Uma senha forte é, antes de tudo, imprevisível. Ela combina comprimento suficiente com aleatoriedade real, de modo que nenhum ataque por dicionário ou por força bruta a descubra em tempo viável. Neste guia você entende o que de fato torna uma senha segura, o que é entropia, quando vale usar uma frase-senha e quais erros comuns enfraquecem senhas que parecem boas. Nenhuma técnica garante segurança absoluta, mas as práticas a seguir elevam muito a barra. Para gerar uma senha agora, use o gerador de senha forte, que cria a senha localmente no navegador.
O que torna uma senha forte
Atacantes não tentam senhas a esmo: eles começam por listas de senhas vazadas, palavras de dicionário e variações óbvias, como trocar a por @ ou o por 0. Por isso, uma senha forte precisa fugir de padrões previsíveis. As duas alavancas principais são o comprimento e a aleatoriedade. Quanto maior a senha e quanto mais ao acaso forem seus caracteres, maior o número de combinações que um ataque teria de testar.
Por que o tamanho costuma importar mais
Cada caractere adicional multiplica as possibilidades. Uma senha de 16 caracteres tem ordens de magnitude a mais de combinações do que uma de 8, mesmo que a curta use muitos símbolos. Senhas curtas e complicadas têm outro problema: são difíceis de lembrar e fáceis de anotar em lugares inseguros. Priorize comprimento, depois variedade de tipos de caractere.
O que é entropia de senha
Entropia é a medida da imprevisibilidade, expressa em bits. A fórmula simples é o comprimento multiplicado pelo logaritmo na base 2 do tamanho do conjunto de caracteres usado. Uma senha de 12 caracteres usando letras minúsculas (26 possibilidades) tem cerca de 56 bits; usando os quatro conjuntos (minúsculas, maiúsculas, dígitos e símbolos, perto de 94 possibilidades) sobe para perto de 79 bits. Essa conta assume escolha ao acaso. Se você escolheu a senha pensando, a entropia real é menor, porque humanos tendem a padrões.
| Entropia estimada | Avaliação geral |
|---|---|
| menos de 40 bits | fraca |
| 40 a 60 bits | razoável |
| 60 a 80 bits | forte |
| acima de 80 bits | muito forte |
Senha aleatória ou frase-senha
A senha aleatória, como X7p2k9Qm4Lw8, é compacta e ideal para guardar em um gerenciador, já que você não precisa decorá-la. A frase-senha, como ponte-trigo-azul-nuvem, é formada por palavras sorteadas e costuma ser mais fácil de digitar e lembrar, com boa entropia quando tem quatro ou mais palavras realmente aleatórias. As duas abordagens funcionam; a escolha depende de você precisar memorizar ou não.
Erros comuns que enfraquecem senhas
- Usar datas, nomes de pessoas, times ou pets.
- Sequências de teclado como 123456 ou qwerty.
- Substituições óbvias (a por @, e por 3) em palavras comuns.
- Repetir a mesma senha em vários serviços.
- Adicionar só um número no final de uma senha antiga.
- Guardar senhas em arquivos de texto sem proteção.
Por que não colar senhas reais em qualquer site
Ferramentas de força de senha são úteis para aprender, mas colar a senha que você realmente usa em um site desconhecido é arriscado: você não sabe se o conteúdo é transmitido ou registrado. Prefira ferramentas que rodam no navegador, como o gerador de senha forte do ValorFinal, que gera e analisa localmente, sem enviar nada. Ainda assim, teste variações, não a senha exata de uso diário.
Use um gerenciador de senhas
A forma mais prática de ter senhas longas, únicas e aleatórias em todos os serviços é usar um gerenciador de senhas confiável. Ele gera, guarda e preenche as senhas, e você só precisa memorizar uma senha mestra forte. Combine isso com verificação em duas etapas nas contas críticas, como e-mail e banco. Hashes e tokens são temas próximos: veja como funcionam o gerador de hash e o decodificador de JWT.
Exemplo de composição segura
Uma senha de 16 caracteres aleatórios com os quatro conjuntos chega perto de 100 bits de entropia, considerada muito forte. Uma frase-senha de cinco palavras sorteadas mais um número também alcança um patamar seguro e é mais fácil de digitar. Em ambos os casos, guarde no gerenciador e ative a dupla verificação.
Por que vazamentos tornam a senha única essencial
Grandes vazamentos de bancos de dados acontecem com frequência, e coleções com bilhões de pares de e-mail e senha circulam livremente. Os atacantes usam essas listas em um ataque chamado credential stuffing: pegam combinações vazadas de um site e testam em massa em outros, contando com a reutilização. É por isso que a senha única por serviço é tão importante. Mesmo uma senha forte perde valor se ela é a mesma em dez sites e um deles vaza.
Some a isso a verificação em duas etapas, que adiciona um segundo fator além da senha, como um código de aplicativo ou uma chave física. Com ela, mesmo que a senha vaze, o acesso continua protegido. Priorize a dupla verificação no e-mail principal, que costuma ser a chave para recuperar todas as outras contas, e nos serviços financeiros.
Vale também conferir, de tempos em tempos, se o seu e-mail aparece em vazamentos conhecidos, por serviços de monitoramento confiáveis. Se aparecer, troque imediatamente a senha dos serviços afetados e de qualquer outro onde você tenha repetido aquela senha. Combinar senha longa e única, gerenciador e dupla verificação cobre a maior parte dos riscos do dia a dia, ainda que nenhuma medida isolada elimine todos eles.
Um ponto que merece atenção é a senha mestra do gerenciador. Como ela protege todas as outras, deve ser a mais forte do seu arsenal e nunca ser reutilizada em lugar nenhum. Uma frase-senha longa funciona bem nesse papel, por ser difícil de adivinhar e possível de memorizar. Evite anotá-la em arquivos sem proteção e desconfie de qualquer site ou pessoa que peça a senha mestra. Nenhum serviço legítimo solicita a senha mestra do seu gerenciador, assim como nenhum suporte sério pede a sua senha por e-mail ou telefone.
Por fim, repense a troca obrigatória e frequente de senha. Por muito tempo se exigiu trocar a senha a cada poucos meses, mas a prática costuma levar a senhas mais fracas e previsíveis, com pequenas variações. Orientações atuais de segurança preferem senhas longas e únicas que só são trocadas quando há suspeita de comprometimento. Concentre seu esforço em ter uma senha forte por serviço e a dupla verificação ativa, em vez de mudar uma senha fraca repetidamente.
Quando usar a ferramenta do ValorFinal
Use o gerador de senha forte para criar senhas e frases-senha com gerador criptográfico do navegador e estimar a entropia. Lembre que nenhuma ferramenta garante segurança absoluta: o gerador ajuda na criação, mas a proteção depende de práticas como senha única por serviço e dupla verificação. Conheça as demais ferramentas de tecnologia.