Generador de Contraseñas Seguras
Genera contraseñas, frases de paso, PIN, claves de API y secretos tipo openssl rand online. Aleatoriedad criptográfica, sin enviar nada a un servidor.
Aún no hay valor. Pulsa Regenerar.
Es una estimación basada en la generación aleatoria, no en si una contraseña filtrada se ha reutilizado.
Generado localmente en tu navegador. No se envía nada a nuestros servidores, no se registra ni se almacena.
Qué hace esta herramienta
Genera contraseñas fuertes, frases de paso, PIN y secretos técnicos como claves de API y secretos JWT, todo en tu navegador. Cada valor sale de la Web Crypto API (crypto.getRandomValues), el mismo tipo de fuente segura que usa openssl rand, nunca de Math.random. No se envía nada a nuestros servidores, no se registra ni se guarda.
¿Trabajas con tokens? Combínalo con el generador de UUID para identificadores opacos, o decodifica una clave con el codificador Base64.
Para qué te sirve
- Generar una contraseña maestra fuerte para una cuenta nueva y guardarla en tu gestor de contraseñas.
- Crear un secreto de firma JWT o una clave de API con los bytes aleatorios adecuados para tu backend.
- Producir un secreto en base64 o hex al estilo openssl rand sin salir del navegador ni abrir una terminal.
- Construir una frase de paso memorable de varias palabras aleatorias para un dispositivo o disco que abres a mano.
Cómo se usa
- Elige un modo: contraseña, frase de paso, secreto aleatorio, PIN o token. O pulsa un preset para configurarlo todo de una vez.
- Ajusta la longitud, los conjuntos de caracteres o el número de bytes. El panel de fuerza se actualiza al cambiar las opciones.
- Copia el resultado, o abre el panel avanzado para generar un lote de varios valores a la vez.
- Para secretos técnicos, mira el bloque de equivalente OpenSSL para ver el comando openssl rand correspondiente.
Todo el trabajo ocurre dentro de tu navegador, sin subir archivos a ningún servidor. Ver más herramientas del mismo campo.
Todo lo que cubre este generador
Un generador, muchas tareas. Cada modo de abajo apunta a un tipo de secreto. Usa los presets para saltar a la configuración correcta, o abre su página específica para más detalle.
Generador OpenSSL Rand
openssl rand produce bytes aleatorios criptográficamente seguros y los codifica como raw, hex o base64. Los desarrolladores lo usan para crear claves, sales y tokens desde la terminal. En el navegador el equivalente exacto es crypto.getRandomValues, que es lo que usa esta herramienta. Base64 es compacto, hex es fácil de leer, y ambos tienen la misma entropía para el mismo número de bytes.
openssl rand -base64 32
openssl rand -hex 32- Usa 32 bytes (256 bits) como buen valor por defecto para la mayoría de secretos.
- Base64 y hex se diferencian en longitud, no en seguridad.
- Usa base64url cuando el valor vaya en una URL o cabecera.
Generador de Secretos JWT
Un secreto de firma JWT es la clave que un algoritmo HMAC como HS256 usa para firmar y verificar tokens. Si es débil o adivinable, cualquiera puede falsificar tokens válidos. Genera un secreto aleatorio largo, mantenlo en el servidor y rótalo si se expone.
- Para HS256 usa al menos 32 bytes, y 64 bytes es una opción cómoda.
- Nunca subas el secreto al control de versiones ni lo envíes al cliente.
- Rota el secreto ante una sospecha de exposición e invalida los tokens antiguos.
Generador de Claves de API
Las claves de API autentican a un cliente ante un servicio. Deben ser largas, aleatorias y opacas, sin estructura que un atacante pueda predecir. Base64URL las mantiene compactas y seguras para cabeceras o URLs.
- 32 bytes (256 bits) de entropía es un buen valor por defecto.
- Guarda solo un hash de la clave y compáralo en cada petición.
- Pon un prefijo a las claves para identificarlas y revocarlas fácilmente.
Generador de Tokens Seguros
Los tokens de sesión, los enlaces de restablecimiento de contraseña, la verificación de correo y los códigos de recuperación dependen de valores aleatorios imposibles de adivinar. Los tokens de un solo uso y corta vida limitan el daño si uno se filtra. Genéralos con un CSPRNG y átalos a una caducidad.
- Usa al menos 16 bytes para tokens efímeros y 32 para algo sensible.
- Haz los tokens de restablecimiento y verificación de un solo uso y con caducidad.
- Guarda los tokens con hash, nunca en texto plano.
Generador de Frases de Paso
Una frase de paso encadena varias palabras aleatorias, una idea popularizada por Diceware. Es mucho más fácil de recordar y escribir que una cadena de caracteres aleatorios de la misma fuerza, lo que la hace ideal para contraseñas maestras y cifrado de disco.
- Usa 5 o más palabras aleatorias para un secreto fuerte y memorable.
- Cada palabra de una lista de 256 añade 8 bits de entropía.
- Añade un número o símbolo solo si una política lo exige.
Generador de PIN
Un PIN numérico es cómodo para desbloquear dispositivos, códigos temporales y entrada de respaldo de MFA, pero su alfabeto pequeño lo hace débil para algo importante. Un PIN de 6 dígitos tiene solo un millón de combinaciones, así que trátalo como factor secundario, no como secreto maestro.
- Prefiere 6 dígitos o más, y evita fechas o patrones repetidos.
- Un PIN sirve como segundo factor, no como contraseña principal.
- Limita los intentos y bloquea allí donde un PIN protege el acceso.
Más generadores de secretos
Cada generador de abajo es la misma herramienta local, basada en Web Crypto, configurada para otra tarea. Nada de lo que generes sale de tu navegador.
