Seguridad de contraseñas en 2026: lo que todo desarrollador debe saber

La seguridad moderna de contraseñas ya no gira en torno a reglas arbitrarias de complejidad. Importan más la longitud, la aleatoriedad y la resistencia al phishing.

La longitud gana

Una passphrase larga suele ser más fuerte y usable que una contraseña corta llena de símbolos. Lo importante es evitar patrones previsibles del usuario.

Almacenar con hashes lentos

Para almacenar contraseñas no uses hashes rápidos como SHA-256. Debes usar Argon2 o bcrypt, con salt y, si aplica, una estrategia complementaria como pepper.

MFA y passkeys

En cuentas sensibles, la contraseña por sí sola no basta. WebAuthn y las passkeys ofrecen una defensa mucho más fuerte contra phishing y robo de credenciales.

Checklist operativo

• Permitir contraseñas largas
• Bloquear contraseñas filtradas
• Evitar rotaciones forzadas sin motivo
• Aplicar rate limiting al login y al reset