Generador de contraseñas: contraseñas aleatorias fuertes
Genera contraseñas aleatorias criptográficamente seguras (8-128 caracteres) con conjuntos de caracteres configurables, filtrado de caracteres ambiguos y entropía en vivo.
¿Qué es el Generador de contraseñas?
El Generador de contraseñas crea contraseñas densas de caracteres aleatorios usando crypto.getRandomValues con muestreo por rechazo, así cada carácter se extrae del alfabeto elegido con probabilidad uniforme y sin sesgo de módulo. Es la herramienta correcta cuando necesitas una credencial que nunca vas a teclear a mano — claves de API, entradas en gestores de contraseñas, cuentas de servicio, cualquier cosa que viva en una bóveda. Yo uso por defecto 24 caracteres con las cuatro clases de caracteres para casi todo, y subo a 32 o 40 para cuentas root y claves de firma. Si buscas algo memorable en lugar de denso, el Generador de Frases de Paso de este sitio hace el enfoque XKCD basado en palabras. Esta página trata sobre el equilibrio opuesto: máxima entropía por carácter, cero memorabilidad.
Características clave
- Fuente criptográficamente segura — la aleatoriedad viene de
crypto.getRandomValues, el CSPRNG detrás de la Web Crypto API. El generador usa muestreo por rechazo en lugar de módulo ingenuo, así un alfabeto de 88 caracteres produce extracciones uniformemente distribuidas en lugar de sesgar hacia las primeras 26 letras. - Slider de longitud de 8 a 128 — arrastra o teclea un número. Un campo numérico te deja introducir un valor exacto. Ocho es el mínimo porque más corto no merece la pena generar; 128 es el techo para campos que truncan.
- Cuatro toggles de clases de caracteres independientes — mayúsculas A-Z, minúsculas a-z, dígitos 0-9 y símbolos
!@#$%^&*()_+-=[]{}|;:,.<>?. Desmarca lo que tu sistema objetivo rechace. La herramienta bloquea desmarcar la última clase para que no puedas generar desde un alfabeto vacío. - Excluir caracteres ambiguos — quita
O,0,I,l,1del alfabeto. Cuesta unos 0,4 bits por carácter y te ahorra entornar los ojos sobre un código de recuperación impreso. - Panel de entropía en vivo — bits totales, tamaño del charset y bits por carácter se recalculan al alternar clases o arrastrar el slider de longitud. El total de bits está coloreado en una escala de siete niveles de Weak (rojo) a Ludicrous (arcoíris).
- Generación masiva hasta 100 — pon el slider de cantidad y haz clic en Generate para producir hasta 100 candidatos a la vez, cada uno con su lectura individual de entropía.
- Copia por fila y masiva — cada contraseña generada tiene su propio botón de copiar, y Copy All concatena la lista con saltos de línea. Ambos hacen fallback a
execCommand('copy')si la Clipboard API no está disponible. - Tier de fuerza por contraseña — cada línea de salida muestra su recuento de bits y una etiqueta de tier coloreada (Weak, Fair, Good, Strong, Very Strong, Fortress, Ludicrous).
Cómo usar el Generador de contraseñas
Paso 1: Configura la longitud
El slider "Length" va de 8 a 128. La etiqueta muestra el valor actual. El campo numérico al lado acepta el mismo rango y recorta valores fuera de límite cuando sales del campo. Dieciséis es el valor por defecto, va bien para cuentas normales; salta a 24 o 32 para cualquier cosa sensible.
Paso 2: Elige las clases de caracteres
Cuatro casillas bajo "Character Sets" alternan el alfabeto:
- Mayúsculas (A-Z) — 26 caracteres
- Minúsculas (a-z) — 26 caracteres
- Números (0-9) — 10 caracteres
- Símbolos — 26 caracteres de
!@#$%^&*()_+-=[]{}|;:,.<>?
Las cuatro están activas por defecto, dando un alfabeto de 88 caracteres (~6,46 bits por carácter). Desmarca lo que tu sistema objetivo prohíba. Si un servicio rechaza símbolos, pierdes unos 0,4 bits por carácter; compensa con unos caracteres más de longitud.
Paso 3: Decide sobre los caracteres ambiguos
La casilla "Exclude ambiguous characters" debajo de los toggles de clases quita O, 0, I, l, 1 del alfabeto combinado. Márcala para cualquier contraseña que vayas a leer en papel — códigos de recuperación impresos, semillas de wallet escritas a mano, cadenas leídas en voz alta a soporte. Déjala desactivada para credenciales solo de bóveda donde la legibilidad no importa y cada bit cuenta.
Paso 4: Lee el panel de entropía
La banda gris bajo las opciones muestra tres números:
- Total entropy — bits de aleatoriedad en una contraseña de la longitud y alfabeto configurados, coloreado por tier.
