Generador de Passphrase: frases seguras y memorables
Genera passphrases estilo XKCD (correct horse battery staple) con varios diccionarios, separadores personalizables y cálculo de entropía en vivo.
¿Qué es el Passphrase Generator?
El Passphrase Generator construye passphrases de varias palabras siguiendo el método XKCD "correct horse battery staple". Eliges el número de palabras, uno o dos diccionarios, y la herramienta saca palabras aleatorias del pool combinado usando crypto.getRandomValues, te muestra la entropía resultante en bits y la etiqueta en una escala de siete niveles, de Weak a Ludicrous. La uso cuando configuro una contraseña maestra nueva para un gestor de contraseñas, una frase de recuperación de cifrado o cualquier credencial que vaya a tener que escribir en un teclado de móvil. Las cadenas de caracteres aleatorios son más fuertes por carácter pero inservibles en esos casos: cuatro palabras aleatorias de la lista EFF de 7.776 palabras te dan 51 bits de entropía y algo que de verdad puedes recordar al tercer día.
Funciones principales
- Varios diccionarios — la EFF Diceware long list (7.776 palabras), una lista de inglés común, listas Technical y Nature, además de listas específicas de cada idioma para alemán, español, francés, portugués, ruso, hindi, japonés, chino y coreano.
- Slider de número de palabras (3-10) — arrástralo para fijar el mínimo. Tres palabras se escriben rápido pero solo dan ~38 bits con una lista pequeña; seis o siete palabras es el punto realista para contraseñas maestras.
- Longitud mínima opcional — un segundo slider impone un piso de caracteres (0-50). Útil cuando un servicio exige 20 caracteres mínimos y cuatro palabras cortas no llegan.
- Cinco opciones de separador — None (estilo camelCase), Space, Hyphen, Underscore, Period. El separador no aporta entropía pero afecta a la legibilidad.
- Capitalize each word — pone en mayúscula la primera letra de cada palabra. No aporta entropía real pero cumple con reglas de "debe incluir mayúsculas".
- Append random number — añade un número de un rango configurable (por defecto 1-999). La línea de bits añadidos se actualiza en vivo según el rango.
- Cálculo de entropía en tiempo real — el panel muestra bits totales, tamaño del pool, bits por palabra y una etiqueta de fuerza con código de color que cambia con cada ajuste.
- Generación masiva hasta 100 — arrastra el slider de cuenta para producir hasta 100 passphrases en un clic, cada una con su propia lectura de entropía.
- Aleatoriedad del lado del navegador — la fuente es
crypto.getRandomValues, el mismo CSPRNG que usa internamente la Web Crypto API, noMath.random().
Cómo usar el Passphrase Generator
Paso 1: elige el número de palabras y la longitud
El slider "Words" en la parte superior fija el número mínimo de palabras de 3 a 10. La etiqueta se actualiza en vivo ("4 words", "7 words"). Debajo, el slider "Minimum length" fija un piso de caracteres de 0 a 50; déjalo en 0 a menos que un sistema objetivo exija una longitud mínima específica. Si pones una longitud mínima, el generador sigue sacando palabras hasta cumplir tanto el umbral de palabras como el de caracteres.
Paso 2: elige separador y capitalización
Cinco radio buttons bajo "Separator" controlan cómo se unen las palabras: None, Space, Hyphen, Underscore, Period. Dos checkboxes debajo — "Capitalize each word" y "Append random number" — activan esas modificaciones. La capitalización viene activada por defecto; añadir un número viene desactivado. Si marcas "Append random number", aparece un cuadro de rango con campos Min/Max y un indicador en vivo "+ X.X bits" que muestra la contribución de entropía.
Paso 3: elige los diccionarios
En "Dictionaries" la herramienta muestra las listas relevantes para tu locale — para español son EFF Diceware ES (modificada), EFF Diceware (EN) y Common English. Cada entrada muestra el conteo de palabras y una descripción de una línea. Puedes marcar varias; el pool combina todas. Marca al menos una (la herramienta bloquea desmarcar la última y muestra un toast). Añadir más listas suele bajar ligeramente los bits por palabra porque el pool combinado crece pero no proporcionalmente — el panel de entropía muestra los números en vivo.
Paso 4: lee el panel de entropía
El panel gris bajo los diccionarios muestra tres cifras: entropía total (con código de color por nivel), tamaño del pool y bits por palabra. El nivel de fuerza sale del total de bits:
- Weak (rojo): menos de 40 bits
- Fair (naranja): 40-49 bits
- Good (amarillo): 50-59 bits
- Strong (lima): 60-79 bits
- Very Strong (cian): 80-99 bits
- Fortress (violeta): 100-149 bits
- Ludicrous (arcoíris): 150+ bits
Sesenta bits es el mínimo para algo que de verdad te importa. Ochenta bits es el objetivo correcto para una contraseña maestra.
