Generador de Tokens Aleatorios
Genera tokens aleatorios imposibles de adivinar para sesiones, enlaces de restablecimiento de contraseña, verificación de correo y flujos de recuperación.
Los tokens se generan localmente con la Web Crypto API y nunca llegan a nuestros servidores.
Aún no hay valor. Pulsa Regenerar.
Es una estimación basada en la generación aleatoria, no en si una contraseña filtrada se ha reutilizado.
Generado localmente en tu navegador. No se envía nada a nuestros servidores, no se registra ni se almacena.
Dónde se usan los tokens seguros
Muchos flujos dependen de un valor que un atacante no pueda predecir: un identificador de sesión, un enlace de restablecimiento de un solo uso, un código de verificación de correo o un token de recuperación. Si alguno es adivinable, las cuentas están en riesgo.
Genera los tokens con un CSPRNG, haz de un solo uso y con caducidad los sensibles, y guárdalos con hash. Una vida corta limita el daño si un token se filtra.
Buenas prácticas
- Usa al menos 16 bytes para tokens efímeros y 32 bytes para algo sensible.
- Haz los tokens de restablecimiento y verificación de un solo uso y con caducidad corta.
- Guarda los tokens con hash en el servidor, nunca en texto plano.
Más generadores de secretos
Cada generador de abajo es la misma herramienta local, basada en Web Crypto, configurada para otra tarea. Nada de lo que generes sale de tu navegador.
- Generador de Contraseñas SegurasContraseñas, secretos, tokens y PIN en un solo sitio.
- Generador OpenSSL RandSecretos base64 y hex al estilo openssl rand.
- Generador de Secretos JWTSecretos de firma HS256 fuertes para JWT.
- Generador de Claves de APIClaves opacas y de alta entropía para API.
- Generador de Frases de PasoFrases de paso de varias palabras memorables.
- Generador de PINCódigos PIN numéricos rápidos.
Preguntas frecuentes
¿Cuánto debe medir un token de sesión?
Al menos 16 bytes (128 bits) de entropía, y 32 bytes para sesiones sensibles. Esta herramienta usa por defecto un token de 32 bytes en base64url.
¿Deben caducar los tokens de restablecimiento?
Sí. Los tokens de restablecimiento y verificación deben ser de un solo uso y caducar pronto, a menudo en una hora, para que un enlace filtrado no pueda reutilizarse.
¿Puedo usar un UUID como token?
Un UUID v4 es aleatorio pero solo tiene unos 122 bits y sirve para identificar, no para autenticar. Para tokens de seguridad prefiere 32 bytes aleatorios de un CSPRNG.
¿Se almacenan estos tokens en algún sitio?
Por nosotros no. Se generan en tu navegador y nunca se transmiten. Guárdalos tú, con hash y caducidad, en tu servidor.