Generador de API Keys
Genera API keys criptográficamente seguras con prefijos estándar de la industria. Longitud configurable, entropía y estimación de tiempo de crackeo. 100% en tu navegador.
¿SABÍAS QUE?
Stripe usa el prefijo 'sk_live_' para keys de producción y 'sk_test_' para pruebas. Los tokens de GitHub empiezan con 'ghp_' y se escanean automáticamente en repos públicos — si subes uno, GitHub lo revoca en segundos. Los prefijos hacen que las keys filtradas sean identificables al instante.
Seguridad de API keys para developers
Qué hace una buena API key
Una API key fuerte es larga (32+ caracteres), usa un charset amplio (alfanumérico = 62 chars), y se genera desde una fuente criptográficamente segura. Prefijos como 'sk_live_' ayudan a identificar servicio y entorno. La key en sí debe ser aleatoria — sin patrones, sin timestamps, sin IDs de usuario. Este generador usa Web Crypto API para máxima entropía.
API keys vs contraseñas vs tokens
Las API keys autentican aplicaciones, no humanos. Son más largas que contraseñas (32-128 chars), alfanuméricas y no están pensadas para memorizarse. A diferencia de contraseñas, las API keys se guardan en variables de entorno o vaults y se acceden programáticamente. Los JWTs son tokens firmados que llevan claims y expiran. Las claves de cifrado son valores binarios de tamaño fijo para AES o similares.
Cómo se filtran las API keys
La causa #1 de filtraciones es commitear a git por accidente. Los developers pegan keys en archivos .env, olvidan el .gitignore y suben a GitHub. GitGuardian reportó más de 10 millones de secrets expuestos en repos públicos solo en 2023. Otros vectores: keys hardcodeadas en frontend, compartidas por Slack o dejadas en logs de CI/CD. Usa un vault para guardar keys e inyectarlas en runtime.
Más herramientas de seguridad para developers
Preguntas frecuentes sobre API keys
Al menos 32 caracteres alfanuméricos (62 valores posibles por carácter). Esto da 190+ bits de entropía, haciendo ataques de fuerza bruta inviables. Muchos servicios usan 40-64 caracteres. Más largo es mejor — no hay coste de usabilidad ya que las keys nunca se escriben manualmente.
Los prefijos sirven para: identificar el servicio (sk = Stripe, ghp = GitHub), el entorno (live vs test) y el tipo de key (secreta vs publicable). También permiten escaneo automático — GitHub, GitGuardian y otras herramientas detectan keys filtradas al instante por su patrón de prefijo.
La buena práctica es rotar cada 90 días en producción. Rota inmediatamente si sospechas una filtración. Usa un gestor de secrets como SecureCodeHQ que soporta rotación con períodos de gracia, para que tus servicios no sufran downtime durante la rotación.
Variables de entorno son mejor que hardcodear, pero siguen guardándose en texto plano en disco (en archivos .env) o en tu historial de shell. Para producción, usa un vault que cifre valores y proporcione audit trails. SecureCodeHQ puede inyectar secrets en process.env en runtime sin archivos .env.
SecureCodeHQ proporciona un servidor MCP que Claude Code puede usar para leer tus API keys de forma segura. Los valores se inyectan en archivos temporales que Claude referencia por ruta — nunca aparecen en la conversación. Cada acceso se registra con el modelo de IA, timestamp e IP.
¿Generaste una API key? No la dejes en un .env.
SecureCodeHQ cifra tus API keys y permite que Claude Code acceda vía MCP. Audit trail completo, reglas de acceso y compartir con equipo.