- Generador OpenSSL RandSecretos base64 y hex al estilo openssl rand.
- Generador de Secretos JWTSecretos de firma HS256 fuertes para JWT.
- Generador de Claves de APIClaves opacas y de alta entropía para API.
- Generador de Tokens AleatoriosTokens de sesión, restablecimiento y verificación.
- Generador de Frases de PasoFrases de paso de varias palabras memorables.
- Generador de PINCódigos PIN numéricos rápidos.
Combina bien con
Otras herramientas que la gente suele usar en el mismo flujo.
- Generador y Validador de UUID
trabajar con UUIDs
Combina muy bien en flujos de desarrollo.
- Codificar y Decodificar Base64
codificar y decodificar Base64
Imprescindible cuando depuras una API.
- Decodificar JWT (JSON Web Token)
decodificar la cabecera y el payload de un JWT
Imprescindible cuando depuras una API.
Otras herramientas del mismo campo
DesarrolloGenerador y Validador de UUID
Genera, valida y convierte UUIDs online: v4, v5, v7, NIL y MAX. Al instante, gratis y en tu navegador, sin subidas a ningún servidor.
Codificar y Decodificar Base64
Codifica y decodifica texto en Base64 online, con alfabeto URL-safe opcional. Todo en tu navegador, nada se sube a ningún servidor.
Decodificar JWT (JSON Web Token)
Decodifica la cabecera y el payload de un JSON Web Token online. Sin verificar la firma, gratis y en tu navegador, nada sale de tu dispositivo.
Probador de Regex Online
Prueba y depura expresiones regulares online en tiempo real, con grupos de captura y coincidencias resaltadas. Gratis y en tu navegador.
Preguntas frecuentes
¿Es seguro este generador de contraseñas?
Sí. Cada valor se genera localmente en tu navegador con la Web Crypto API (crypto.getRandomValues), una fuente aleatoria criptográficamente segura. Nunca se envía nada a nuestros servidores, no se registra ni se almacena.
¿Qué es openssl rand?
openssl rand es un comando de OpenSSL que produce bytes aleatorios criptográficamente seguros. Eliges cuántos bytes y cómo codificarlos, por ejemplo openssl rand -base64 32 u openssl rand -hex 32. Esta herramienta lo reproduce en el navegador.
¿Es Web Crypto tan seguro como openssl rand?
Para generar secretos aleatorios, sí. Ambos toman de un generador pseudoaleatorio criptográficamente seguro sembrado por el sistema operativo. crypto.getRandomValues es el estándar del navegador justo para esto.
¿Cuántos bytes debe tener un secreto JWT?
Para HS256 se recomienda un secreto de al menos 32 bytes (256 bits), igual que la salida de SHA-256. De 32 a 64 bytes es un rango común y seguro. Usa un secreto totalmente aleatorio, no una palabra de diccionario.
¿Cuántos bits de entropía necesita una clave de API?
128 bits es el mínimo habitual y 256 bits va sobrado. Una clave aleatoria de 32 bytes tiene 256 bits de entropía, muy lejos del alcance de la fuerza bruta, así que 32 bytes en base64url es un buen valor por defecto.
¿Contraseña o frase de paso?
Para cuentas en un gestor de contraseñas, una contraseña aleatoria de 20 a 32 caracteres es excelente. Si tienes que escribirla o memorizarla, una frase de paso de 5 o más palabras aleatorias es más cómoda y puede tener la misma entropía.
¿Es Base64 más seguro que Hex?
No. Solo son codificaciones de los mismos bytes aleatorios, así que la seguridad es idéntica para el mismo número de bytes. Base64 es más compacto, hex es más fácil de leer. Elige el que espere tu sistema.
¿Qué es Base64URL?
Base64URL es una variante segura para URL y nombres de archivo. Sustituye + por - y / por _ y suele quitar el relleno =, de modo que el valor cabe en una URL, una cabecera o un JWT sin escaparlo.
¿Cuánto debe medir un código de recuperación?
Los códigos de recuperación suelen mostrarse como grupos legibles con unos 40 a 80 bits cada uno, generados como un lote de un solo uso. Importa menos la longitud que sean aleatorios, de un solo uso y guardados con hash en el servidor.
¿Por qué no debo usar Math.random()?
Math.random es un generador pseudoaleatorio rápido, predecible y no pensado para seguridad. Si un atacante recupera parte de su estado interno puede predecir la salida futura. Los secretos necesitan un CSPRNG como crypto.getRandomValues.
¿Se pueden recuperar los secretos generados?
No. La generación ocurre íntegramente en tu dispositivo y nada se transmite ni se guarda, así que al cerrar o limpiar la página el valor desaparece. Guarda lo que necesites antes de salir.
¿Se almacenan las contraseñas generadas en algún sitio?
No. No hay llamada al servidor, ni registro, ni localStorage. La lista de historial opcional vive solo en memoria durante la sesión y desaparece al recargar.
¿Cómo se calcula la estimación de fuerza?
Es una estimación de entropía en bits según cómo se genera el valor: longitud por log2 del tamaño del conjunto de caracteres en contraseñas, palabras por log2 del tamaño de la lista en frases de paso, y bytes por 8 en secretos en crudo. No comprueba si una contraseña se ha filtrado.
¿Qué hace excluir caracteres ambiguos?
Quita glifos fáciles de confundir al leer o teclear, como 0 y O, o 1, l e I. Reduce un poco el tamaño del conjunto pero hace la contraseña más segura de transcribir a mano.
¿Puedo generar muchos secretos a la vez?
Sí. Abre el panel avanzado y elige un lote de 5, 10, 25 o 50. Puedes copiarlos todos o descargarlos como un archivo .txt, siempre dentro de tu navegador.