¿Qué es la entropía de una contraseña?
La entropía de una contraseña mide hasta qué punto resulta impredecible, y se expresa en bits. Cada bit adicional duplica el número de intentos que un atacante necesita realizar. Una contraseña con 40 bits de entropía exige hasta \(2^{40}\) (alrededor de un billón) de pruebas para descifrarla por fuerza bruta, mientras que 80 bits resultan astronómicamente más seguros. La entropía es, sin duda, la cifra objetiva más útil para comparar la fortaleza de distintas contraseñas.
Cómo usar esta calculadora
Introduce la longitud de tu contraseña y marca cada conjunto de caracteres que utilizas en ella. La herramienta suma el tamaño de cada conjunto —minúsculas (26), mayúsculas (26), dígitos (10) y símbolos (32)— para obtener el tamaño total del conjunto de caracteres N, y a partir de ahí calcula la entropía. Tanto una mayor longitud como una mayor variedad de caracteres aumentan la entropía, pero suele ser la longitud la que aporta la mejora más notable.
La fórmula al detalle
La fórmula estándar es $$E = L \times \log_{2}(N)$$ donde L es el número de caracteres y N el tamaño del conjunto de caracteres. Como cada posición puede ser, de forma independiente, cualquiera de los N símbolos, el número total de contraseñas posibles es \(N^{L}\), y su logaritmo en base 2 nos da los bits de entropía. Esto da por supuesto que la contraseña es realmente aleatoria; una palabra del diccionario o un patrón previsible tienen una entropía efectiva mucho menor de la que sugiere la fórmula.
Ejemplo práctico
Imagina una contraseña de 12 caracteres que combina minúsculas, mayúsculas y dígitos. El conjunto de caracteres es \(26 + 26 + 10 = 62\). La entropía $$E = 12 \times \log_{2}(62) = 12 \times 5{,}954 \approx 71{,}45 \text{ bits}$$ Eso equivale aproximadamente a \(2^{71{,}45} \approx 3{,}2 \times 10^{21}\) combinaciones, algo extremadamente resistente a los ataques por fuerza bruta.
Preguntas frecuentes
¿Cuántos bits se consideran «fuertes»? A partir de 60 bits ya es razonable para la mayoría de cuentas; lo recomendable son 80 bits o más para contraseñas maestras o de gran valor.
¿Tiene en cuenta los ataques de diccionario? No. La fórmula presupone caracteres aleatorios. Las palabras reales, los nombres y las sustituciones típicas reducen drásticamente la entropía real: utiliza un generador aleatorio o una frase de contraseña.
¿Por qué se usan 10.000 millones de intentos por segundo? Es una estimación razonable para un ataque offline bien financiado contra contraseñas con hash rápido; un algoritmo de hash más lento ralentiza aún más al atacante.
