Verificador de Fortaleza de Contraseñas
Estima la entropía de una contraseña y cuánto tiempo tardaría en ser atacada por fuerza bruta. 100% local: nada se sube.
Respuesta rápida: Estima la entropía de una contraseña y cuánto tiempo tardaría en ser atacada por fuerza bruta. 100% local: nada se sube.
Última actualización
Preguntas frecuentes
- ¿Cómo se mide la fuerza de una contraseña?
- Multiplicamos la longitud de la contraseña por log₂ del tamaño del alfabeto que utilizaste (26+26+10+32 si usaste las cuatro clases). El resultado es la entropía en bits: 80+ es fuerte, 100+ es irrompible en cualquier plazo práctico.
- ¿Se envía mi contraseña a algún lugar para verificarla?
- No. La puntuación se calcula en JavaScript en tu máquina. La contraseña no se envía a ningún servidor, no se almacena en ninguna cookie y nunca se compara con ninguna base de datos de filtraciones en línea.
- ¿Verifica HaveIBeenPwned?
- No, intencionadamente. Incluso la API de k-anonymity requiere enviar un prefijo de hash; no queremos hacer ninguna llamada de red desde un campo de contraseña. Usa 1Password o HIBP directamente si necesitas una verificación de filtraciones.
- ¿Qué significa la estimación del tiempo de ruptura?
- Es el tiempo para agotar el espacio de claves a 10¹¹ intentos por segundo, una tasa realista de GPU fuera de línea contra un hash de una sola iteración. Los ataques en línea contra formularios de inicio de sesión limitados por tasa son millones de veces más lentos.
- ¿Por qué mi contraseña larga tiene una puntuación 'débil'?
- Porque probablemente utiliza solo una clase de caracteres. 'aaaaaaaaaaaaaaaa' tiene 16 caracteres pero solo ~75 bits de entropía como máximo; en la práctica, la entropía está cerca de cero porque son todos iguales. Mezcla mayúsculas/dígitos/símbolos o usa una frase de contraseña.
- ¿Es la puntuación la misma que zxcvbn?
- Es una heurística más simple y rápida en el mismo espíritu. zxcvbn penaliza adicionalmente palabras del diccionario, fechas y l33tspeak: sus puntuaciones son ligeramente más bajas para contraseñas elegidas por humanos. Para contraseñas aleatorias, ambas coinciden estrechamente.
- ¿Cuál es un objetivo seguro de entropía?
- 80 bits es el mínimo moderno. 100 bits es suficiente para cualquier cosa sensible. 128 bits es excesivo fuera del material de clave criptográfica.
- ¿Esto funciona para frases de contraseña?
- Parcialmente. El verificador asume que la contraseña es una cadena aleatoria de un alfabeto de caracteres. Una frase de contraseña de 6 palabras de Diceware tiene ~77 bits de entropía pero obtendrá una puntuación más baja aquí porque la calificamos como si hubieras elegido caracteres individuales.
- ¿Por qué mi contraseña está marcada como común?
- Porque aparece en la pequeña lista incorporada de las 20 contraseñas más comunes filtradas (contraseña, 123456, qwerty, etc.). Incluso si de otro modo tendría una buena puntuación, los atacantes intentan estas primero.
- ¿Debería rotar contraseñas fuertes periódicamente?
- La orientación moderna (NIST SP 800-63B) es no: solo rota después de un compromiso conocido. La rotación periódica empuja a los usuarios hacia contraseñas más débiles y predecibles.