iGotTools

Generar contraseñas y tokens fuertes

Un generador de contraseñas fuertes que se ejecuta en tu navegador. Crea contraseñas, frases de acceso y tokens hex con Web Crypto y nunca envíes tu secreto a un servidor.

Una contraseña que puedes recordar suele ser una contraseña que alguien puede adivinar, y una contraseña reutilizada entre sitios es una filtración esperando a ocurrir. La solución es dejar que un generador cree secretos largos y aleatorios por ti y guardarlos en un gestor para no tener que recordarlos. El generador de contraseñas y tokens construye contraseñas, frases de acceso y tokens hexadecimales de forma local con Web Crypto, de modo que el valor se crea en tu dispositivo y nunca pasa por un servidor.

TL;DR

Puedes producir secretos fuertes y aleatorios sin confiarlos a ninguna web.

  • Tres modos en una sola herramienta — contraseñas, frases memorables y tokens hex para claves de API.
  • Nada se sube — la generación se ejecuta por completo en tu navegador mediante la API Web Crypto.
  • La fortaleza, a la vista — cada valor recibe una lectura de Fortaleza basada en entropía (Debil / Buena / Fuerte).

Qué hace fuerte a una contraseña

La fortaleza viene de dos cosas que trabajan juntas: longitud e imprevisibilidad. De las dos, la longitud importa mucho más que añadir símbolos.

  • La longitud es el factor dominante. Cada carácter extra multiplica las posibilidades que un atacante debe explorar. Una contraseña aleatoria de 16 caracteres es astronómicamente más difícil de romper que una de 8 caracteres ingeniosamente elegida. La guía de NIST apunta a secretos más largos; 15 o más caracteres es un mínimo razonable para cuentas importantes.
  • La aleatoriedad vence a la elección humana. La gente “añade un número y un símbolo” en sitios predecibles (Password1!), y los atacantes lo saben. La aleatoriedad real — cada carácter elegido de forma independiente — es lo que hace un valor difícil de adivinar.
  • La entropía lo mide. La entropía, en bits, es más o menos log2(tamaño del conjunto) × longitud. La herramienta la calcula por ti y la asigna a Debil / Buena / Fuerte. Más caracteres y un conjunto mayor suben la entropía.

La regla práctica: hazla larga, hazla aleatoria, hazla única por sitio y deja que un gestor la recuerde.

Contraseña frente a frase frente a token

El generador ofrece tres modos, y cada uno sirve para un trabajo distinto:

  • Contraseña — una cadena de caracteres aleatorios (minúsculas, mayúsculas, números, símbolos). Ideal cuando una máquina la guarda por ti. Larga y densa equivale a fuerte; el inconveniente es que no se puede teclear, lo cual no importa porque la pegarás.
  • Frase — varias palabras aleatorias unidas por un separador (por defecto -, por ejemplo canyon-ember-river-quartz). Cuatro o más palabras aleatorias son a la vez memorables y fuertes, porque la lista de palabras es grande y cada palabra añade entropía de peso. Es la mejor opción para una contraseña maestra o para lo que debas teclear y recordar.
  • Token — una cadena hexadecimal en minúsculas (los caracteres 0-9 y a-f). Los tokens son para secretos entre máquinas: claves de API, secretos de cliente, identificadores de sesión. No están pensados para que los teclee un humano, sino para copiarlos en un archivo de configuración.

Elige Contrasena para cuentas del día a día, Frase para algo que mantendrás en la cabeza y Token para credenciales de programas.

Paso a paso: generar un secreto

Abre el generador de contraseñas y tokens y sigue este flujo.

