Quina llargada hauria de tenir una contrasenya

Les contrasenyes protegeixen gairebé tot el que fem en línia: correu electrònic, banca, xarxes socials, emmagatzematge al núvol, plataformes de desenvolupament i molt més. Escollir la llargada adequada (i la composició) d’una contrasenya és una de les maneres més senzilles de millorar la seguretat sense canviar massa la teva rutina diària.

Aquest article explica quina és la llargada recomanada per a una contrasenya, per què la llargada importa, què diuen els estàndards oficials i com pots crear contrasenyes fortes i úniques, fàcils de gestionar.

Què és una contrasenya robusta?

Una contrasenya robusta és aquella que és difícil d’endevinar o calcular per als atacants. La força prové de dos ingredients principals:

• Llargada: més caràcters augmenten dràsticament el nombre de possibles combinacions.
• Imprevisibilitat: aleatorietat i evitar patrons habituals o informació personal.

Quan aquests dos factors són presents, les contrasenyes resisteixen els atacs de força bruta (provar totes les combinacions possibles), els atacs de diccionari (provar paraules i patrons habituals) i moltes altres tècniques automàtiques de trencament.

Llargada mínima de la contrasenya: fixa’t en 16 caràcters (o més)

Els experts en seguretat remarquen de manera constant la importància de la llargada. L’Agència de Ciberseguretat i Infraestructura dels Estats Units (CISA) recomana escollir contrasenyes “llargues—d’almenys 16 caràcters (encara millor si són més llargues)”. Pots consultar la seva guia aquí: https://www.cisa.gov/secure-our-world/require-strong-passwords

El National Institute of Standards and Technology (NIST) manté una postura similar a les seves Digital Identity Guidelines, subratllant que la llargada és el factor principal per determinar la fortalesa d’una contrasenya, i que cal animar els usuaris a crear contrasenyes més llargues quan sigui viable. Consulta: https://pages.nist.gov/800-63-4/sp800-63b.html

A la pràctica, s’hauria de considerar 14 caràcters com el límit inferior, mentre que 16 o més seria l’objectiu ideal. Per a comptes especialment sensibles o de llarga durada, anar encara més enllà és beneficiós—sempre que el lloc ho permeti i puguis emmagatzemar la contrasenya de manera segura.

És millor la contrasenya més llarga possible?

Més llarg sol ser més fort davant intents de força bruta. Però hi ha alguns factors pràctics a considerar:

• Límits dels llocs: Alguns serveis limiten la llargada màxima o restringeixen certs caràcters. Quan passa això, utilitza la llargada màxima permesa amb la màxima aleatorietat.
• Usabilitat: Si introdueixes contrasenyes en dispositius petits o en entorns complicats, cadenes massa llargues poden ser poc pràctiques—a menys que utilitzis un gestor de contrasenyes per omplir-les automàticament.
• Model d’amenaces: Per comptes amb límits d’intents estrictes i autenticació multifactor (MFA), superar els 20–24 caràcters pot tenir un benefici menor comparat amb habilitar MFA i assegurar la unicitat.

En resum: Utilitza la contrasenya més llarga i aleatòria que encaixi amb la política del lloc i el teu flux de treball—i afegeix MFA sempre que sigui possible.

Cal que tingui números, majúscules i caràcters especials?

Molts llocs exigeixen una combinació de tipus de caràcters (minúscules, majúscules, dígits, símbols). Incloure diferents conjunts generalment augmenta l’espai de cerca i dificulta els atacs per endevinar. Tot i això, les “regles de complexitat” són menys rellevants que la llargada i l’aleatorietat. Una contrasenya aleatòria de 20 caràcters amb només lletres pot ser més forta que una cadena de 8 caràcters que barregi tots els tipus.

Si el lloc obliga a complir certes regles de composició, deixa que el teu gestor de contrasenyes generi una contrasenya aleatòria que s’hi adapti. Si no ho fa, prioritza la llargada i l’aleatorietat per sobre de la complexitat forçada.