Paso 5: genera y copia
Ajusta el slider "Generate" (1-100) y haz clic en Generate. Los resultados aparecen en una lista debajo, cada uno con su número de palabras y entropía. El icono de copiar al lado de cada línea copia esa passphrase concreta; el botón Copy All de arriba copia todo unido por saltos de línea. Clear limpia la lista. Si todavía no has elegido tu favorita, vuelve a hacer clic en Generate — los ajustes del slider se conservan, solo cambian las palabras.
Ejemplos prácticos
Contraseña maestra para un gestor de contraseñas
Ajustes: 7 palabras, lista EFF Diceware, separador Hyphen, Capitalize activado, sin número, Generate count 5.
Salida (uno de cinco candidatos):
Tropical-Dapper-Backboard-Skating-Roving-Reproach-CubicalSon 90,5 bits de entropía — Very Strong. Elige tu favorita de las cinco, escríbela en papel durante una semana mientras la memorizas y luego destruye el papel. Los guiones hacen que sea soportable teclearla en un teclado móvil los primeros días.
Frase de recuperación de cifrado
Ajustes: 6 palabras, EFF Diceware, separador Space, Capitalize desactivado, sin número.
Salida:
gallant pelt anguish flagstone graveness scorch77,5 bits, Strong. Los espacios son más fáciles de leer en voz alta y más difíciles de teclear mal que los guiones cuando lees una frase a un familiar por teléfono. Seis palabras es la recomendación estándar para frases de recuperación tipo BIP39 — misma idea, lista de palabras distinta.
Passphrase de una clave SSH para un servidor de uso diario
Ajustes: 5 palabras, lista Common English, separador Hyphen, Capitalize activado, Append number (1-99).
Salida:
Brisk-Marble-Quill-Vintage-Oasis-47Unos 56 bits. Menos entropía que el ejemplo de contraseña maestra, pero para una clave que también está protegida por una RSA de 4096 bits en disco, es el equilibrio correcto: lo bastante corta para teclearla 30 veces al día sin frustrarte, lo bastante fuerte para que un id_rsa robado no sea Game Over inmediato. El número final añade unos pocos bits y te permite tener passphrases distintas por servidor sin reescribir las palabras.
Consejos y buenas prácticas
Sesenta bits es el suelo de cualquier cosa que importe. Por debajo de 60 bits, un GPU rig bien financiado puede recorrer el keyspace en semanas. Por encima de 80, hasta los actores estatales pierden la paciencia. Las etiquetas de fuerza encajan con esos puntos: Strong (60-79) vale para la mayoría de cuentas, Very Strong (80-99) es el objetivo para contraseña maestra.
El método XKCD le gana a los caracteres aleatorios en memoria. Una cadena aleatoria de 12 caracteres como qP$7zR!2mK#x tiene unos 79 bits y es imposible de recordar. Seis palabras EFF Diceware tienen unos 77 bits y puedes recitarlas tras un repaso. Para credenciales que nunca tecleas, los caracteres aleatorios están bien. Para todo lo que tecleas, ganan las palabras.
Suma longitud, no complejidad. El consejo "usa mayúsculas, números y símbolos" viene de la era de las contraseñas de 8 caracteres. Con passphrases, la longitud es la única perilla que importa. Una palabra extra te da ~12,9 bits con una lista de 7.776 palabras, más que toda la sustitución de símbolos junta.
Combinar listas suele debilitar las palabras una a una. Dos listas de 7.776 palabras no dan 15.552 únicas — quedan ~14.000 tras deduplicar. Los bits por palabra suben unos 0,8, así que una palabra extra rinde más que activar una segunda lista. Usa varias listas por estética (solo técnicas, solo naturaleza), no por entropía.
Usa una passphrase distinta por credencial de alto valor. Una filtración no debería comprometer otras cuentas. Genera lotes de 10 y asigna una a tu gestor, una a cifrado de disco, una a códigos de recuperación y una a claves SSH.
Problemas comunes y troubleshooting
"Please select at least one wordlist" — desmarcaste todas las cajas de diccionario. Marca al menos una. La herramienta también bloquea desmarcar la última que queda (sale un toast).
La passphrase sale más corta que la longitud mínima fijada. El slider de longitud mínima solo aplica un piso de caracteres, no un objetivo exacto. Si tu mínimo es 30 y las palabras suman 33 caracteres, te quedan 33, no un 30 rellenado. Si número de palabras y longitud mínima no se pueden cumplir a la vez en 100 intentos, el generador para y devuelve lo que tiene — elige una combinación más realista.
