From 30fb6f99adaa1c51af7b245f3aa1dee7d12fff40 Mon Sep 17 00:00:00 2001
From: groales <gustavo.roales@ictiberia.com>
Date: Wed, 3 Dec 2025 13:58:43 +0100
Subject: [PATCH] =?UTF-8?q?Actualizar=20generaci=C3=B3n=20de=20ADMIN=5FTOK?=
 =?UTF-8?q?EN=20a=20formato=20Argon2=20seguro?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 .env.example |  8 ++++++--
 README.md    | 26 ++++++++++++++++++++------
 2 files changed, 26 insertions(+), 8 deletions(-)

diff --git a/.env.example b/.env.example
index 9b8a2b6..6e68ad9 100644
--- a/.env.example
+++ b/.env.example
@@ -1,8 +1,12 @@
 # Variables de entorno para Vaultwarden
 # Copia este archivo a .env y configura los valores necesarios según tu despliegue
 
-# ADMIN_TOKEN - Token de administración (REQUERIDO)
-# Genera uno con: openssl rand -base64 48
+# ADMIN_TOKEN - Token de administración en formato Argon2 (REQUERIDO)
+# Genera uno con:
+#   1. openssl rand -base64 48
+#   2. docker run --rm -it vaultwarden/server:latest /vaultwarden hash
+#   3. Pega el token del paso 1 cuando lo solicite
+# Usa el hash resultante (empieza con $argon2id$)
 ADMIN_TOKEN=
 
 # DOMAIN_HOST - Dominio para Traefik (SOLO si usas Traefik)
diff --git a/README.md b/README.md
index b245020..cf31eb5 100644
--- a/README.md
+++ b/README.md
@@ -56,13 +56,20 @@ Permite mantener la configuración actualizada automáticamente desde Git.
 
 #### Generar ADMIN_TOKEN
 
-Es **crítico** generar un token fuerte para proteger el panel de administración:
+Es **crítico** generar un token en formato Argon2 seguro:
 
 ```bash
+# Generar un token aleatorio
 openssl rand -base64 48
+
+# Convertirlo a formato Argon2 seguro
+docker run --rm -it vaultwarden/server:latest /vaultwarden hash
+# Pega el token generado arriba cuando lo solicite
 ```
 
-O usa cualquier generador de contraseñas seguro con mínimo 32 caracteres.
+Usa el hash Argon2 resultante (empieza con `$argon2id$`) como valor de `ADMIN_TOKEN`.
+
+> ⚠️ **Importante**: No uses el token en texto plano, siempre usa el hash Argon2.
 
 #### Configuración de WebSocket
 
@@ -213,10 +220,17 @@ cp .env.example .env
 ### 3. Generar ADMIN_TOKEN
 
 ```bash
+# 1. Generar token aleatorio
 openssl rand -base64 48
+
+# 2. Convertir a formato Argon2 seguro
+docker run --rm -it vaultwarden/server:latest /vaultwarden hash
+# Pega el token cuando lo solicite
 ```
 
-Añade el resultado a tu archivo `.env`.
+Añade el **hash Argon2** resultante (empieza con `$argon2id$`) a tu archivo `.env`.
+
+> ⚠️ No uses el token en texto plano, siempre usa el hash Argon2.
 
 ### 4. Iniciar el servicio
 
@@ -413,10 +427,10 @@ docker compose logs vaultwarden | grep websocket
 # Verificar que la variable está configurada
 docker compose exec vaultwarden env | grep ADMIN_TOKEN
 
-# Regenerar token
-openssl rand -base64 48
+# Regenerar token en formato Argon2
+docker run --rm -it vaultwarden/server:latest /vaultwarden hash
 
-# Actualizar .env o variables de Portainer y redesplegar
+# Actualizar .env o variables de Portainer con el hash Argon2 y redesplegar
 ```
 
 ### Problemas de rendimiento