¿Qué es Verificador de seguridad de contraseñas?

Un verificador de seguridad de contraseñas analiza tu contraseña en tiempo real para evaluar su resistencia a intentos de descifrado. Comprueba patrones comunes, palabras de diccionario y entropía para darte una puntuación de seguridad precisa. Úsalo para asegurarte de que tus contraseñas cumplen con los estándares de seguridad actuales.

El analizador usa zxcvbn, la misma librería que Dropbox liberó como código abierto, con 30.000 contraseñas comunes, bases de filtraciones, diccionarios en inglés y de apellidos, y patrones predecibles como fechas, recorridos de teclado o sustituciones tipo l33t. Da una puntuación 0-4 y tiempos de crackeo en cuatro escenarios, desde ataque online lento hasta granjas GPU offline.

Cómo usar

1. Escribe o pega tu contraseña en el campo de entrada para iniciar el análisis
2. Revisa la puntuación de seguridad, el tiempo estimado de descifrado y los comentarios específicos sobre las debilidades
3. Mejora tu contraseña siguiendo las sugerencias hasta alcanzar una calificación de fuerte o muy fuerte

Cuándo usar

• Comprobar una contraseña memorable antes de fijarla como maestra del gestor de contraseñas.
• Poner a prueba la política de contraseñas del trabajo: ¿'EmpresaSA2024!' supera realmente vuestro listón?
• Enseñar a un familiar poco técnico por qué la contraseña con el nombre de su mascota es débil.

Resultado

Ingresa 'Tr0ub4dor&3' para ver que obtiene una puntuación moderada — aunque usa caracteres mixtos, sigue un patrón de sustitución predecible. Compáralo con una frase aleatoria como 'correct-horse-battery-staple', que obtiene una puntuación más alta a pesar de usar solo letras minúsculas y guiones.

Preguntas frecuentes

¿Qué significa cada puntuación de 0 a 4?

0 es adivinable al instante por cualquier ataque online. 1 aguanta horas online, segundos offline. 2 resiste online pero cae offline. 3 es razonable. 4 tarda siglos incluso contra una granja GPU probando 10 mil millones por segundo.

¿Por qué 'Tr0ub4dor&3' puntúa peor que 'correct horse battery staple'?

La primera sigue un patrón conocido: palabra de diccionario + sustituciones previsibles (0 por o, 4 por a) + símbolo + dígito. Las listas de reglas de los atacantes prueban estas combinaciones primero. Cuatro palabras aleatorias dan más entropía porque hay muchísimas más combinaciones de 4 palabras que de sustituciones.

¿La contraseña sale de mi equipo cuando la escribo aquí?

El cálculo de fuerza corre por completo en tu dispositivo, en el JavaScript de esta página, y no dispara ninguna petición de red mientras escribes. La única excepción opcional es la comprobación de filtraciones: si la pulsas, solo se envían los primeros 5 caracteres del hash SHA-1 de la contraseña (k-anonymity), así que la contraseña nunca sale del campo. Nada queda registrado al cerrar la pestaña.

Me avisa de que mi contraseña está en una filtración, ¿es fiable?

Hay dos capas. El aviso instantáneo viene de la lista interna de zxcvbn con las 30.000 contraseñas más usadas de filtraciones como RockYou, comparada sin conexión. Para una respuesta en vivo, pulsa Buscar en filtraciones: consulta la base de HaveIBeenPwned con k-anonymity (solo envía los primeros 5 caracteres del hash) y te dice cuántas veces ha aparecido la contraseña en filtraciones reales.

¿Qué escenario de tiempo de crackeo debo mirar?

Para la mayoría de cuentas, el dato 'offline slow hashing' es el relevante porque es lo que pasa cuando una base de datos se filtra y los atacantes lanzan hashcat. Apunta al menos a 'siglos', lo que suele exigir nivel 3-4 con 12+ caracteres.

Herramientas relacionadas