Todo permanece en su navegador. No se transmite contraseña, el cálculo es completamente local. La única solicitud externa es un cheque de fuga anónimo (5 primeros caracteres hash SHA-1, nunca contraseña).

Fuentes científicas

Time2Crack se basa en la investigación académica en criptografía, seguridad informática y estimación de la fuerza de contraseña. Esta página enumera las fuentes científicas que validan nuestros algoritmos, métodos de evaluación y calibraciones.

Cuadro de contenidos

Navegación rápida

Sección 1: Estimación de la fuerza de contraseña

Estimación de la fuerza de contraseña

Wheeler, D.L. (2016). zxcvbn: Estimación de la fuerza de contraseña de bajo costo. In Procedimientos del 25o Simposio de Seguridad USENIX (pp. 157 a 173). USENIX Association. https://www.usenix.org/system/files/conference/usenixsecurity16/sec16 paper wheeler.pdf
Relevancia: Metodología de fundación para la estimación realista de la fuerza de contraseña. Wheeler (2016) afirma que los metros basados en la entropía (NIST, OWASP) sobreestiman significativamente la seguridad. Time2Crack sigue este enfoque: estimar el costo del ataque más conocido, no la entropía teórica.
Pasquini, D., Continuously, A., Durmuth, M., " Buscher, M. (2021). Reducing Bias in Modeling Real-World Password Strength for Tree-based Models. In Proceedings of the 30th USENIX Security Simposium (pp. 3007–3024). USENIX Association. https://arxiv.org/pdf/2105.14170.pdf
Relevancia: Análisis crítico de sesgos en modelos de fuerza de contraseña. Muestra los resultados del sesgo de conjunto de datos. Time2Crack utiliza rockyou2021 (32.6M contraseñas ponderadas) para minimizar este prejuicio.
Sección 2: Evaluación de la medición

Métodos de evaluación

Wang, D., " Ding, S. (2023). No Single Silver Bullet: Medir la exactitud de los medidores de fuerza de contraseña. In Proceedings of the 32nd USENIX Security Simposium (pp. 2575–2592). USENIX Association. https://www.usenix.org/system/files/sec23fall-prepub-291 wang-ding.pdf
Relevancia: Estudio comparativo importante (USENIX 2023) de 12 medidores de fuerza de contraseña de 14 dataset real. Determina que:
  • Correlación de Spearman ponderado es la métrica estándar para evaluar la precisión
  • Meta científica: ρ œ 0.85 para una buena calibración
  • No hay metro sin compromiso (zxcvbn: ρ=0.76, Hive Systems: ρ=0.68)
Time2Crack tiene como objetivo δ 0.80 en general.
Golla, M., " Dürmuth, M. (2018). Sobre la exactitud de los medidores de fuerza de contraseña. In Proceedings of the 25th ACM Conference on Computer and Communications Security (pp. 1567-1580). ACM. https://maximiliangolla.com/files/2018/papers/ccsf285-finalv3.pdf
Relevancia: Marco de evaluación sistemático para contadores de contraseña (2018). Recomendar: Correlación Spearman + divergencia Kullback-Leibler para ataques sin conexión. Time2Crack incorpora estas dos métricas.
Castelluccia, C., Durmuth, M., " Perito, D. (2017). Adaptive Password-Strength Meters de Markov Models. In Procedimientos del Simposio NDSS. Sociedad de Internet. https://www.ndss-symposium.org/wp-content/uploads/2017/09/06 3.pdf
Relevancia: Presenta métrica α-Guesswork (Gα) : Proporción de contraseñas agrietadas con intentos G. Evaluar la seguridad práctica del modelo.
Sección 3: Modelos de ataque

Modelos de ataque

Ma, J., Yang, W., Luo, M., " Li, N. (2014). Un estudio de los modelos probabilísticos de contraseña. In Proceedings of the 35th IEEE Symposium on Security and Privacy (pp. 689-704). IEEE. https://www.ieee-security.org/TC/SP2014/papers/A%20Study%20 of%20Probabilistic%20Password%20Models.pdf
Relevancia: Comparación fundacional de modelos probabilísticos (Markov, PCFG, neural). Determina que los ataques por combinación de palabras se subestiman por fórmulas ingenuas ( multiplicación de crecimiento = hipótesis de independencia falsa). Time2Crack corrige esto con calibración empírica rocosa.
Dürmuth, M., Brostoff, S., " Oprea, A. (2015). El éxito de las aplicaciones web a pesar de la dificultad de las reglas de creación de contraseñas. In Procedimientos del 22o Simposio NDSS. Sociedad de Internet. https://www.ndss-symposium.org/wp-content/uploads/2017/09/ndss2015 09-4 durhmuth paper.pdf
Ur, B., Alfayez, P. G., Bhamasamy, S. M., " Cranor, L. F. (2015). Diseño y evaluación de un medidor de contraseña digital. In Proceedings of the ACM SIGCHI Conference on Human Factors in Computing Systems (pp. 3775–3786). ACM. https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-ur.pdf
Sección 4: Markov y PCFG

