La entropía de las contraseñas explicada
La entropía es la forma honesta de medir cómo de robusto es un secreto. Esta página explica qué significa, cómo se calcula, cómo se traduce en tiempo de descifrado y cuántos bits necesitas realmente.
Qué mide realmente la entropía
La entropía es el número de posibilidades igualmente probables entre las que se eligió un secreto, expresado en bits. Un bit significa dos posibilidades; diez bits significan 1.024; cada bit adicional duplica la cuenta. Y lo más importante: la entropía describe el proceso que creó el secreto, no los caracteres en sí. Un secreto solo tiene alta entropía si se eligió de verdad al azar dentro de un espacio amplio.
Cómo se calcula la entropía
Para un secreto generado al azar la fórmula es sencilla: entropía en bits = longitud × log2(número de opciones por posición). Una contraseña de longitud L de un alfabeto de N caracteres tiene L × log2(N) bits. Una frase de contraseña de W palabras aleatorias de una lista de P palabras tiene W × log2(P) bits. Por ejemplo, seis palabras de una lista de 7,776 palabras dan 6 × log2(7776) ≈ 77 bits.
Por qué los secretos creados por personas tienen menos entropía de la que aparentan
La fórmula solo se cumple cuando cada elección es independiente y uniformemente aleatoria. Una contraseña que te inventas tú no lo es: sigue patrones del idioma, formas del teclado y sustituciones comunes que los atacantes modelan. Por eso una contraseña «compleja» elegida por uno mismo puede ser mucho más débil de lo que sugiere su longitud, mientras que una generada por ordenador de la misma longitud es exactamente tan robusta como dicen las matemáticas.
De la entropía al tiempo de descifrado
Cada bit duplica el número de intentos necesarios en el peor caso, y de media un atacante encuentra el secreto tras probar alrededor de la mitad del espacio. Convertir eso en tiempo requiere suponer una tasa de adivinación, que varía enormemente: un inicio de sesión en línea limitado a unos pocos intentos por segundo frente a un ataque sin conexión sobre un hash filtrado que ejecuta miles de millones por segundo. Como la tasa es una suposición, trata las cifras de tiempo de descifrado como comparaciones ilustrativas, no como predicciones precisas.
¿Cuántos bits necesitas?
Como guía práctica: alrededor de 50 bits está bien para inicios de sesión de bajo valor y con límite de intentos; 70–80 bits es robusto para cuentas importantes y resiste el descifrado sin conexión; más de 100 bits encaja para contraseñas maestras y secretos de larga duración. El generador de este sitio muestra la entropía exacta a medida que ajustas la configuración, para que elijas un objetivo de forma deliberada en lugar de esperar que un secreto «parezca bastante robusto».
Preguntas frecuentes
¿Cuál es una buena entropía para una contraseña?
Alrededor de 70–80 bits es robusto para cuentas importantes y resiste el descifrado sin conexión. Usa más de 100 bits para contraseñas maestras y secretos de larga duración, y 50 bits es aceptable para inicios de sesión de bajo valor y con límite de intentos.
¿Cómo se calcula la entropía?
Para un secreto aleatorio es longitud × log2(opciones por posición): caracteres × log2(tamaño del alfabeto) para una contraseña, o palabras × log2(tamaño de la lista) para una frase de contraseña.
¿Por qué los medidores de fortaleza no coinciden con la entropía?
Los medidores de fortaleza estiman mediante coincidencia de patrones, lo que infravalora los secretos verdaderamente aleatorios y sobrevalora los predecibles. Cuando un secreto se genera al azar, la entropía exacta se conoce y es más fiable.
¿Tiene siempre más entropía un secreto más largo?
Solo si la longitud añadida es aleatoria. Añadir una palabra predecible o «1!» aporta poca entropía real; añadir una palabra aleatoria o caracteres aleatorios añade una cantidad conocida.
¿Es el tiempo de descifrado un número exacto?
No. Depende de una tasa de adivinación supuesta que va desde unos pocos por segundo en línea hasta miles de millones por segundo sin conexión. Usa las cifras de tiempo de descifrado como comparaciones, no como predicciones precisas.