Guia de Análise de Força de Senha: Avalie e Gere Senhas Seguras
Três Dimensões da Força de Senha
A segurança de uma senha é determinada por três dimensões fundamentais:
1. Comprimento
O comprimento é o fator mais importante. Cada caractere adicional multiplica as tentativas de força bruta pelo tamanho do conjunto de caracteres.
| Comprimento | Combinações Apenas Dígitos | Tempo para Quebrar (1B/seg) |
|---|---|---|
| 4 | 10.000 | Instantâneo |
| 6 | 1.000.000 | 0,001 seg |
| 8 | 100.000.000 | 0,1 seg |
| 12 | 1 trilhão | 17 min |
| 16 | 10 quatrilhões | 50 anos |
| 20 | 100 quintilhões | 30.000 anos |
2. Tamanho do Conjunto de Caracteres
Um conjunto de caracteres maior significa mais combinações por caractere:
| Conjunto de Caracteres | Caracteres Disponíveis | Exemplo |
|---|---|---|
| Apenas dígitos | 10 | 0-9 |
| Minúsculas | 26 | a-z |
| Maiúsculas + minúsculas | 52 | a-z, A-Z |
| Maiúsculas + minúsculas + dígitos | 62 | a-z, A-Z, 0-9 |
| Conjunto completo | 95 | a-z, A-Z, 0-9, !@#$%... |
3. Entropia
A entropia mede matematicamente a aleatoriedade da senha:
Entropia (bits) = log₂(tamanho_conjunto ^ comprimento) = comprimento × log₂(tamanho_conjunto)
| Senha | Conjunto de Caracteres | Comprimento | Entropia | Classificação |
|---|---|---|---|---|
123456 |
Dígitos | 6 | 19,9 bit | Muito fraca |
abc123 |
Minúsculas+dígitos | 6 | 31,0 bit | Fraca |
Abc123 |
Misto+dígitos | 6 | 35,7 bit | Fraca |
Kx9#mP2v |
Completo | 8 | 52,6 bit | Média |
Kx9#mP2vLq5! |
Completo | 12 | 78,9 bit | Forte |
Kx9#mP2vLq5!nR8@ |
Completo | 16 | 105,2 bit | Muito forte |
Padrão da indústria: entropia ≥ 80 bit é forte, ≥ 100 bit é muito forte.
Métodos de Ataque Comuns
Força Bruta
Testar todas as combinações possíveis. Defesa:
- Aumentar o comprimento e o conjunto de caracteres
- Usar bloqueio de conta e limitação de taxa
Ataque de Dicionário
Testar senhas comuns de dicionários (ex., rockyou.txt com 14M de entradas). Defesa:
- Evitar senhas comuns (
123456,password,qwerty) - Evitar palavras de dicionário (
sunshine,iloveyou)
Ataque de Tabela Rainbow
Pré-calcular tabelas de hash para buscar senhas reversamente. Defesa:
- Hash com salt no servidor (Salt + Hash)
- Usar algoritmos de hash lentos como Bcrypt
Credential Stuffing
Usar credenciais vazadas de um site para tentar login em outros. Defesa:
- Senha única por site
- Usar um gerenciador de senhas
Usando a Ferramenta de Força de Senha
Passo 1: Abrir a Ferramenta
Abra Força de Senha, digite a senha para testar.
Passo 2: Revisar Resultados
A ferramenta mostra em tempo real:
- Classificação de força: Muito fraca / Fraca / Média / Forte / Muito forte
- Entropia: Em bits
- Análise do conjunto de caracteres: Quais tipos de caracteres são usados
- Tempo estimado para quebrar: Baseado em diferentes velocidades de ataque
- Sugestões de melhoria: Como fortalecer a senha
Passo 3: Melhorar
Se a classificação for muito baixa:
- Aumentar o comprimento (mais eficaz)
- Adicionar tipos de caracteres ausentes
- Evitar padrões sequenciais e repetitivos
Usando o Gerador de Senhas
Criar senhas fortes manualmente é difícil. Use o Gerador de Senhas:
Passo 1: Configurar
- Comprimento: 16-24 caracteres recomendados
- Conjunto de caracteres: Ativar maiúsculas, minúsculas, dígitos, símbolos
- Excluir caracteres ambíguos: Como
0/O,1/l/I
Passo 2: Gerar
Clique em "Gerar" — produza várias senhas para escolher.
Passo 3: Verificar
Cole a senha gerada em Força de Senha para confirmar se atinge o nível "Forte" ou "Muito forte".
Melhores Práticas de Segurança de Senhas
1. Use um Gerenciador de Senhas
- Gere senhas aleatórias únicas para cada site
- Lembre-se de apenas uma senha mestra
- Recomendados: Bitwarden, 1Password, KeePass
2. Ative a Autenticação de Dois Fatores (2FA)
Mesmo que a senha seja vazada, o 2FA bloqueia o acesso não autorizado. Prefira TOTP em vez de verificação por SMS.
3. Verifique Vazamentos Regularmente
Use serviços como Have I Been Pwned para verificar se seu e-mail aparece em vazamentos de dados.
4. No Servidor: Use Bcrypt
Se você é desenvolvedor, sempre faça hash das senhas com Bcrypt (com salt) antes de armazenar. Nunca armazene senhas em texto plano.
Equívocos Comuns
"Regras complexas = senha forte"
Muitos sites exigem maiúscula+minúscula+dígito+símbolo, mas P@ssw0rd atende a todas as regras e ainda assim é trivialmente quebrada por ataques de dicionário. O comprimento importa mais que regras de complexidade.
"Substituir letras por símbolos é seguro"
Os padrões de substituição de p@$$w0rd já são cobertos por ferramentas de ataque. Não confie em substituição simples de caracteres.
"Nunca mudar minha senha está bem"
Se sua senha foi vazada, não mudá-la significa que você continua exposto. Verifique vazamentos regularmente e mude imediatamente se comprometida.
"Verificadores de força vazam minha senha"
A Força de Senha do ToolsKu roda inteiramente no seu navegador. Sua senha nunca é enviada a nenhum servidor.
Ferramentas Relacionadas
- Força de Senha — Avalie a segurança da senha
- Gerador de Senhas — Gere senhas aleatórias fortes
- Hash Bcrypt — Hash com salt para armazenamento de senhas
Resumo
O núcleo da segurança de senhas é a entropia suficiente, determinada pelo comprimento e tamanho do conjunto de caracteres. Use Força de Senha para avaliar senhas existentes, Gerador de Senhas para criar senhas fortes, e combine com um gerenciador de senhas e 2FA para segurança completa da conta. Lembre-se: comprimento primeiro, única por site, processamento local, hash com salt no servidor.