Modelos Markov y PCFG

Weir, M., Aggarwal, S., Collins, M., " Stern, H. (2009). Prueba de métricas para políticas de creación de contraseñas mediante la toma de grandes conjuntos de contraseñas reveladas. In Proceedings of the 17th ACM Conference on Computer and Communications Security (pp. 162-175). ACM. https://www.researchgate.net/publication/221614956
Relevancia: Metodología de fundación de PCFG (probabilistic Context-Free Grammar). Establecido:
  • Desglose de estructuras (L=letter, D=digit, S=symbol)
  • umbral de esqueleto 20-50 para capturar estructuras reales
  • Validación en conjuntos de datos reales (LinkedIn, Yahoo, RockYou)
Time2Crack utiliza SKELETON THRESHOLD=100 (revisión para disminuir a 30-50).
Dürmuth, M., Freeman, D., " Yazan, B. (2014). Contraseña Adivina con Redes Neurales. In Procedimientos del 25o Simposio de Seguridad USENIX. USENIX Association. https://courses.csail.mit.edu/6.857/2017/project/13.pdf
Houshmand, S., " Aggarwal, S. (2015). Siguiente Gen PCFG Password Cracking. In Transacciones de IEEE sobre Forenses de Información y Seguridad, 10(8), 1776–91. IEEE. https://ieeexplore.ieee.org/document/7098389
Relevancia: Próxima expansión PCFG con mejoras de rendimiento y precisión. Enfoque válido PCFG en millones de contraseñas.
Narayanan, A., " Shmatikov, V. (2005). Diccionario rápido Ataques a contraseñas usando Time-Space Tradeoff. In Proceedings of the 12th ACM Conference on Computer and Communications Security (pp. 364–372). ACM. https://www.usenix.org/legacy/event/sec05/tech/full papers/narayanan/narayanan.pdf
Relevancia: Fundaciones de ataques por diccionario y tablas de groove. Los conjuntos que diccionario + mutaciones cubren ~95% de contraseñas en la práctica.
Sección 5: Calibración y Datasets

Calibración y conjunto de datos

Zhang, Y., Monrose, F., " Reiter, M. K. (2010). The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Study. In Proceedings of the 17th ACM Conference on Computer and Communications Security (pág. 176-186). ACM. https://users.cs.jmu.edu/reiter/papers/10ccs.pdf
National Institute of Standards and Technology (NIST) (2024). SP 800-132: Función de Derivación Clave Basada en Contraseña (PBKDF2). U.S. Department of Commerce https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nists specialpublication800-132.pdf
National Institute of Standards and Technology (NIST) (2024). SP 800-63-3: Digital Identity Guidelines - Authentication and Lifecycle Management. U.S. Department of Commerce https://pages.nist.gov/800-63-3/sp800-63b.html
Relevancia: Recomendaciones NIST para seleccionar contraseñas y algoritmos de hash. Establecido:
  • bcrypt, scrypt, PBKDF2, Argon2 como algoritmos aceptables
  • MD5, SHA-1 no salted are not acceptable (rainbow tables)
  • diccionarios de 100k+ palabras recomendadas para ataques
Hive Systems (2025). Hive Systems Password Table 2025. https://www.hivesystems.io/password-table
Relevancia: Referencia de referencia industrial con 12× RTX 4090 GPUs. Time2Crack utiliza este perfil como un "ataque experimentado" de referencia (12 GPU cluster).
Sprengers, Sr. (2011). Cracking de contraseña basado en GPU (Tesis del Maestro) Universidad Radboud Nijmegen. https://www.ru.nl/
Relevancia: Estudio de velocidad GPU para el cracking hash. para MD5, SHA-1, NTLM, bcrypt con GPU moderno.
Sección 6: Tasas de Hash

Velocidades y puntos de referencia de Hash

Hashcat Project (2025). Hashcat - Advanced Password Recovery (Official Benchmarks v6.2.6). https://hashcat.net/hashcat/
Relevancia: Parámetros oficiales de Hashcat en RTX 4090 para todos los algoritmos de hash. Time2Crack utiliza estos números como velocidades únicas de GPU y los multiplica por 12 para el perfil experimentado.
Gosney, J. (2016). 8x Nvidia GTX 1080 Hashcat Benchmarks. GitHub Gist. https://gist.github.com/epixoip/
Relevancia: Primer sistema para superar 330 GH/s NTLM (8 GPU cluster). Validado por la industria como referencia multi-GPU.
Amazon Web Services (2024). Amazon EC2 P4d Proceedings - GPU Computing. https://aws.amazon.com/ec2/e instance-types/p4/
Relevancia: Infraestructura comercial de GPU disponible (grupos de 100-1000 GPU). Time2Crack utiliza para perfiles profesionales (~100 GPU).
Referencias adicionales

Referencias adicionales

Oechsle, D., Bauer, L., Grupe, J., " Durmuth, M. (2021). Hacia un análisis estadístico riguroso de los datos empíricos de contraseña. arXiv preprint arXiv:2105.14170. https://arxiv.org/abs/2105.14170
Klebanov, S., " Malone, D. (2012). Investigando la distribución de opciones de contraseña. In Actas de la 21a Conferencia Internacional Mundial en la Web (pp. 569-578). ACM. https://www.maths.tcd.ie/~dwmalone/p/www2012.pdf
Castelluccia, C., Durmuth, M., " Perito, D. (2015). Contraseña Adivina a través de modelos de lenguaje neuronal. In Transacciones de IEEE sobre Forenses de Información y Seguridad, 10(6), 1285–1296. IEEE. https://link.springer.com/chapter/10.1007/978-3-030-30619-9 7
Asgharpour, F., Bardas, A. G., " Liu, D. (2017). Comparando y Combinando Métodos de Análisis de Sentidos. In Proceedings of the COLING (pp. 1637-1648). ACL.

Actualización: 17 abril 2026

← Volver a la herramienta