- Charset — tamaño actual del alfabeto tras los toggles de clases y la exclusión de caracteres ambiguos.
- Bits per char —
log2(charset_size). Con las cuatro clases activas y sin exclusión:log2(88) ≈ 6,46.
Los tiers de fuerza mapean al recuento total de bits:
- Weak (rojo): bajo 40 bits
- Fair (naranja): 40-49 bits
- Good (amarillo): 50-59 bits
- Strong (lima): 60-79 bits
- Very Strong (cian): 80-99 bits
- Fortress (violeta): 100-149 bits
- Ludicrous (arcoíris): 150+ bits
En la práctica: 60 bits es el suelo, 80 bits el objetivo rutinario, 100+ es el tier de credencial maestra o clave de firma.
Paso 5: Genera, inspecciona, copia
Pon el slider "Generate" (1-100) y haz clic en Generate. Los resultados aparecen en una lista desplazable, numerada, cada uno con su lectura de entropía y etiqueta de tier. El icono de copiar junto a una fila copia esa contraseña; Copy All copia la lista completa unida por saltos de línea. Clear vacía la lista. Regenerate arriba en el panel de resultados produce un nuevo lote con los mismos ajustes.
Ejemplos prácticos
Una entrada de gestor de contraseñas de 24 caracteres
Ajustes: Longitud 24, las cuatro clases activas, exclusión ambigua desactivada, count 5.
Salida de ejemplo:
qP7$mK#xR2!nVz8&jL*pYwH9Eso son 24 * log2(88) ≈ 155 bits — tier Ludicrous. Es la credencial estándar tipo "guárdalo en 1Password y no vuelvas a mirarlo". Generar cinco a la vez te deja elegir uno cuyos primeros caracteres no sean incómodos de teclear si tu gestor falla al autocompletar y tienes que escribirlo a mano.
Una clave de API de reemplazo para una cuenta de servicio comprometida
Ajustes: Longitud 40, mayúsculas + minúsculas + dígitos, símbolos desactivados (algunos clientes HTTP siguen manejando mal los símbolos en cabeceras), exclusión ambigua desactivada.
Salida de ejemplo:
aFq2KpRy7nMxBz4tHsWvLg3jCdN8VuTeXrYzPmQkEso son 40 * log2(62) ≈ 238 bits. Sin símbolos los bits por carácter bajan de 6,46 a 5,95, pero la longitud lo compensa de sobra y evitas casos límite donde & o + en una cabecera se URL-decoded en sitios inesperados. La clave comprometida se rota, el nuevo valor va al gestor de secretos, y la longitud de 40 caracteres garantiza que aunque el sistema de rotación la registre por error, el ataque por fuerza bruta no es opción.
Una contraseña desechable para un sitio que nunca volverás a visitar
Ajustes: Longitud 16, solo minúsculas + dígitos, exclusión ambigua activada, count 1.
Salida de ejemplo:
8kqr3zhmf4td9xbnUnos 16 log2(31) ≈ 79 bits. Minúsculas y dígitos con caracteres ambiguos eliminados es lo que usas cuando el formulario de registro de un foro rechaza símbolos y no quieres dedicar dos minutos a depurar por qué hace gritar a su validador. Siguen siendo 79 bits — Strong — que es exagerado para un sitio al que no volverás, pero el gestor de contraseñas se encarga de recordarlo, así que la exageración sale gratis.
Consejos y buenas prácticas
La longitud le gana a la complejidad. Una cadena de 30 caracteres solo en minúsculas (~141 bits) es más fuerte que una de 16 caracteres con todas las clases (~103 bits). Si un sitio fuerza "debe incluir mayúscula, número y símbolo", marca todas; si no, más larga y más simple es la opción manejable.
60 es el suelo, 80 el objetivo rutinario, 100+ el tier de alto valor. Bajo 60 bits, los clusters GPU recorren el espacio de claves en días. Sobre 80, incluso los rigs a escala estatal necesitan años. Sobre 100 has dejado el régimen de fuerza bruta por completo.
Usa un gestor de contraseñas y deja que recuerde todo. Una contraseña aleatoria de 24 caracteres es inmemorable por diseño. Si una credencial es algo que realmente necesitas teclear — una contraseña maestra, una clave de cifrado de disco, una frase de recuperación — genérala con el Generador de Frases de Paso. Caracteres aleatorios y frases de paso son herramientas distintas para problemas distintos.
Genera diez y elige uno. Con count 5-10 puedes buscar un candidato que no empiece con una secuencia incómoda de teclear (!@#$ es matemáticamente equivalente a cualquier otro grupo de cuatro caracteres, pero ergonómicamente es peor).
No post-proceses contraseñas generadas. Cualquier cosa que hagas a la cadena después de generarla baja la entropía debajo del valor del panel. Acepta la salida o genera una nueva.