  1. Elige un modo. Arriba selecciona Contrasena, Token o Frase. Los controles de abajo cambian para coincidir.
  2. Define la forma.
    • En modo Contrasena, mueve el deslizador Longitud (4-128, por defecto 16) y activa los conjuntos de caracteres — Minusculas, Mayusculas, Numeros, Simbolos y Excluir caracteres ambiguos (que descarta parecidos como 0/O y 1/l).
    • En modo Token, define la Longitud (4-128, por defecto 32). Los tokens son siempre hex en minúsculas; no hay opciones de conjunto ni de formato.
    • En modo Frase, define Palabras (3-12, por defecto 4) y escribe un Separador (hasta 4 caracteres, por defecto -).
  3. Define la Cantidad (1-50) si quieres varios valores a la vez.
  4. Pulsa Generar. Los resultados aparecen en una lista. Cada valor muestra una etiqueta de Fortaleza — Debil, Buena o Fuerte — según su entropía.
  5. Copia lo que necesites. Usa Copiar por fila para tomar un valor, Regenerar para volver a dibujar una sola fila, Copiar todo para todo, o Borrar para empezar de nuevo.

Si tu navegador carece de Web Crypto (raro, pero posible en contextos inseguros), la herramienta desactiva la generación con un aviso en lugar de recurrir a una fuente aleatoria débil.

Por qué importa la generación local

Generar una contraseña “online” suele significar que el servidor del sitio la produce y te la envía de vuelta, lo que implica que el servidor la vio. Incluso los sitios honrados registran peticiones; los comprometidos o maliciosos pueden grabar cada valor que generan. Esa copia, alojada en algún registro, anula el propósito de una contraseña fuerte.

La API Web Crypto (crypto.getRandomValues) lo invierte: la aleatoriedad se produce dentro de tu navegador y el valor acabado va directo a tu portapapeles. No hay petición que transporte el secreto, ningún servidor que lo vea jamás ni entrada de registro que se filtre. Para algo con lo que confiarás una cuenta, esa es la propiedad que quieres.

Límites y honradez

Algunas restricciones que conviene conocer, para que la herramienta sea lo que esperas:

  • El modo Token es solo hex. Los tokens son siempre hexadecimales en minúsculas (0123456789abcdef). No hay opciones de mayúsculas, llaves ni guiones; si necesitas otro formato, transforma el hex después de copiar.
  • Las palabras de la frase vienen de una lista fija. La lista de 24 palabras es corta a propósito (palabras memorables), de modo que la entropía de la frase proviene sobre todo de la cantidad, no de un vocabulario enorme. Usa 4 o más palabras para algo delicado.
  • Rangos acotados. La cantidad llega hasta 50 por generación, y la longitud de contraseña/token va de 4 a 128. Cubren usos realistas; la herramienta no es una fábrica de secretos en masa.

Preguntas frecuentes

¿Es seguro generar contraseñas online?

Depende por completo de dónde ocurre la generación. Si un servidor construye la contraseña y la devuelve, ese servidor ha visto tu secreto y confías en que no lo registre ni filtre. Esta herramienta genera de forma local en tu navegador con Web Crypto, de modo que el valor se crea en tu dispositivo y nunca se transmite. Para credenciales, la generación local es el valor seguro por defecto.

¿Debo usar una frase o una contraseña?

Usa una frase cuando necesitas recordarla y teclearla tú mismo — una contraseña maestra, una frase para cifrar el disco, un inicio de sesión de dispositivo. Cuatro o más palabras aleatorias son memorables y fuertes. Usa una contraseña (caracteres aleatorios densos) cuando un gestor la guarda y solo la pegarás, ya que maximiza la entropía por carácter pero es imposible de memorizar.

¿Qué es un token frente a una contraseña?

Un token aquí es una cadena hexadecimal en minúsculas pensada para máquinas — una clave de API, un secreto de cliente, un identificador de sesión que pegas en un archivo de configuración. Una contraseña es una cadena de caracteres mixtos pensada (en su origen) para que los humanos se autentiquen. Los tokens son hex uniforme precisamente porque no hace falta teclearlos ni recordarlos, solo copiarlos.

¿Qué tan fuerte es suficientemente fuerte?

Para cuentas importantes, apunta a la banda Fuerte — más o menos 80 bits de entropía, que una contraseña de 16 caracteres con un conjunto completo o una frase de 5 a 6 palabras supera con holgura. Para inicios de sesión de bajo riesgo, Buena es aceptable. Evita Debil en lo que te importe; suele significar que el valor es demasiado corto o el conjunto de caracteres demasiado estrecho.

iGotTools

Comienza con esta herramienta

Empezar ahora