Els quatre conjunts de caràcters que es solen esmentar són:

1. Dígits (0–9)
2. Lletres minúscules (a–z)
3. Lletres majúscules (A–Z)
4. Símbols (ex: ! $ % & ? # @)

Aleatorietat: la clau de la veritable fortalesa

La llargada sola no és suficient si la contrasenya segueix patrons previsibles. Evita:

• Passis de teclat com 1qaz2wsx o qwertyuiop
• Paraules i frases habituals (encara que siguin molt llargues)
• Informació personal (noms, dates, adreces)

Dues bones maneres d’aconseguir aleatorietat usable:

• Contrasenyes aleatòries: Deixa que un generador de contrasenyes creï cadenes de 16–24 caràcters que incloguin diferents conjunts de caràcters. Desa-les en un gestor de contrasenyes i oblida’t de memoritzar-les.
• Frases de pas: Fes servir 4–6 paraules escollides aleatòriament (no una cita coneguda o una lletra de cançó). Frases de pas aleatòries com túnel-iman-setí-oxigen-duet poden ser llargues i més memorables. Afegeix separadors i, si està permès, algun símbol o dígit.

Per què “molt llarga” pot seguir sent dèbil

Algunes cadenes llargues són fàcils de trencar perquè segueixen patrons evidents o apareixen en bases de dades de filtracions. Per exemple, seqüències de teclat, blocs repetits de caràcters o “trucs” molt difosos són dels primers intents que proven les eines modernes. La llargada ha d’estar combinada amb aleatorietat per ser realment efectiva.

Abans d’utilitzar una contrasenya, et convé assegurar-te que no es troba en cap llista coneguda de filtres o filtracions. Molts gestors de contrasenyes i eines de seguretat inclouen comprovacions “have I been pwned” o similars. També pots fer servir un avaluador de fortalesa de contrasenyes per avaluar-les.

Més enllà de l’endevinació: riscos de phishing i reutilització

No totes les violacions de comptes impliquen endevinaments. El phishing i la reutilització són causes habituals de compromís:

• Phishing: Fins i tot una contrasenya de 30 caràcters pot ser robada si la poses en un lloc fraudulent. Fes servir MFA sempre que puguis i considera claus de seguretat per a comptes d’alt valor.
• Reutilització: Si reutilitzes una contrasenya, una filtració en un lloc pot afectar-ne d’altres. Contrasenyes úniques per cada web redueixen l’impacte de cada filtració.

La llargada ajuda contra l’endevinació, però el phishing i la reutilització es mitiguen amb MFA i un gestor de contrasenyes que generi credencials úniques automàticament.

Bones pràctiques per contrasenyes fortes

• Utilitza un gestor de contrasenyes: Genera i desa contrasenyes úniques i aleatòries per a cada servei. Així no cal que les recordis i pots fer servir cadenes llargues sense problema.
• Prioritza llargada i aleatorietat: Fes contrasenyes de 16+ caràcters. Si pots, combina diferents conjunts de caràcters, però no sacrifiquis llargada per seguir regles arbitràries.
• Activa MFA a tot arreu: TOTP per app, notificacions push o claus de maquinari redueixen molt el risc.
• No reutilitzis contrasenyes: Un web, una contrasenya—sempre.
• Evita informació personal i patrons: No hi posis noms, aniversaris, adreces ni seqüències de teclat.
• Revisa els comptes crítics periòdicament: Correu electrònic, bancs, plataformes de desenvolupament i consoles d'administració mereixen especial atenció.

Com gestionar contrasenyes úniques i robustes per cada compte

La forma pràctica d’utilitzar contrasenyes úniques de 16–24 caràcters en desenes (o centenars) de llocs és utilitzar un gestor de contrasenyes. Així pots:

• Generar contrasenyes robustes adaptades a cada política (prova el nostre generador de contrasenyes)
• Omplir automàticament per evitar errors i minimitzar el risc de mirades indiscretes
• Sincronitzar de forma segura entre dispositius
• Detectar contrasenyes reutilitzades, febles o filtrades (prova el nostre avaluador de fortalesa)

Si algun lloc limita la llargada o restringeix símbols, configura el generador per adaptar-s’hi—sempre prioritzant la llargada màxima.

Recomanacions ràpides

• Comptes quotidians: 16–20 caràcters aleatoris
• Comptes d’alt valor (correu, bancs, administrador de núvol): 20–24 caràcters aleatoris + MFA
• Secrets de llarga durada (claus API, claus SSH): desa-les en el gestor; segueix la guia de cada plataforma; usa frases de pas només si són realment aleatòries

Reflexió final

Quina llargada hauria de tenir una contrasenya? Tanta com permeti el lloc—intenta que siguin almenys 16 caràcters—i que sigui aleatòria i única. Afegeix MFA per una segona capa de seguretat sòlida. Amb un gestor de contrasenyes que s’ocupi de generar-les i desar-les, pots tenir una seguretat forta sense carregar més la memòria.