Medidor de contraseñas

// Medidor de contraseñas

Tu contraseña nunca sale de tu navegador. El análisis de fortaleza se realiza completamente en tu dispositivo. La verificación de filtraciones solo envía un hash parcial — tu contraseña real nunca se transmite.

Consejos

Usa al menos 12 caracteres

Mezcla mayúsculas, minúsculas, números y símbolos

Usa una contraseña única para cada cuenta

Generador de contraseñas →

Cómo se mide la fortaleza de una contraseña

La fortaleza de una contraseña se mide en bits de entropía — una representación matemática de qué tan impredecible es una contraseña. La fórmula considera el tamaño del conjunto de caracteres (minúsculas, mayúsculas, dígitos, símbolos) elevado a la potencia de la longitud de la contraseña. Mayor entropía significa más combinaciones posibles que un atacante debe intentar.

Por ejemplo, una contraseña que usa solo letras minúsculas (26 caracteres) tiene aproximadamente 4,7 bits de entropía por carácter. Agregar mayúsculas (52 en total) da 5,7 bits. Incluir dígitos y símbolos (95+ caracteres) hace que cada carácter aporte aproximadamente 6,6 bits. Una contraseña de 16 caracteres con el conjunto completo de caracteres produce más de 100 bits de entropía — prácticamente irrompible por fuerza bruta.

Verificación en Have I Been Pwned

Esta herramienta verifica tu contraseña en la base de datos de Have I Been Pwned, que contiene más de 700 millones de contraseñas comprometidas, utilizando k-anonimato. Solo los primeros 5 caracteres del hash SHA-1 son enviados — la contraseña completa nunca sale de tu navegador. Si se encuentra una coincidencia, tu contraseña apareció en una filtración de datos conocida y debe cambiarse de inmediato.

FAQ

¿Qué es la entropía de una contraseña?

La entropía mide la imprevisibilidad de una contraseña en bits. Cada bit duplica el número de combinaciones posibles. Una contraseña con 60 bits de entropía tiene 2^60 (aproximadamente un quintillón) de combinaciones posibles, lo que hace que los ataques de fuerza bruta sean poco prácticos.

¿Cómo protege mi privacidad la verificación de filtraciones?

Usamos k-anonimato: tu contraseña se hashea con SHA-1 localmente, y solo los primeros 5 caracteres del hash se envían a la API. El servidor devuelve todos los hashes que comienzan con esos 5 caracteres, y la comparación ocurre completamente en tu navegador.

¿Es preciso el "tiempo para descifrar"?

Es una estimación que asume 10 mil millones de intentos por segundo (una tasa realista para clústeres modernos de GPU). El tiempo real de descifrado depende del método de ataque, el hardware y si tu contraseña coincide con patrones comunes.

Mi contraseña no fue encontrada en filtraciones — ¿está segura?

No necesariamente. Que no se haya encontrado significa que no ha aparecido en filtraciones públicas conocidas. Aun así podría ser vulnerable a ataques de diccionario, reconocimiento de patrones o intentos dirigidos. Siempre apunta a una alta entropía.