Herramienta de contraseñas Volver al generador

Guía de seguridad

¿Qué longitud debe tener una contraseña?

Aprende cuándo elegir 12, 16, 20 o 32 caracteres y por qué la longitud, la unicidad y el almacenamiento de la contraseña importan más que la complejidad visual.

Resumen

Para la mayoría de las cuentas modernas, 16 caracteres aleatorios es una base práctica sólida. Usa 20 o más para cuentas personales importantes, de correo electrónico, banca, trabajo o administración. Usa 32 caracteres cuando la contraseña se almacene en un gestor y proteja accesos de alto valor.

Prueba los generadores de 16 caracteres, 20 caracteres o 32 caracteres.

Rangos de longitud

Las contraseñas cortas son más fáciles de adivinar porque hay menos combinaciones posibles. Seis a nueve caracteres suele ser demasiado corto para la seguridad de una cuenta. Diez a catorce caracteres pueden ser aceptados por muchos servicios, pero no deben tratarse como la opción preferida para cuentas importantes.

Dieciséis caracteres aleatorios es un buen valor predeterminado cuando un gestor de contraseñas almacena el valor. Veinte caracteres añade margen sin dejar de ser compatible con muchos sitios. Treinta y dos caracteres es útil para paneles de administración, archivos cifrados, credenciales de bases de datos y secretos locales.

Longitud aleatoria versus longitud humana

Una contraseña aleatoria de 16 caracteres es muy diferente de una frase de 16 caracteres creada por un humano. Las elecciones humanas suelen incluir palabras, fechas, nombres y finales predecibles. Los atacantes prueban esos patrones antes de intentar un ataque de fuerza bruta ciego.

Recomendaciones prácticas

Guía detallada

Esta guía se centra en elegir la longitud de la contraseña según los diferentes riesgos de la cuenta. Está escrita para lectores que comparan opciones de 12, 16, 20, 24 y 32 caracteres, por lo que el objetivo práctico no es crear una afirmación de seguridad dramática. El objetivo es elegir un hábito de contraseña que pueda sobrevivir al uso diario: formularios de inicio de sesión, gestores de contraseñas, teclados móviles, recuperación de cuentas, dispositivos compartidos y el servicio ocasional con reglas de validación extrañas. Una recomendación segura solo es útil si una persona real puede seguirla de manera consistente.

El punto de partida más seguro es la aleatoriedad más la unicidad. Aleatoriedad significa que el valor se selecciona de un espacio grande mediante una fuente aleatoria criptográficamente adecuada, no inventado a partir de un cumpleaños, un nombre de mascota, un patrón de teclado o una cita favorita. Unicidad significa que la misma contraseña no se usa en ningún otro lugar. Una contraseña larga pero reutilizada puede fallar rápidamente después de una filtración no relacionada, mientras que una contraseña única y aleatoria limita el daño a la única cuenta donde se usó.

Para este tema, una configuración práctica es de 16 caracteres para cuentas ordinarias, 20 o más para cuentas importantes y 32 para secretos que se almacenan en lugar de escribirse. Puedes aplicar esa configuración con el generador de contraseñas de 32 caracteres y luego almacenar el valor final en un gestor de contraseñas de confianza. PwdGen genera valores localmente en el navegador con Web Crypto; la contraseña generada no se envía a un servidor de PwdGen. Ese diseño local reduce la exposición del lado del servidor, pero no protege contra todas las amenazas. Una extensión maliciosa del navegador, un dispositivo comprometido, una página de phishing o un manejo inseguro del portapapeles aún pueden exponer un secreto después de generarlo.

Los problemas más comunes a evitar son valores aleatorios cortos, límites máximos de longitud, formularios heredados y asumir que un número fijo es seguro para todos los sistemas. Estos problemas importan porque los atacantes rara vez necesitan realizar fuerza bruta sobre todas las contraseñas posibles cuando los hábitos humanos les dan un atajo. El relleno de credenciales, el phishing, las listas de contraseñas filtradas y el abuso de la recuperación de cuentas suelen ser más realistas que una búsqueda matemática pura. Por eso, el mejor consejo combina la calidad de la contraseña con controles a nivel de cuenta como MFA, claves de acceso, almacenamiento de códigos de recuperación y revisión periódica de la configuración de correo electrónico o teléfono de recuperación.

Usa esta lista de verificación al aplicar la recomendación:

Si un sitio web rechaza la configuración ideal, no fuerces la contraseña a un patrón más débil manualmente. Ajusta una variable a la vez. Si se rechazan los símbolos, mantén habilitadas mayúsculas, minúsculas y números y aumenta la longitud. Si la longitud máxima es baja, usa la longitud más grande aceptada y asegúrate de que el valor sea único. Si una contraseña debe leerse en voz alta, imprimirse o escribirse en una pantalla de televisión o enrutador, considera excluir caracteres confusos y aumentar la longitud para compensar el alfabeto más pequeño.

Finalmente, recuerda el límite del consejo sobre contraseñas. Una contraseña fuerte es una capa de defensa, no una garantía. No puede hacer que una página de phishing sea segura, arreglar malware ni compensar un servicio que almacena credenciales de manera deficiente. El hábito útil es aburrido pero duradero: genera un valor único, almacénalo de forma segura, protege la ruta de recuperación y reemplázalo rápidamente si sospechas de exposición.

Preguntas frecuentes

¿Son suficientes 12 caracteres?

Una contraseña aleatoria de 12 caracteres puede ser útil por compatibilidad, pero 16 o más es un mejor valor predeterminado cuando el servicio lo acepta.

¿Cuándo debo usar 20 o 32 caracteres?

Usa 20 o más para cuentas importantes y 32 para flujos de trabajo de administración, archivos cifrados o secretos de desarrollador almacenados en un gestor de contraseñas.

¿Puede una contraseña ser demasiado larga?

Algunos servicios imponen longitudes máximas o rechazan símbolos. Usa el valor aleatorio único más largo que el destino acepte.

Fuentes