¿Por qué generar las contraseñas en local?
Un generador en servidor ha visto tu contraseña por definición. Este usa el generador criptográfico del navegador, el mismo que los sitios bancarios: la página funciona incluso sin conexión.
Qué hace que una contraseña sea fuerte en la práctica
- La longitud supera a la astucia. Una contraseña aleatoria de 20 caracteres es astronómicamente más fuerte que una "ingeniosa" de 10. Cada carácter adicional multiplica el trabajo de un atacante.
- La aleatoriedad supera a la memorabilidad. Los humanos somos malos generadores de aleatoriedad - los patrones, fechas y sustituciones (p@ssw0rd) son lo primero que prueban las herramientas de cracking.
- La unicidad supera a todo. El vector de ataque más común es una contraseña reutilizada. Usa un gestor de contraseñas y una contraseña aleatoria diferente por sitio.
Qué significa el número de entropía
La entropía (en bits) mide cuántos intentos necesita un atacante: cada bit adicional duplica el trabajo. Como regla general, 80+ bits es fuerte para cuentas online y 100+ bits es prácticamente imposible de descifrar con el hardware actual.
FAQ
Generador de contraseñas: ¿mis datos se envían a un servidor?
- No. No hay ninguna solicitud de red implicada en su generación - puedes verificarlo observando la pestaña de red en las herramientas de desarrollo de tu navegador.
¿Se usa Math.random()?
- No - eso no es criptográficamente seguro. Esta herramienta usa
crypto.getRandomValuescon rejection sampling para evitar sesgos estadísticos. ¿Debo excluir los caracteres similares?
- Si alguna vez vas a leer o escribir la contraseña manualmente, sí. Si reside en un gestor de contraseñas, puedes incluirlos para un pool de caracteres ligeramente mayor.