Qué hace esta calculadora
La Calculadora de tiempo para descifrar contraseñas estima cuánto tardaría un atacante en romper una contraseña por fuerza bruta, es decir, probando todas las combinaciones posibles una a una. El cálculo se basa únicamente en el tamaño del espacio de claves y en la velocidad de intentos del atacante, lo que te da una idea rápida de cuánto más segura es realmente una contraseña más larga o más compleja.
Cómo usarla
Introduce la longitud de la contraseña (número de caracteres), marca los conjuntos de caracteres que utiliza tu contraseña y define los intentos por segundo del atacante. Un equipo moderno con GPU puede realizar alrededor de mil millones (1.000.000.000) de intentos por segundo con hashes rápidos, lo que sirve como valor predeterminado razonable. El resultado muestra el tiempo en el peor de los casos para agotar todo el espacio de claves, expresado en segundos, horas, días y años.
La fórmula explicada
El número total de contraseñas posibles es el tamaño del conjunto de caracteres elevado a la longitud: \(C = N^{L}\). Si dividimos ese valor entre los intentos por segundo del atacante, obtenemos el tiempo necesario para probarlas todas:
$$t = \frac{N^{L}}{G}$$El tamaño del conjunto de caracteres \(N\) se va sumando: minúsculas (26), mayúsculas (26), dígitos (10) y símbolos (32), de modo que una combinación completa da \(N = 94\).
Ejemplo práctico
Tomemos una contraseña de 8 caracteres en minúsculas (\(N = 26\), \(L = 8\)) frente a un atacante que realiza 1.000 millones de intentos por segundo. Combinaciones = \(26^{8} = 208\,827\,064\,576\). Tiempo de descifrado:
$$t = \frac{208\,827\,064\,576}{1\,000\,000\,000} \approx 208{,}83 \text{ segundos}$$menos de cuatro minutos. Si añadimos mayúsculas, dígitos y símbolos (\(N = 94\)), esa misma longitud salta a \(94^{8} \approx 6{,}1 \times 10^{15}\) combinaciones, es decir, unos 70 días.
Preguntas frecuentes
¿Es un cálculo exacto? No. Es el máximo teórico para un ataque de fuerza bruta pura. Los atacantes reales usan diccionarios, listas de contraseñas filtradas y patrones, por lo que una contraseña previsible cae mucho antes de lo que indica esta estimación.
¿Qué velocidad de intentos debo usar? Depende del hash. Los hashes rápidos (MD5, sin sal) permiten miles de millones por segundo; los lentos (bcrypt, Argon2) solo permiten unos miles. Cuanto menor sea \(G\), mucho mayor será el tiempo de descifrado.
¿Cómo creo una contraseña robusta? La longitud importa más que la complejidad. Cada carácter adicional multiplica el espacio de claves por \(N\), así que una frase de contraseña larga es muchísimo más difícil de descifrar que una contraseña corta aunque sea compleja.
