La contraseña es uno de los dispositivos de seguridad más antiguos de la historia humana. En la Roma antigua, los centinelas exigían una "tessera" — una contraseña grabada en una tablilla de madera — para autorizar el paso de los soldados por la noche. El historiador griego Polibio (siglo II a.C.) describe en sus Historias cómo la "contraseña" se distribuía cada noche por el tribuno militar, transmitiéndose de guardia en guardia por todo el campamento. La Biblia menciona un uso similar en el Libro de los Jueces (12:5-6): los galaaditas identificaban a los efrainitas pidiéndoles que pronunciaran "Shibboleth" — quienes decían "Sibboleth" quedaban al descubierto. Esta "contraseña lingüística" se convirtió en un concepto fundamental de la seguridad informática.
Durante la Edad Media, los castillos fortificados y las ciudades amuralladas usaban contraseñas para controlar el acceso a sus puertas. Los gremios medievales, en particular los francmasones, desarrollaron sistemas elaborados de palabras, signos y apretones de manos para reconocer a sus miembros. La "Palabra del Masón", transmitida oralmente durante la iniciación, servía para demostrar la pertenencia a la hermandad. Durante la Guerra de los Cien Años (1337-1453), los ejércitos ingleses y franceses utilizaban contraseñas diarias para distinguir a aliados de enemigos en los combates nocturnos. El cronista Jean Froissart relata que la confusión con las contraseñas en la batalla de Crécy (1346) causó la muerte de numerosos soldados por fuego amigo.
La era informática de la contraseña comienza en 1961 en el MIT, cuando Fernando Corbató implementó el primer sistema de autenticación por contraseña para el Compatible Time-Sharing System (CTSS). Este sistema permitía a varios usuarios compartir un mismo ordenador IBM 7094 protegiendo los archivos de cada uno. Ya en 1962, Allan Scherr, un doctorando del MIT, realizó el primer "ataque" conocido: encontró el archivo maestro que contenía todas las contraseñas en texto plano y las imprimió, obteniendo así tiempo de cálculo adicional. Esta anécdota ilustra la vulnerabilidad fundamental del almacenamiento en texto plano.
La ciencia de las contraseñas experimentó un giro decisivo en 1976 cuando Robert Morris Sr., investigador en los Bell Labs, inventó el hashing de contraseñas en Unix con la función crypt(), basada en el algoritmo DES. Por primera vez, las contraseñas ya no se almacenaban en texto plano sino como un "hash" irreversible. En 1979, Morris añadió el concepto de "sal" (salt) — un valor aleatorio añadido antes del hashing para impedir ataques con tablas precalculadas. La entropía, concepto tomado de la teoría de la información de Claude Shannon (1948), se convirtió en la medida estándar: E = L × log₂(N), donde L es la longitud y N el número de caracteres posibles. Una contraseña de 12 caracteres mixtos alcanza aproximadamente 79 bits de entropía, suficiente para resistir ataques de fuerza bruta durante milenios.
La psicología de las contraseñas revela paradojas fascinantes. En 2003, Bill Burr del National Institute of Standards and Technology (NIST) publicó el anexo A del documento SP 800-63, recomendando contraseñas complejas con mayúsculas, números y caracteres especiales. En 2017, en una entrevista con el Wall Street Journal, reconoció que aquella recomendación era "en gran medida errónea": los usuarios eluden la complejidad con sustituciones predecibles ("P@ssw0rd!") y los cambios frecuentes empujan hacia patrones débiles. El psicólogo Jeff Yan, de la Universidad de Cambridge, demostró en 2004 que las contraseñas basadas en frases mnemotécnicas son a la vez más robustas y más fáciles de recordar que las basadas en complejidad pura.
La industria contemporánea vive una transformación profunda. El NIST revisó sus directrices en 2017 (SP 800-63B), privilegiando la longitud sobre la complejidad y abandonando la expiración periódica obligatoria. Microsoft siguió en 2019 suprimiendo la rotación de contraseñas de sus líneas base de seguridad. La filtración de datos de RockYou en 2009 — 32 millones de contraseñas en texto plano expuestas — reveló que "123456" encabezaba la lista, seguida de "12345" y "password". En 2023, el informe de NordPass confirma que "123456" sigue siendo la contraseña más utilizada del mundo, descifrada en menos de un segundo. El algoritmo Argon2, ganador del Password Hashing Competition en 2015, representa el estado del arte en hashing. Paralelamente, las passkeys basadas en FIDO2/WebAuthn, promovidas por Google, Apple y Microsoft desde 2022, anuncian quizá el fin de la era de las contraseñas tradicionales.