Password Generator

Cómo funciona este generador

Cada carácter se extrae de crypto.getRandomValues() — el mismo generador criptográfico que tu navegador usa para handshakes TLS. Aplicamos *rejection sampling* al mapear bytes aleatorios a índices de carácter, evitando el pequeño sesgo de byteAleatorio % tamañoDelSet que tienen muchos generadores.

Dos conjuntos de símbolos

El conjunto completo (!@#$%^&*()-_=+[]{};:,.<>?/|~\'\"\\) da más entropía por carácter, pero crea problemas: webs bancarias rechazan ciertos símbolos en silencio; teclados móviles hacen { y ~` molestos.

Por defecto usamos un conjunto seguro (!@#$%&*-_=+.?) que funciona en el 95% de los formularios. Activa "Conjunto extendido" si necesitas entropía máxima.

Qué significa "fuerte"

La barra de fuerza mide entropía de Shannon — bits de aleatoriedad. Cada bit duplica el número de intentos necesarios para fuerza bruta.

Nada se almacena

La contraseña generada vive solo en memoria del navegador. Sin localStorage, sin llamadas de red. La página ni siquiera autogenera al cargar — tú decides cuándo.

Ataques online vs offline — por qué la misma contraseña es "débil" y "está bien" al mismo tiempo

Cuando escribes una contraseña en un formulario de inicio de sesión web, tu intento es verificado por el servidor del sitio. Los servicios modernos vigilan esto de cerca: después de tres o cinco intentos erróneos, la cuenta se bloquea temporalmente, exige captcha, o dispara un correo de "actividad sospechosa". Incluso con una lista filtrada de contraseñas, un atacante puede probar quizás 5-10 intentos por minuto antes de ser bloqueado — y aun con un pequeño ejército de bots distribuyendo los intentos, es difícil superar unos cientos por hora. Esto se llama rate limiting (limitación de tasa). Contra un atacante limitado a cientos de intentos por hora, una contraseña de 8 caracteres en minúsculas (28 bits de entropía, ~200 mil millones de posibilidades) está bien. Simplemente no puede intentar lo suficiente.

El escenario catastrófico es diferente. Los sitios son hackeados, las bases de datos se filtran, las bóvedas de contraseñas son robadas, las copias de seguridad cifradas son exfiltradas. Cuando eso sucede, el atacante tiene una *copia* de los datos en su propia máquina. Sin rate limit. Sin bloqueo. Puede lanzarle una granja de GPUs — miles de millones de intentos por segundo. La misma contraseña de 8 caracteres que duró para siempre contra el login del sitio cae en segundos. El modelo de amenaza se invierte en el momento en que los datos salen del entorno controlado del servidor.

Por eso la misma contraseña aparece como "débil" en la barra aunque, para la mayoría de los usos, sea perfectamente segura. La barra asume el peor caso: alguien tiene el blob cifrado y puede atacarlo offline a velocidad máxima.

Qué hace realmente por ti un gestor de contraseñas

Un gestor de contraseñas resuelve el problema del ataque offline de una forma que los humanos solos no pueden: te permite usar una contraseña aleatoria única de más de 20 caracteres para cada sitio, sin que tu cerebro tenga que recordar ninguna. Memorizas una contraseña maestra — tuya, elegida con cuidado, larga, idealmente con palabras que nunca olvidarás — y el gestor maneja todo lo demás. Cuando un sitio es hackeado, solo esa contraseña específica queda expuesta, y es una cadena aleatoria de 20 caracteres que ningún ataque offline va a romper en tiempo útil. El radio del desastre cae de "todas mis cuentas" a "esta cuenta específica, que voy a cambiar".

Si no usas un gestor de contraseñas hoy, esa puede ser la mayor mejora de seguridad de contraseñas disponible para ti, y cuesta menos que un café al mes (o es gratis, en algunos casos). Nuestro generador existe para el momento en que necesitas una contraseña fuerte aleatoria y no quieres pensar — pero la contraseña que te da es más útil cuando se guarda en algún lugar durable, no memorizada.