Tomá la contraseña Senha123!. Tiene todo lo que te dijeron toda la vida: una mayúscula, un número y un símbolo. Parece fuerte. Y se rompe en unos 10 segundos si la base de datos del sitio se filtra. Password1! es peor todavía: cae al instante. La verdad es un poco vergonzosa: la mayoría de las “reglas de contraseña” que aprendimos no miden ninguna seguridad.
Quería verlo con un número adelante — y tener una forma honesta de explicarle a un cliente por qué “la contraseña tiene símbolo” no es un argumento. Así que construí PassGuard.
¿Por qué la “complejidad” de contraseña no es lo mismo que seguridad?
Lo que hace que una contraseña sea difícil de romper no es un ! al final — es ser impredecible. Eso se mide en bits de entropía. Y acá está la primera trampa: la cuenta bruta de entropía también miente cuando hay un patrón humano.
- El mito de la complejidad.
Senha123!usa 4 tipos de caracteres en 9 posiciones — la cuenta bruta da casi 60 bits, “fuerte”. Pero un ataque real no prueba carácter por carácter: prueba palabras + sufijos primero. El espacio de búsqueda real es mucho menor. - Patrones que ni notás. Secuencias (
abcd,1234), patrones de teclado (qwerty), repetición (aaaa), un año al final (2024) — cada uno baja la fuerza de nuevo. - La misma contraseña, dos destinos. Esto es lo que casi nadie cuenta: el tiempo de quiebre depende de cómo el sitio guarda tu contraseña. En un login con bloqueo,
Senha123!dura “años”. Pero si la base se filtra y estaba en un hash rápido, cae en segundos. Y eso está fuera de tu control.
La solución: PassGuard, sin vueltas
PassGuard mide la entropía de verdad y descuenta los patrones humanos que encogen el espacio de búsqueda — así Senha123! baja de “casi fuerte” a Razonable (41 bits), y el medidor ya marca el patrón. Y el truco: muestra el tiempo de quiebre en tres escenarios — y revela que esa misma contraseña “razonable” cae en ~10 segundos en una filtración. Es el número único que engaña.
Es gratis, sin registro, y corre 100% en el navegador — tu contraseña no se envía a ningún lado y nada se guarda.
¿Qué mide y muestra PassGuard?
- Entropía en bits + un medidor honesto. La nota refleja la fuerza real, ya descontados los patrones.
- Qué está débil. Te dice el patrón: “palabra común + sufijo”, “secuencia”, “teclado”, “repetición”, “año”.
- Tres velocidades de ataque. La misma contraseña: sitio con límite (~mil intentos/s) · filtración + GPU (hash rápido, ~100 mil millones/s) · hash fuerte/bcrypt (~diez mil/s). Ahí aparece la diferencia.
- Consejos accionables. Qué agregar para subir de nivel, al instante.
Probar la fuerza de mi contraseña
Cómo tener contraseñas realmente fuertes
El resumen que le daría a cualquier cliente:
- Longitud > complejidad. Una frase-contraseña larga (4–5 palabras aleatorias) le gana a
P@ssw0rd!de lejos — y es más fácil de recordar. - Un gestor de contraseñas. Una contraseña única y enorme por sitio, sin memorizar. Así la filtración de un sitio no tumba a todos los demás.
- 2FA donde puedas. Aunque la contraseña se filtre, el segundo factor sostiene la puerta.
La seguridad de contraseñas es una pieza de un cuadro más grande — si administrás un sitio, vale leer también la guía de seguridad de sitios.
Preguntas frecuentes
¿Una contraseña con número y símbolo no es fuerte? No siempre. Lo que importa es la impredecibilidad, no las reglas — “Senha123!” tiene símbolo y se rompe en segundos.
¿Cómo calcula? Entropía de charset menos patrones humanos (palabra+sufijo, secuencia, teclado, repetición, año) + tiempo de quiebre a 3 velocidades.
¿Es seguro escribir mi contraseña? Sí, corre 100% en el navegador (nada se envía ni se guarda); igual, probá con una contraseña parecida.
¿Mejor forma de tener contraseñas fuertes? Frases-contraseña largas + un gestor (una por sitio) + 2FA. La longitud vale más que la complejidad.