Guía de seguridad

La entropía de las contraseñas y cómo funciona el descifrado

La entropía es la medida de cuán impredecible es una contraseña y permite estimar lo difícil que resulta atacarla.

Qué es la entropía

La entropía expresa el número de contraseñas posibles en una escala logarítmica en base 2 (bits). Por ejemplo, 40 bits equivalen a alrededor de un billón de posibilidades, y 60 bits, a unos mil trillones.

La entropía se calcula aproximadamente como 'longitud × log2(tamaño del conjunto de caracteres)'. Aumentar la longitud es la forma más segura de subir la entropía.

Fuerza bruta vs. ataque de diccionario

La fuerza bruta prueba todas las combinaciones posibles una a una, por lo que cuanto mayor es la entropía, más irrealmente largo se vuelve.

El ataque de diccionario prueba primero contraseñas comunes, palabras y listas filtradas. Por eso, por muy larga que sea, si es una palabra o un patrón común se descifra en un instante. Ese es el motivo por el que importa la aleatoriedad.

Hash y filtraciones

Un sitio bien hecho guarda las contraseñas como hash y no en texto plano. Pero si los datos se filtran, un atacante puede intentar miles de millones de conjeturas por segundo sin conexión.

En ese caso, una contraseña larga y aleatoria hace que el coste de descifrarla sea inasumible, por lo que en la práctica sigue estando segura.

Qué tan fuerte debe ser

Un criterio práctico es el siguiente.

  • Menos de 28 bits: muy débil (se descifra al instante)
  • 40–60 bits: aceptable (cuentas poco importantes)
  • 60–100 bits: fuerte (suficiente para la mayoría de las cuentas)
  • Más de 100 bits: muy fuerte (seguridad a largo plazo)
Volver a la lista de guías