Por Que Importa la Aleatoriedad Criptografica
Los tokens predecibles son una vulnerabilidad de seguridad importante. Si un atacante puede adivinar un token de sesion, puede secuestrar cuentas de usuario. Math.random() usa algoritmos como xorshift128+ cuyo estado interno puede recuperarse de salidas observadas. La funcion getRandomValues() de la Web Crypto API extrae del pool de entropia del sistema operativo, recolectando aleatoriedad de eventos de hardware, haciendo la prediccion computacionalmente imposible.
Entendiendo Conjuntos de Caracteres y Entropia
La entropia mide la impredecibilidad de un token en bits. Cada caracter contribuye log2(tamano_conjunto) bits. Los tokens alfanumericos usan 62 caracteres dando unos 5.95 bits por caracter. Los tokens hex usan 16 caracteres dando exactamente 4 bits por caracter. Para un objetivo de 128 bits de seguridad, necesitas 22 caracteres alfanumericos o 32 caracteres hex. Tokens mas largos con conjuntos mas grandes proporcionan exponencialmente mas proteccion.
Mejores Practicas de Generacion de Tokens
Siempre usa generadores de numeros aleatorios criptograficamente seguros para tokens de seguridad. Nunca truncar ni modificar tokens despues de generarlos ya que esto puede reducir la entropia. Almacena tokens de forma segura usando hashing para almacenamiento en base de datos. Establece tiempos de expiracion apropiados para tokens de sesion. Usa tokens diferentes para distintos propositos — nunca reutilices una clave API como token de sesion.
Formatos Comunes de Tokens y Estandares
Diferentes aplicaciones requieren diferentes formatos de token. UUID v4 usa 122 bits aleatorios en un formato hex especifico. Los tokens JWT codifican claims con una firma aleatoria. OAuth2 usa tokens portador opacos que deberian tener al menos 128 bits de entropia. Las claves API de base de datos a menudo usan codificacion Base64 o alfanumerica para seguridad URL. Elige el formato que mejor se adapte a tu aplicacion.
