Preferencias de cookies
Usamos cookies para analítica. Política de privacidad Puedes aceptar o rechazar el seguimiento no esencial.
Guía práctica sobre «Generación segura de contraseñas para cuentas de servicio»: pasos clave, errores comunes e implementación con Generador de Contraseñas.
Ir a la herramienta
Generador criptográficamente seguro de contraseñas.
Las cuentas de servicio autentican procesos automatizados -- pipelines CI/CD, conectores de bases de datos, llamadas entre microservicios. Sus credenciales necesitan reglas fundamentales diferentes a las contraseñas humanas.
Las contraseñas humanas equilibran seguridad con memorabilidad. Las cuentas de servicio no tienen tal restricción. Objetivo:
Generar en la línea de comandos:
# 32 bytes aleatorios → 64-car string en hex (~128 bits de entropía)
openssl rand -hex 32
# salida: a3f7b2c1d4e5f60789ab01cd23ef45...
# 32 bytes aleatorios → 43-car string en Base64
openssl rand -base64 32
# salida: o/ez7LHk5fYHirsBzSPvRQ4m...
# Alternativa a /dev/urandom
head -c 32 /dev/urandom | xxd -p -c 64O usar el Generador de Contraseñas con longitud máxima y todos los tipos de caracteres habilitados para generación rápida.
| Credencial | Formato | Rotación | Ámbito |
|---|---|---|---|
| **API key** | Longa cadena aleatoria, a menudo prefijada (`sk_live_...`) | Al requerirse o programada | Ligada al servicio, no al usuario |
| **Contraseña** | Almacenada en forma de hash (bcrypt/argon2) | Al comprometerse o según programación | Autenticación al iniciar sesión |
| **Token (JWT/OAuth)** | Firmado, de corta duración (15min-1hr) | Expira automáticamente, token de refresco rota | Permisos escalonados por solicitud |
Las credenciales en el código se filtran. Periodo.
# MALO -- comprometido en git
DB_PASSWORD="supersecret123"
# BUENO -- inyectado en tiempo de ejecución
export DB_PASSWORD=$(aws secretsmanager get-secret-value \
--secret-id prod/db/password \
--query 'SecretString' --output text)Use un administrador de secretos:
.env comprometido en git)La rotación manual no sucede. Automatícela:
AWS Secrets Manager admite esto nativamente con funciones de rotación de Lambda. Vault lo hace con secretos dinámicos -- las credenciales se generan en tiempo real y expiran automáticamente.
# .gitignore
.env
.env.*
*.pem
*.key
# Hook de pre-commit: escaneo de secretos
# Use gitleaks, truffleHog o git-secrets
gitleaks detect --source . --verboseEste artículo es revisado por el equipo editorial de Tools Hub para validar precisión, relevancia práctica y consistencia con los flujos actuales del producto.
Última revisión:
Guía práctica sobre «Política de contraseñas: longitud frente a complejidad»: pasos clave, errores comunes e implementación con Generador de Contraseñas.
Guía práctica sobre «VPN para Wi-Fi público y seguridad en viajes»: pasos clave, errores comunes e implementación con Generador de Contraseñas.
Revisión de código AI instantánea — encuentra bugs, vulnerabilidades de seguridad y problemas de rendimiento antes del pull request.
Guía práctica sobre «Umbrales del nexo del impuesto sobre las ventas por estado»: pasos clave, errores comunes e implementación con Calculadora de Impuesto sobre Ventas.