Acerca de este generador
Este preset crea un valor de alta entropía seguro para URL para la firma HMAC JWT. Es un secreto de desarrollador, no una contraseña de usuario, y nunca sale de este navegador.
Este preset comienza con el modo url-safe y genera 10 resultados independientes a la vez. Todos los ajustes visibles siguen siendo modificables, y los valores generados no se envían a PwdGen.
Cuándo usarlo
- Crear una nueva credencial para este caso de uso específico
- Reemplazar una contraseña reutilizada o débil
- Generar valores localmente antes del almacenamiento seguro
Tamaño del alfabeto, entropía y supuestos de fuerza bruta
El techo teórico de entropía se calcula como H = L × log2(A), donde L es la longitud generada y A es el número de caracteres actualmente permitidos.
| Longitud | Alfabeto | Espacio de búsqueda | Techo de entropía | Promedio a 10 mil millones de intentos/s |
|---|---|---|---|---|
| 64 | 64 | 6464 | 384.0 bits | 6.24e97 years |
Importante: estas son estimaciones matemáticas para valores uniformemente aleatorios. Las posiciones requeridas, los recuentos restringidos, las contraseñas repetidas, los patrones de diccionario, las credenciales filtradas y los costos reales de hash de contraseñas pueden cambiar el resultado sustancialmente. La cifra no es una garantía de seguridad.
Guía de implementación de clave de firma JWT
Para HS256, use al menos 256 bits de material de clave uniformemente aleatorio. HS384 y HS512 usan diferentes tamaños de salida SHA-2, pero elegir un algoritmo más largo no repara verificación débil, claves filtradas o errores de confusión de algoritmo.
Generación equivalente en terminal y Node.js
openssl rand -hex 32import { randomBytes } from 'node:crypto';
const jwtSecret = randomBytes(32).toString('hex');Almacenamiento y rotación
- Mantenga las claves de firma fuera de Git, paquetes frontend, URL, análisis y registros de aplicaciones.
- Use un administrador de secretos, Vault, KMS o una variable de entorno protegida.
- Use una estrategia kid controlada al rotar claves.
- Elija RS256 o ES256 cuando los verificadores solo deban tener una clave pública.
Hex, Base64 y Base64URL son codificaciones, no cifrado. La seguridad proviene de los bytes aleatorios y de cómo se protege la clave de firma.
Cómo usar el resultado de forma segura
- Verifica las reglas de contraseñas actuales del destino
- Usa un resultado único y habilita MFA donde esté disponible
- Almacena los códigos de recuperación por separado de la contraseña
Método de generación y privacidad
El preset utiliza el Web Crypto API del navegador para la selección aleatoria. Regenerar, cambiar configuraciones, seleccionar y copiar resultados no envía las credenciales generadas a PwdGen. El estimador de tiempo de descifrado de contraseñas también se ejecuta localmente y es una estimación, no una garantía.
Generador de Secretos Jwt FAQ
¿Qué longitud debe tener un secreto HS256 JWT?
Usa al menos 256 bits de material de clave uniformemente aleatorio para HS256. Esta página genera un valor de 64 caracteres con alfabeto Base64URL, que proporciona un espacio de búsqueda teórico más grande cuando se genera uniformemente.
¿Debería almacenarse un secreto JWT en una variable de entorno?
Una variable de entorno es más segura que el código fuente, pero aún puede filtrarse a través de inspección de procesos, registros o herramientas de implementación. Un almacén de secretos gestionado o KMS es preferible para sistemas de producción.
¿Cuándo debería usar RS256 o ES256 en lugar de HMAC?
Usa firma asimétrica cuando los verificadores no deban poseer la clave privada de firma o cuando múltiples servicios necesiten verificación con clave pública. Protege la clave privada y rota las claves con una estrategia de identificador de clave controlada.