Frase de contraseña frente a contraseña: ¿cuál es más segura?
Las frases de palabras aleatorias y las contraseñas de caracteres complejos resuelven el mismo problema de formas distintas. Así se comparan en entropía, memorabilidad y seguridad real, y cuándo usar cada una.
La respuesta honesta: depende de cómo se creen
Una frase de contraseña no es automáticamente más segura que una contraseña, ni viceversa. Lo que importa es la entropía —cuánta aleatoriedad genuina contiene el secreto— y si una persona puede usarlo de verdad. Una frase de contraseña de seis palabras generada al azar y una contraseña de 20 caracteres generada al azar pueden ser ambas extremadamente robustas. Una contraseña que te inventaste tú y una frase de contraseña que te inventaste tú pueden ser ambas débiles.
Comparación de la entropía
La entropía se mide en bits, y más bits significan exponencialmente más intentos para romperla. Una contraseña compleja concentra más entropía en cada carácter, así que puede ser robusta aun siendo corta. Una frase de contraseña reparte la entropía entre palabras enteras, así que necesita más caracteres para alcanzar la misma fortaleza, pero esos caracteres son mucho más fáciles de recordar. Seis palabras aleatorias se sitúan en torno a los 70–80 bits; una contraseña de 16 caracteres totalmente aleatoria está en un rango similar. Ambas resisten con holgura el descifrado sin conexión.
Comparación de memorabilidad y usabilidad
Aquí es donde ganan las frases de contraseña. La gente puede recordar «harbor-violin-cobalt-stamp» de forma mucho más fiable que «7xQ!r2$kPm9#», y puede escribirla correctamente en un móvil, en el mando de un televisor o en una consola. Para cualquier secreto que una persona deba recordar —una contraseña maestra, el acceso a un dispositivo, una clave de Wi-Fi— esa ventaja de usabilidad es decisiva.
Dónde gana cada una
Usa una contraseña aleatoria larga para las cuentas que tu gestor de contraseñas almacena y rellena, porque la densidad supera a la memorabilidad cuando una máquina hace el trabajo. Usa una frase de contraseña para los secretos que debes recordar tú mismo. En la práctica, la configuración ideal es ambas: una frase de contraseña robusta para desbloquear un gestor de contraseñas que guarda contraseñas aleatorias largas para todo lo demás.
Lo que no ayuda mucho
Los trucos predecibles aportan poca seguridad real: poner en mayúscula la primera letra, cambiar «a» por «@» o añadir «1!» a una palabra del diccionario son patrones que las herramientas de descifrado prueban primero. Tanto si eliges una frase de contraseña como una contraseña, la fortaleza tiene que venir de la aleatoriedad y la longitud, no de sustituciones que parecen ingeniosas.
Preguntas frecuentes
¿Es una frase de contraseña siempre más segura que una contraseña?
No. Ambas son tan robustas como su entropía. Una frase de contraseña generada al azar y una contraseña generada al azar pueden ser ambas muy robustas; las versiones inventadas por uno mismo de cualquiera de las dos tienden a ser débiles.
¿Por qué se recomiendan tanto las frases de contraseña?
Porque alcanzan una alta entropía sin dejar de ser memorables y fáciles de escribir. Para los secretos que una persona debe recordar, esa usabilidad hace que las opciones robustas sean prácticas.
¿Es mejor una contraseña larga que una corta y compleja?
En general, sí. La longitud aumenta el número de posibilidades más rápido que cambiar unos pocos símbolos. Tanto una contraseña aleatoria larga como una frase de contraseña de varias palabras superan a una «compleja» corta.
¿Cuál debería usar para la contraseña maestra de mi gestor de contraseñas?
Una frase de contraseña de seis o más palabras aleatorias. Es de alta entropía y memorable, que es exactamente lo que necesita una contraseña maestra.
¿Ayudan las sustituciones de caracteres como @ por a?
Apenas. Las herramientas de descifrado esperan esas sustituciones. La fortaleza real procede de la aleatoriedad y la longitud, así que añade una palabra o caracteres en su lugar.