Generador Contraseñas

La herramienta genera contraseñas usando la API Web Crypto (crypto.getRandomValues()), que proporciona aleatoriedad criptográficamente segura respaldada por la entropía del sistema operativo: • Longitud configurable — De 4 a 128 caracteres. Se recomienda un mínimo de 12 caracteres para cuentas personales y 16+ para cuentas críticas (email principal, banca, servidores). • Juegos de caracteres — Mayúsculas (A-Z), minúsculas (a-z), dígitos (0-9) y símbolos (!@#$%^&*). Cada juego activado aumenta el tamaño del pool de caracteres y por tanto la entropía por carácter. • Exclusión de ambiguos — Opción para excluir caracteres visualmente similares (0/O, 1/l/I) que causan errores al transcribir contraseñas manualmente. • Garantía de representación — El generador asegura que al menos un carácter de cada juego activado aparezca en la contraseña final, evitando que una contraseña "aleatoria" termine siendo solo letras por casualidad. • Selección imparcial — Se usa rejection sampling para eliminar el sesgo modular. Esto garantiza que cada carácter del pool tenga exactamente la misma probabilidad de ser seleccionado, sin favorecer los primeros caracteres del conjunto.

Las frases de paso combinan varias palabras aleatorias separadas por un carácter delimitador. Son más fáciles de recordar que contraseñas aleatorias y pueden ser igual de seguras: • Diccionario de 1024 palabras — La herramienta selecciona palabras de un diccionario de 1024 palabras comunes en inglés. Cada palabra aporta 10 bits de entropía (log₂ 1024 = 10). • Entropía por número de palabras: - 3 palabras = 30 bits (insuficiente) - 4 palabras = 40 bits (mínimo aceptable) - 5 palabras = 50 bits (bueno para uso personal) - 6 palabras = 60 bits (recomendado) - 7 palabras = 70 bits (excelente) - 8+ palabras = 80+ bits (máxima seguridad) • Separadores — Guión (-), punto (.), guión bajo (_), espacio o sin separador. El separador añade una cantidad trivial de entropía adicional pero mejora significativamente la legibilidad. • Capitalización — Opción para capitalizar la primera letra de cada palabra, lo que facilita la lectura y puede ser requerido por algunos sistemas que exigen mayúsculas. • Ventaja sobre contraseñas aleatorias — Una frase de 5 palabras como "Tiger-Maple-Crown-Drift-Noble" tiene ~50 bits de entropía y es mucho más fácil de recordar que "xK#9mP$2qR" con entropía similar. Para memorización humana, las frases de paso son superiores.

El analizador evalúa cualquier contraseña sin enviarla a ningún servidor. El análisis incluye: • Entropía (bits) — Medida de la incertidumbre: cuántas posibilidades tendría que probar un atacante en promedio. Se calcula como longitud × log₂(pool), ajustado por patrones detectados. Referencia: 40 bits es el mínimo aceptable, 60 bits es bueno, 80+ bits es excelente. • Tamaño del pool — Número de caracteres posibles según los tipos detectados (mayúsculas=26, minúsculas=26, dígitos=10, símbolos≈32). • Detección de patrones: - Contraseñas comunes (top 100: password, 123456, qwerty…) - Caracteres repetidos (aaa, 111) - Secuencias (abc, 321, cba) - Secuencias de teclado (qwerty, asdf, zxcv) - Patrones de año (1990, 2024) - Un solo tipo de carácter • Puntuación 0-4 — De "Muy débil" a "Muy fuerte", basada en la entropía efectiva después de penalizar patrones: - 0 (Muy débil): < 25 bits o contraseña común - 1 (Débil): 25-40 bits - 2 (Aceptable): 40-60 bits - 3 (Fuerte): 60-80 bits - 4 (Muy fuerte): 80+ bits

La herramienta estima cuánto tardaría un atacante en adivinar la contraseña bajo tres escenarios: • Online (1.000 intentos/segundo) — Ataque remoto contra un servicio web con rate limiting básico. Representa el escenario más optimista para el defensor. Una contraseña con 40 bits de entropía resistiría ~35 años de ataque online continuo. • Offline rápido (10.000 millones/segundo) — Ataque contra un hash robado (MD5, SHA1 sin salt) usando hardware dedicado. Este es el escenario más común en filtraciones de bases de datos. 60 bits de entropía = ~36 años. Con hashes seguros (bcrypt, Argon2), este número se multiplica por miles. • GPU cluster (10 billones/segundo) — Ataque con un cluster moderno de GPUs contra hashes rápidos. Representa el peor escenario realista. 80 bits de entropía resiste incluso este escenario durante miles de millones de años. Estos tiempos asumen fuerza bruta pura (probar todas las combinaciones). Los ataques de diccionario, reglas y rainbow tables pueden ser significativamente más rápidos contra contraseñas basadas en palabras comunes o patrones predecibles, lo que refuerza la importancia de usar contraseñas verdaderamente aleatorias.