Problemas comunes y solución de problemas
"Please select at least one character set" — todas las casillas de clase están desmarcadas. La herramienta evita desmarcar la última clase, pero el error sale si pulsas Generate antes de marcar alguna. Marca al menos una.
Un sitio rechaza la contraseña por demasiado larga. Algunos formularios legacy cortan la entrada a 16, 20 o 32 caracteres en silencio — aceptan la cadena pero solo guardan los primeros N. Si no puedes entrar, baja el slider y prueba con la credencial rotada.
Un sitio rechaza símbolos específicos. Desmarca "Symbols" entero y sube la longitud 4-6 caracteres para recuperar la entropía perdida. Este generador no tiene un campo de símbolos personalizado — genera sin símbolos y luego pega manualmente unos pocos permitidos en posiciones aleatorias.
La lectura de entropía está en "Weak" incluso con 16 caracteres. Probablemente solo tienes una clase marcada. Dieciséis dígitos solo son 16 * log2(10) ≈ 53 bits — Good. Activa una segunda clase y observa cómo salta el recuento.
Las contraseñas generadas parecen "no suficientemente aleatorias". La salida aleatoria produce clusters que no parecen aleatorios — tres vocales seguidas, dos mayúsculas adyacentes. El reconocimiento humano de patrones los marca como "raros" pero son exactamente lo que produce la aleatoriedad uniforme.
Privacidad y seguridad
La generación de contraseñas se ejecuta en tu navegador usando crypto.getRandomValues, el CSPRNG expuesto por la Web Crypto API. Las contraseñas generadas nunca se envían a ningún servidor. El panel de historial bajo la herramienta guarda las generaciones recientes solo en la IndexedDB de tu navegador, para que puedas recuperar algo que copiaste y perdiste; bórralo desde el panel cuando termines, o usa la herramienta en una ventana privada/incógnito si no quieres ningún rastro local. El CSPRNG del navegador se siembra con entropía a nivel de OS en cada plataforma moderna, así que no hay un caveat de "confía en mí, la semilla es buena".
Preguntas frecuentes
¿Por qué usar caracteres aleatorios en lugar de una frase de paso?
Los caracteres aleatorios son más densos por carácter — unos 6,46 bits por carácter con todas las clases activas, frente a 12,9 bits por palabra de una lista de frases de paso de 7.776 palabras. Para credenciales que nunca tecleas, la densidad gana porque la longitud es barata. Para credenciales que sí tecleas, las frases de paso ganan porque la memorabilidad importa. Usa esta herramienta para credenciales solo de bóveda y el Generador de Frases de Paso para contraseñas maestras y frases de recuperación.
¿Qué es el muestreo por rechazo y por qué importa?
Si generas un byte aleatorio (0-255) y le aplicas módulo 88 para elegir de un alfabeto de 88 caracteres, las primeras 88 salidas de byte % 88 son ligeramente más probables que las últimas 80, porque 256 no es múltiplo de 88. El muestreo por rechazo descarta los valores que caerían en el rango sesgado y tira de nuevo, produciendo una distribución uniforme. Esta herramienta lo usa sobre un entero aleatorio de 32 bits para cada carácter.
¿Cuánta longitud debe tener mi contraseña?
La que produzca 80+ bits en el panel de entropía para credenciales rutinarias, 100+ para las de alto valor. Con las cuatro clases activas, 13 caracteres son 84 bits y 16 son 103 bits. El panel hace los cálculos; apunta a un tier verde o mejor.
¿Puedo generar una contraseña que cumpla una política específica (debe tener una de cada clase)?
Esta herramienta no fuerza reglas tipo "al menos una mayúscula, al menos un dígito". Con las cuatro clases marcadas y longitud ≥ 16, la probabilidad práctica de que falte una clase es menos del 5%. Si un formulario rechaza la salida, regenera.
¿Qué pasa si pierdo una contraseña generada?
Si la copiaste a un gestor de contraseñas, recupérala desde ahí. Si no, mira el panel de Historial bajo la herramienta — guarda las generaciones recientes en la IndexedDB de tu navegador. Si borraste el historial o generaste en modo incógnito, la contraseña es irrecuperable; rota la credencial en el servicio de destino.
Herramientas relacionadas
- Generador de Frases de Paso — genera frases de paso memorables al estilo XKCD para credenciales que tecleas a mano.
- Generador de UUID — genera UUIDs v4 cuando necesitas un identificador globalmente único en lugar de una credencial.
- Suite de Hash — produce hashes SHA-256, SHA-512 o BLAKE2 de contraseñas generadas para usarlas como semillas deterministas.
- Codificador/Decodificador Base64 — codifica una contraseña generada para transporte seguro en entornos que manejan mal los bytes crudos.
- Próximamente: Argon2 Hash — hashea una contraseña con el KDF moderno cuando necesitas almacenarla para verificación en lugar de recuperación.
Prueba el Generador de contraseñas ahora: Generador de contraseñas