Generador de Contraseñas / Bitwarden Generadores 100% local

Generar passwords fuertes para Bitwarden: longitud, entropía, Argon2

El propio generador de Bitwarden está bien, pero las decisiones que te pide (longitud, clases de caracteres, exclusiones) son las mismas que cualquier generador genérico. Lo interesante son las decisiones alrededor del master password y del KDF, donde la mayoría de usuarios aún la cagan.

La longitud manda, no el zoo de caracteres

La guía moderna de NIST 800-63B y OWASP es la misma: la longitud aporta más entropía por carácter que las reglas de complejidad. Una contraseña aleatoria de 20 caracteres sobre a-zA-Z0-9 ronda los 119 bits de entropía, más que de sobra para sobrevivir a cualquier presupuesto de brute force imaginable.

El generador de site-password de Bitwarden viene con 14 caracteres y todas las clases. Razonable para logins individuales. Subir a 20 cuesta un segundo extra y deja margen para lo que sean los clusters de GPU en 2030.

Los símbolos (!@#$%) ayudan contra ataques de diccionario pero molestan cuando un servicio rechaza ciertos caracteres. Activa el toggle Evitar ambiguos para quitar Il1Oo0, que hace la transcripción manual viable sin perder entropía relevante.

El master password es un problema distinto

Tu master password de Bitwarden es el único secreto que tienes que escribir, recordar y no guardar en ningún sitio. 20 caracteres random te fallan en recordar. Usa una passphrase: de 5 a 7 palabras de una lista larga (Diceware, EFF) te da entre 65 y 90 bits de entropía y de verdad la recuerdas.

caballo correcto pila grapa cuaderno mesa

El generador de Bitwarden tiene modo Passphrase exactamente para esto. Actívalo, pon 6 palabras y usa el resultado como master password. Evita tus propios slogans o citas de libros; la entropía la pone el seleccionador de palabras, no las palabras.

Combina la passphrase con una llave hardware (YubiKey) o TOTP como segundo factor. El KDF de abajo hace el master password lento de fuerza bruta, el segundo factor lo hace inútil sin el dispositivo.

Argon2id es el KDF moderno

Bitwarden deriva tu clave de cifrado a partir del master password mediante una función de derivación de claves (KDF). Los vaults antiguos usan PBKDF2 con 100.000 iteraciones. Los nuevos vienen con Argon2id (RFC 9106), que es memory-hard y resistente a GPU y ASIC en una medida que PBKDF2 fundamentalmente no alcanza.

Si tu vault es de antes de 2023, mira Configuración, Seguridad, Claves: el desplegable KDF te enseña lo que tienes. Cambiar de PBKDF2 a Argon2id re-cifra el vault con la clave derivada nueva. Es un click en el vault web y es una de las mejoras de seguridad gratuitas con más palanca que puedes hacer.

Parámetros de Argon2id que conviene conocer: 64 MiB de memoria, 3 iteraciones, 4 de paralelismo. Bitwarden los pone por defecto, y son los del segundo perfil que recomienda el autor del RFC 9106 (más bajo que el primero ultra paranoico, más alto que cualquier cosa que pueda dar PBKDF2).

Las contraseñas generadas viven en el vault, no en tu cabeza

Todo el sentido de Bitwarden es que no memorices contraseñas por sitio. Genera una larga aleatoria, guárdala en el vault, no la escribas a mano nunca. Si te entra el gusanillo de querer una contraseña "memorable" para algún sitio, eso es señal de que estás a punto de generar riesgo de reutilización; aguanta.

Para servicios que limitan la longitud (bancos, aerolíneas, la cola larga de sistemas legacy) genera al máximo permitido con las clases que acepten. Una contraseña de 16 chars sobre a-zA-Z0-9 aún son 95 bits de entropía.

Para credenciales máquina a máquina (tokens API, contraseñas de base de datos) genera 32 caracteres o más y guárdalos en Bitwarden Secrets Manager en lugar del vault personal, así separas las políticas de auditoría y rotación de tus logins individuales.

Ejemplo completo

bash

# CLI de Bitwarden: genera y guarda al vuelo
bw generate -ulns --length 20

# Genera una passphrase de 6 palabras útil como master
bw generate --passphrase --words 6 --separator "-"

# Guarda el valor generado en un login nuevo
PASS=$(bw generate -ulns --length 20)
bw get template item |
  jq --arg name "GitHub" --arg user "ada" --arg pass "$PASS" \
     '.name = $name | .login.username = $user | .login.password = $pass' |
  bw encode |
  bw create item

¿Solo necesitas el resultado?

Cuando quieres una contraseña sin depender de tener Bitwarden abierto delante (un share puntual con un compañero, una semilla one-off para un secret de CI), el generador de contraseñas en navegador corre en local con la Web Crypto API, te da la misma entropía que el RNG, y te deja copiar o generar en lote sin abrir el cliente Bitwarden.

Abrir Generador de Contraseñas Seguras →

Preguntas frecuentes

¿Generador interno de Bitwarden o externo?

Cualquiera. Ambos usan RNGs criptográficamente seguros (Web Crypto en navegador, módulo secrets en móvil). El interno es cómodo porque guarda directo en el vault. Uno externo viene bien para generación masiva o cuando quieres mirar los parámetros con lupa.

¿Cómo migro mi vault de PBKDF2 a Argon2id?

Entra al vault web, Configuración de cuenta, Seguridad, Claves. Cambia el desplegable KDF de PBKDF2 a Argon2id y pulsa Cambiar KDF. El vault se re-cifra con la nueva clave derivada. Cierra sesión y vuelve a entrar una vez. Hecho en menos de un minuto.

¿Qué longitud debe tener mi master password de Bitwarden?

Si son caracteres aleatorios: 16 a 20. Si es passphrase: 5 a 7 palabras de una lista larga. El KDF convierte cualquiera de las dos en unos 80 a 100 bits de resistencia efectiva a brute force, lo que excede el presupuesto de cualquier atacante real en el horizonte previsible.