Verificador de Fortaleza de Contraseña

Entropía estimada y tiempo de descifrado para cualquier contraseña.

Nada de lo que escribas se envía al servidor — todo corre en tu navegador.

Entropía
Tiempo de ataque offline
Calificación

    Qué hace fuerte a una contraseña

    La fortaleza se mide en bits de entropía — aproximadamente, cuántos intentos necesita un atacante para forzar la contraseña por fuerza bruta. Cada bit adicional duplica los intentos. Cualquier cosa por debajo de 40 bits es débil; 60+ es seguro contra ataques sin conexión; 80+ es excesivo para la mayoría de los propósitos.

    La longitud gana a la complejidad. "correct horse battery staple" — cuatro palabras comunes aleatorias — tiene más entropía y es más fácil de recordar que "P@ssw0rd!" Esta última cumple con cada regla de "mezclar símbolos" pero está en todos los diccionarios de crackeo. Mejor: usa un gestor de contraseñas para generar cadenas aleatorias únicas de 20 caracteres para cada cuenta. Solo tienes que recordar la contraseña maestra del gestor.

    Frequently asked questions

    ¿Cómo se mide la fortaleza de una contraseña?
    Entropía en bits. Cada bit adicional duplica el número de intentos requeridos. Una contraseña con 40 bits de entropía toma aproximadamente un billón de intentos para forzarla por fuerza bruta. Por debajo de 30 bits es débil; 60+ es fuerte; 80+ es excesivo para la mayoría de los propósitos de consumidor. La entropía depende de la longitud y la variedad del conjunto de caracteres.
    ¿Es "P@ssw0rd!" una contraseña fuerte?
    No. Tiene entropía decente en papel pero está en todos los diccionarios de crackeo de contraseñas — el patrón de "agregar números y puntuación a palabras comunes" es lo primero que intentan los atacantes. La verdadera aleatoriedad importa más que la mezcla del conjunto de caracteres. Una frase de contraseña aleatoria de 6 palabras (usando diceware o similar) le gana fácilmente.
    ¿Qué es lo que realmente rompe las contraseñas?
    Tres ataques, en orden aproximado: (1) relleno de credenciales — los atacantes reutilizan contraseñas filtradas en otros sitios, por eso las contraseñas nunca reutilizadas importan más que las fuertes; (2) phishing — engañarte para que la escribas en algún sitio; (3) fuerza bruta — solo relevante para contraseñas débiles o ataques sin conexión sobre hashes robados. Un gestor de contraseñas más 2FA derrotan a 1 y 2.
    ¿Debería usar un gestor de contraseñas?
    Sí, sin ambigüedad. Los gratuitos (Bitwarden, KeePass) son excelentes. Un gestor de contraseñas te permite usar contraseñas aleatorias únicas de 20 caracteres en todas partes sin tener que recordar ninguna. Combinado con 2FA por hardware (YubiKey) o TOTP (Authy/Google Authenticator), esto derrota a más del 99% de los ataques del mundo real.

    Pago de Tarjeta de Crédito

    Meses para liquidar e intereses totales, de dos maneras.

    Calculadora de Salario

    Salario neto después de impuestos federales, FICA y estatales.

    Refinanciar Hipoteca

    ¿Cuándo cubren los ahorros mensuales los costos de cierre?