conocidas por los atacantes y están entre los primeros patrones que prueban. El cómic xkcd #936 lo ilustró perfectamente: a pesar de parecer complejo, 'Tr0ub4dor&3' tiene aproximadamente 28 bits de entropía, mientras que una frase de contraseña como 'correct horse battery staple' tiene unos 44 bits y es más fácil de recordar.
¿Qué hace que una contraseña sea fuerte?
La longitud es lo más importante. Una contraseña de 16+ caracteres usando palabras aleatorias (una frase de contraseña) es fuerte y memorable a la vez. Evite palabras de diccionario solas, información personal (nombres, cumpleaños), patrones de teclado (qwerty, 12345) y sustituciones comunes. Una contraseña verdaderamente aleatoria de un gestor de contraseñas es el estándar de oro, pero una frase de 4-5 palabras es una alternativa práctica.