Genera una contraseña fuerte y aleatoria con un clic. Ajusta la longitud y las clases de caracteres para coincidir con la política del sitio destino. La aleatoriedad viene de la API Web Crypto del navegador — tu contraseña nunca sale de tu máquina.
Los humanos son malos creando aleatoriedad. Elegir tu propia contraseña casi siempre da algo predecible — un nombre, una fecha, un patrón de teclado. Un generador extrae entropía real de la fuente aleatoria segura del sistema operativo, lo que hace el resultado imposible de adivinar para un atacante salvo por búsqueda exhaustiva.
La longitud importa más que la complejidad. Una contraseña de 20 caracteres solo en minúsculas (~94 bits) es más difícil de romper que una de 8 caracteres usando las cuatro clases (~52 bits). Apunta a al menos 80 bits de entropía para cuentas generales y 120+ bits para todo lo que protege tus otras contraseñas (contraseña maestra, clave de recuperación).
No. La generación usa crypto.getRandomValues() en tu navegador. La contraseña se mantiene solo en memoria y nunca se transmite. Cerrar la pestaña la descarta.
Es una medida de cuán impredecible es una contraseña. Cada bit dobla el espacio de búsqueda para un atacante. 80 bits de entropía significan que un atacante necesitaría probar del orden de 2^80 (~1,2 cuatrillones de billones) de contraseñas para forzarla — inviable con el hardware actual.
Caracteres como la letra 'I' y el dígito '1', o la letra 'O' y el dígito '0', parecen idénticos en muchas fuentes. Excluirlos hace la contraseña más fácil de leer y escribir manualmente si fuera necesario. La contrapartida es una pequeña reducción de entropía.
Para credenciales que tienes que escribir tú mismo (login del portátil, contraseña maestra de un baúl), una frase de paso de 5-7 palabras de una lista larga alcanza ~70-90 bits de entropía y es mucho más fácil de recordar que una cadena aleatoria de la misma fuerza. Para todo lo demás — logins de sitios, claves API — deja que tu gestor de contraseñas genere y almacene una aleatoria de 16+ caracteres y nunca la escribas.
La guía moderna (NIST SP 800-63B) es rotar solo ante sospecha de compromiso, no en un calendario fijo. La rotación periódica forzada empuja a la gente hacia variaciones predecibles (¡Primavera2026!, ¡Verano2026!) más débiles que la original. En su lugar: elige una contraseña fuerte y única por sitio, guárdala en un gestor y solo cámbiala si el sitio notifica una brecha o detectas actividad sospechosa.
Cuando realmente necesitas una contraseña fuerte y nueva.
Genera una contraseña aleatoria de 16 caracteres, pégala una vez en el formulario de registro y guárdala en tu gestor. Nunca la volverás a escribir.
Si un sitio que usas aparece en haveibeenpwned, genera aquí una nueva contraseña y actualiza tanto el sitio como tu gestor — nunca reutilices una filtrada.
¿Necesitas un secret JWT, una clave API o una clave de cookie de sesión para un proyecto personal? Genera una cadena mixta de 32 caracteres y pégala en tu .env.
¿Necesitas un código de desbloqueo memorable pero fuerte? Cambia a solo dígitos, elige 6-8 caracteres y evita secuencias obvias (1234, tu año de nacimiento).
Hábitos que convierten una contraseña generada en una que de verdad te protege.
Una contraseña aleatoria de 20 caracteres es inútil si la apuntas en un post-it. 1Password, Bitwarden o el baúl integrado del navegador valen — elige uno y úsalo en cada sitio.
20 letras minúsculas tienen más entropía que 12 caracteres mixed-case-symbol. Si un sitio rechaza tu contraseña por demasiado larga, es una bandera roja sobre cómo la almacena.
Excluir 1/I y 0/O sacrifica un poco de entropía. Hazlo solo si realmente tienes que leer la contraseña en pantalla — para flujos solo de pegado, mantenlos.
Una contraseña generada única protege contra credential stuffing. Añadir TOTP o passkey por encima protege también contra phishing y filtraciones. Activa 2FA donde sea posible.