Passphrase vs password: por que una frase de contrasena es mas segura y facil de recordar

Un password (contrasena) es tipicamente una cadena corta de caracteres: P@ssw0rd!23. Dificil de recordar, facil de crackear.

Una passphrase (frase de contrasena) es una secuencia de palabras aleatorias: caballo-bateria-engrapadora-correcta. Facil de recordar, extremadamente dificil de crackear.

La paradoja: "P@ssw0rd!" tiene 9 caracteres con simbolos, mayusculas y numeros — parece seguro pero se crackea en minutos. "caballo-bateria-engrapadora-correcta" tiene 39 caracteres y tardaria billones de anos en crackearse por fuerza bruta.

Por que: La seguridad depende de la ENTROPIA (combinaciones posibles), no de la complejidad visual. 4 palabras aleatorias de un diccionario de 7,776 palabras = 7,776^4 = 3.6 trillones de combinaciones.

Genera passphrases seguras con el generador de passphrases de NexTools.

Password tipico "P@ssw0rd!":

• 9 caracteres, pool de ~95 caracteres (letras, numeros, simbolos)
• Entropia: ~59 bits (95^9 ≈ 6.3×10^17)
• A 10 mil millones de intentos/segundo (GPU moderna): ~2 horas

Passphrase "caballo-bateria-engrapadora-correcta":

• 4 palabras del diccionario Diceware (7,776 palabras)
• Entropia: ~51.7 bits (7,776^4 ≈ 3.6×10^15)
• A 10 mil millones/segundo: ~100 horas

Passphrase de 5 palabras:

• Entropia: ~64.6 bits (7,776^5 ≈ 2.8×10^19)
• A 10 mil millones/segundo: ~89 anos

Passphrase de 6 palabras:

• Entropia: ~77.5 bits
• A 10 mil millones/segundo: ~700,000 anos

Consulta nuestra guia sobre hashes y seguridad para entender como se almacenan las contrasenas.

Diceware es un metodo creado por Arnold Reinhold en 1995 para generar passphrases verdaderamente aleatorias usando dados:

Como funciona:

1. Tira un dado 5 veces. Ejemplo: 4-2-5-3-1 = 42531.
2. Busca el numero en la lista Diceware: 42531 = "mesa".
3. Repite para cada palabra. 4-5 palabras para uso normal, 6+ para alta seguridad.

Por que dados: Los dados son la fuente de aleatoriedad mas confiable y verificable. Math.random() es pseudoaleatorio y predecible en teoria. Los dados son fisicamente aleatorios.

En la practica: El generador de NexTools usa crypto.getRandomValues() (CSPRNG) que es criptograficamente seguro y mas conveniente que tirar dados 20+ veces.

BUENAS (aleatorias):

• correcto-caballo-bateria-engrapadora (4 palabras Diceware, ~52 bits)
• mango-subway-crystal-thunder-violet (5 palabras, ~64 bits)
• zapato7!Nube-rana-telescopio (4 palabras + numero + simbolo, ~65+ bits)

MALAS (predecibles):

• me-gusta-el-futbol — frase comun, en diccionarios de ataques
• 123-456-789-000 — numeros secuenciales, trivial
• juan-garcia-1990-mexico — datos personales, adivinables
• password-password-password — palabras repetidas, baja entropia

Regla: Las palabras deben ser ALEATORIAS, no elegidas por ti. Tu cerebro es predecible; un generador aleatorio no lo es.

Para contrasenas tradicionales (cuando la passphrase no cabe), usa el generador de contrasenas de NexTools.

Usa passphrase cuando:

• Master password de gestor de contrasenas (la MAS importante — debe memorizarse)
• Cifrado de disco (BitLocker, FileVault, LUKS)
• Clave SSH o GPG
• Cualquier contrasena que debas memorizar

Usa password aleatorio cuando:

• Sitios web individuales (generados y guardados en gestor de contrasenas)
• APIs y tokens (generados automaticamente)
• Situaciones con limite de caracteres corto

La combinacion ideal: Una passphrase fuerte como master password de 1Password/Bitwarden. Passwords aleatorios de 20+ caracteres para cada sitio, generados y guardados por el gestor.

El idioma del diccionario de palabras importa:

Ingles (EFF Diceware): 7,776 palabras. El mas estudiado y auditado.

Espanol: Diccionarios de ~7,000-10,000 palabras existen. Mas entropia si el atacante no sabe que usas espanol.

Multilingue: Mezclar palabras de diferentes idiomas aumenta la entropia porque el atacante no sabe que diccionarios probar.

Consejo: NexTools genera passphrases en el idioma seleccionado, usando diccionarios curados para cada uno.

Si necesitas verificar la fortaleza de tu contrasena, usa la herramienta de contrasenas de NexTools.

Una passphrase resuelve el problema de recordar UNA contrasena maestra. Para las demas, necesitas un gestor:

Gestores recomendados 2026:

• Bitwarden (gratis/premium): Open source, auditado, todas las plataformas. La mejor opcion gratis.
• 1Password ($3/mes): UX excelente, Watchtower (alertas de brechas), Travel Mode.
• KeePassXC (gratis, local): Sin nube. Tu base de datos, tu control total. Ideal para paranoicos.

Flujo correcto:

1. Genera passphrase de 5+ palabras como master password
2. Guardala SOLO en tu cerebro (y opcionalmente en papel en caja fuerte)
3. Todos los demas passwords: generados por el gestor, 20+ caracteres aleatorios

El comic XKCD #936 "Password Strength" de Randall Munroe (2011) popularizo las passphrases. Compara "Tr0ub4dor&3" (28 bits, dificil de recordar) con "correct horse battery staple" (44 bits, facil de recordar).

El mensaje: A traves de 20 anos de esfuerzo, hemos entrenado a todos a usar contrasenas dificiles de recordar para humanos pero faciles de adivinar para computadoras. Las passphrases invierten esto.

Critica valida: El calculo de XKCD asume que el atacante sabe que usas 4 palabras del diccionario. Si no lo sabe, la entropia es aun mayor. Si lo sabe y tu passphrase tiene solo 3 palabras comunes, puede ser debil. 5+ palabras es la recomendacion actual.