En el fondo todos sabemos que \u201c123456\u201d, \u201cpassword\u201d, el nombre del perro o el a\u00f1o de nacimiento no son precisamente contrase\u00f1as seguras\u2026 y sin embargo seguimos us\u00e1ndolas.<\/p>\n\n\n\n
El dato que m\u00e1s asusta: seg\u00fan diferentes estudios de los \u00faltimos a\u00f1os, entre el 76% y el 81% de las brechas de seguridad involucran credenciales d\u00e9biles o reutilizadas.<\/p>\n\n\n\n
Por eso hoy vamos a construir juntos, paso a paso, un generador de contrase\u00f1as realmente robusto en PHP<\/a>, utilizando aleatoriedad criptogr\u00e1fica y evitando los sesgos que tienen muchas implementaciones caseras.<\/p>\n\n\n\n Cuando usamos rand()<\/a><\/strong>, mt_rand()<\/a><\/strong> o incluso el famoso rand(1000000,9999999)<\/strong> para generar c\u00f3digos o contrase\u00f1as, estamos trabajando con generadores pseudoaleatorios.<\/p>\n\n\n\n Son muy \u00fatiles para juegos, animaciones, simulaciones\u2026 pero no para seguridad.<\/p>\n\n\n\n La raz\u00f3n principal es que si un atacante llega a conocer:<\/p>\n\n\n\n \u2026 en muchos casos puede reconstruir toda la secuencia futura.<\/p>\n\n\n\n Para contrase\u00f1as (y cualquier secreto criptogr\u00e1fico) necesitamos algo mucho m\u00e1s fuerte: aleatoriedad criptogr\u00e1ficamente segura<\/strong> (CSPRNG).<\/p>\n\n\n\n En PHP moderno (\u22657.0) la forma recomendada y m\u00e1s sencilla es usar random_bytes()<\/strong>.<\/p>\n\n\n\n Esta funci\u00f3n aprovecha las fuentes de entrop\u00eda del sistema operativo (interrupciones de hardware, eventos del kernel, etc.), por lo que el resultado es impredecible incluso para alguien que conozca todo el estado interno previo.<\/p>\n\n\n\n La seguridad de las contrase\u00f1as no se trata solo de la longitud, sino de la calidad de la aleatoriedad. Con \u00bfQu\u00e9 diferencia hay entre \u201caleatorio\u201d y \u201ccriptogr\u00e1ficamente seguro\u201d?<\/h2>\n\n\n\n
\n
El c\u00f3digo \u2013 Funci\u00f3n generateSecurePassword()<\/h2>\n\n\n\n
<?php\n\n\/**\n * Genera una contrase\u00f1a fuerte usando aleatoriedad criptogr\u00e1fica sin sesgos\n * \n * @param int $length Longitud deseada (m\u00ednimo 8)\n * @param bool $useNumbers Incluir n\u00fameros\n * @param bool $useLowercase Incluir min\u00fasculas\n * @param bool $useUppercase Incluir may\u00fasculas\n * @param bool $useSymbols Incluir s\u00edmbolos\n * @param bool $useSpaces Incluir espacios (\u00a1cuidado con esta opci\u00f3n!)\n * @param string $customSymbols S\u00edmbolos personalizados (si se env\u00eda, reemplaza los predeterminados)\n * \n * @return string Contrase\u00f1a generada\n *\/\nfunction generateSecurePassword(\n int $length = 12,\n bool $useNumbers = true,\n bool $useLowercase = true,\n bool $useUppercase = true,\n bool $useSymbols = true,\n bool $useSpaces = false,\n string $customSymbols = ''\n): string {\n \/\/ Protecci\u00f3n b\u00e1sica contra longitudes peligrosamente cortas\n $length = max(8, $length);\n\n \/\/ Conjuntos de caracteres\n $numbers = '0123456789';\n $lowercase = 'abcdefghijklmnopqrstuvwxyz';\n $uppercase = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';\n $symbols = $customSymbols !== '' \n ? $customSymbols \n : '!@#$%^&*()-_=+[]{}|;:,.<>?\/~`';\n\n $spaces = ' ';\n\n \/\/ Construimos el pool completo seg\u00fan las opciones elegidas\n $chars = '';\n if ($useNumbers) $chars .= $numbers;\n if ($useLowercase) $chars .= $lowercase;\n if ($useUppercase) $chars .= $uppercase;\n if ($useSymbols) $chars .= $symbols;\n if ($useSpaces) $chars .= $spaces;\n\n \/\/ Caso extremo: el usuario desactiv\u00f3 TODO \u2192 fallback razonable\n if ($chars === '') {\n $chars = $lowercase . $uppercase . $numbers;\n }\n\n $charsLength = strlen($chars);\n\n \/\/ Generador de \u00edndice aleatorio sin sesgo (rejection sampling)\n $getUnbiasedIndex = function (int $max) use (&$random_bytes): int {\n $maxSafe = (floor(255 \/ $max)) * $max;\n\n do {\n $byte = random_bytes(1);\n $value = ord($byte);\n } while ($value >= $maxSafe);\n\n return $value % $max;\n };\n\n \/\/ Generamos la contrase\u00f1a base\n $password = '';\n for ($i = 0; $i < $length; $i++) {\n $index = $getUnbiasedIndex($charsLength);\n $password .= $chars[$index];\n }\n\n \/\/ Garantizamos al menos un car\u00e1cter de cada tipo solicitado\n $required = [];\n if ($useNumbers) $required[] = $numbers[random_int(0, 9)];\n if ($useLowercase) $required[] = $lowercase[random_int(0, 25)];\n if ($useUppercase) $required[] = $uppercase[random_int(0, 25)];\n if ($useSymbols) $required[] = $symbols[random_int(0, strlen($symbols) - 1)];\n if ($useSpaces) $required[] = ' ';\n\n \/\/ Mezclamos las posiciones donde insertaremos los caracteres obligatorios\n $positions = range(0, $length - 1);\n shuffle($positions); \/\/ \u2190 \u00a1shuffle usa Mersenne Twister, pero solo para posiciones!\n\n foreach ($required as $i => $char) {\n if (isset($positions[$i])) {\n $password[$positions[$i]] = $char;\n }\n }\n\n return $password;\n}<\/code><\/pre>\n\n\n\nPuntos clave que hacen diferente (y m\u00e1s seguro) este generador<\/h2>\n\n\n\n
\n
Ejemplo de uso r\u00e1pido<\/h2>\n\n\n\n
$pass = generateSecurePassword(\n length: 16,\n useNumbers: true,\n useLowercase: true,\n useUppercase: true,\n useSymbols: true,\n customSymbols: '!@#*_$%'\n);\n\necho \"Contrase\u00f1a generada: \" . $pass;\n\/\/ Ejemplo de salida: kP$9mW#vL2qR*8nT<\/code><\/pre>\n\n\n\nRecomendaciones finales r\u00e1pidas<\/h2>\n\n\n\n
\n
random_bytes()<\/strong><\/code> y zero sesgos, este generador es imbatible para apps cotidianas. Podr\u00edas extenderlo con passphrases o exclusi\u00f3n de caracteres ambiguos (como ‘O’ vs ‘0’) en versiones futuras.<\/p>\n\n\n\n