La lectura de entropía baja al marcar una segunda lista. El pool combinado es mayor, así que cada palabra tiene menos bits relativos al total — es matemáticamente correcto. Bits por palabra es log2(tamaño del pool), y un pool de 14.000 palabras da ~13,8 bits por palabra frente a ~12,9 con 7.776. La entropía total sigue subiendo, solo que no tanto como sugiere la intuición.
La capitalización no aporta entropía en el panel. Capitalizar la primera letra de cada palabra es predecible (un atacante prueba ese patrón el primero), así que la calculadora cuenta cero bits. Lo mismo con un separador fijo. Solo el rango de número aleatorio y los sorteos de palabras suman al total de entropía.
La misma palabra aparece dos veces en una passphrase. Con 4-7 palabras sacadas de un pool de 7.776, la probabilidad de duplicado por el problema del cumpleaños es pequeña pero no nula. Un duplicado no invalida la passphrase — el cálculo de entropía ya asume sorteos independientes. Si no te gusta cómo queda, vuelve a darle a Generate.
Privacidad y seguridad
Toda la generación de passphrases corre localmente en tu navegador usando crypto.getRandomValues, el generador de números pseudoaleatorios criptográficamente seguro que expone la Web Crypto API. Las passphrases generadas no se envían a ningún servidor; los diccionarios van empaquetados en el JavaScript de la página y se cargan con el resto de la herramienta. El panel de historial bajo la herramienta guarda las generaciones recientes solo en la IndexedDB local de tu navegador — vacíalo cuando termines, o usa la herramienta en una ventana de incógnito si no quieres dejar rastro local.
Preguntas frecuentes
¿Qué es el método XKCD de passphrase?
Viene de la tira de XKCD 936 ("Password Strength"), que defiende que cuatro palabras aleatorias comunes ("correct horse battery staple") son más fuertes y memorables que una contraseña típica de 8 caracteres "compleja" como Tr0ub4dor&3. La cuenta: cuatro palabras de una lista de 2.048 son 44 bits; la cadena compleja de 8 caracteres son unos 28 bits cuando descuentas los patrones de sustitución predecibles. El Passphrase Generator implementa eso directamente.
¿Qué es Diceware y en qué se diferencia la lista EFF?
Diceware es el esquema original de Arnold Reinhold (1995): tiras cinco dados físicos para escoger una palabra de una lista de 7.776, y repites para cada palabra. La EFF publicó en 2016 una lista actualizada del mismo tamaño pero con mejores elecciones — más fáciles de pronunciar, menos palabras raras u ofensivas y una longitud mínima para evitar colisiones por errata de una letra. El Passphrase Generator usa la lista EFF como diccionario inglés por defecto.
¿Cuántas palabras necesito para una passphrase fuerte?
Cuatro palabras de la lista EFF son 51,7 bits — Good, no Strong. Seis palabras son 77,5 bits (Strong). Siete te llevan a 90,5 bits (Very Strong), el objetivo correcto para una contraseña maestra. Por debajo de cuatro palabras eres más débil que un password aleatorio de 8 caracteres; por encima de siete pagas coste de memoria con rendimiento decreciente.
¿Puedo usar una passphrase como contraseña maestra del gestor?
Sí — es el caso de uso recomendado. La maestra es la única credencial que no puedes guardar en el propio gestor, así que la memoria importa. Seis o siete palabras EFF Diceware con 77-90 bits es la recomendación estándar.
¿Por qué la herramienta dice que la capitalización aporta cero bits?
Porque el patrón de capitalización es fijo y conocido. Una contribución real exigiría capitalización que un atacante no pueda predecir. "Capitalize first letter of each word" es el patrón obvio; un atacante lo prueba en el primer intento. Marcarlo como 0 bits es la contabilidad honesta.
¿Debo usar la opción "Append random number"?
Depende de las restricciones del sistema. Si el sistema obliga "debe incluir un dígito", marca la casilla y elige un rango pequeño como 0-99 (unos 6 bits). Si no hay esa exigencia, la entropía rinde más en una palabra extra: una passphrase de 7 palabras tiene más entropía que una de 6 más número de 3 dígitos, y es más fácil de recordar.
Herramientas relacionadas
- Generador de Contraseñas — genera contraseñas densas de caracteres aleatorios para credenciales que no tecleas a mano.
- Generador de UUID — genera UUIDs v4 cuando necesitas un identificador globalmente único en vez de una passphrase.
- Codificador/Decodificador Base64 — codifica datos binarios arbitrarios, incluyendo cifrado, para transporte de texto seguro.
- Cifrado AES — cifra notas o archivos sensibles usando la passphrase recién generada como contraseña.
- Suite de Hash — calcula SHA-256, SHA-512 y otros hashes de una passphrase cuando necesitas guardar un verificador en lugar de la frase.
Prueba el Passphrase Generator ahora: Passphrase Generator