Gerador de Senhas
Escolha um comprimento, ative letras maiúsculas, minúsculas, números e símbolos, e este gerador produz uma senha usando o gerador de números aleatórios criptográficos do seu navegador — a mesma fonte de entropia que suporta a geração de chaves SSL e carteiras de criptomoedas. Sem pseudo-aleatoriedade semeada, sem ida e volta ao servidor. Uma senha de 16 caracteres com todas as quatro classes de caracteres oferece cerca de 95 bits de entropia, o suficiente para resistir a ataques offline com o hardware atual.
Como senhas fortes são construídas
-
1
Escolha o comprimento
Padrão 16. Qualquer coisa abaixo de 12 é fraca para contas importantes.
-
2
Escolha classes de caracteres
Maiúsculas, minúsculas, números, símbolos. Mais classes = mais entropia por caractere.
-
3
Opcional: excluir caracteres ambíguos
Remova 0/O e 1/l/I se a senha for transcrita da tela para um terminal.
-
4
Gerar
crypto.getRandomValues() escolhe cada caractere uniformemente do conjunto permitido.
-
5
Copiar e armazenar
Cole em seu gerenciador de senhas imediatamente. Não reutilize.
Entropia por comprimento e conjunto de caracteres
| Comprimento | Apenas minúsculas | Minúsculas + números | Minúsculas + maiúsculas + números | Todas as quatro classes |
|---|---|---|---|---|
| 8 | 38 bits | 41 bits | 48 bits | 52 bits |
| 12 | 57 bits | 62 bits | 71 bits | 79 bits |
| 16 | 75 bits | 83 bits | 95 bits | 105 bits |
| 20 | 94 bits | 103 bits | 119 bits | 131 bits |
| 24 | 113 bits | 124 bits | 143 bits | 158 bits |
O que a entropia significa na prática
- 40 bits — quebrável em dias com uma única GPU hoje. Bom para contas descartáveis.
- 60 bits — resiste a ataques online, mas vulnerável a quebra offline dedicada.
- 80 bits — forte contra quebra offline para o hardware atual.
- 100 bits — efetivamente inquebrável até que a computação quântica amadureça.
- 128 bits — corresponde à força da chave AES-128.
Para a maioria das contas online, 16 caracteres do conjunto completo (105 bits) é mais do que suficiente. Contas bancárias, mestres de gerenciadores de senhas e carteiras de criptomoedas merecem 20+ caracteres.
Por que as classes de caracteres importam
Cada classe adiciona opções por caractere. Com 26 letras minúsculas, um caractere contribui com log2(26) = 4.7 bits. Adicionar maiúsculas dá 52 caracteres e 5.7 bits por caractere. Adicionar dígitos dá 62 caracteres e 5.95 bits. Adicionar símbolos chega a 94 caracteres e 6.55 bits. Com mais de 16 caracteres, essa diferença se acumula para ~30 bits — a diferença entre “quebrável” e “não vale a pena tentar.”
Quando excluir caracteres ambíguos
Se a senha for digitada da tela para um dispositivo sem um caminho de copiar e colar — instaladores de console, algumas carteiras de hardware, usuários idosos lendo senhas em voz alta — excluir 0, O, 1, l, I evita erros de transcrição. O custo de entropia é mínimo (2-3 bits de 80+).
Fluxo de trabalho do gerenciador de senhas
- Instale um gerenciador de senhas (Bitwarden, 1Password, KeePass).
- Defina uma frase de acesso mestre forte (6-8 palavras aleatórias — veja o gerador de frases).
- Use o gerador do gerenciador para cada site, aceitando as configurações fortes padrão.
- Nunca reutilize senhas entre sites, mesmo as “descartáveis”.
- Ative 2FA em tudo que suportar.
Senhas digitadas manualmente devem ser raras — apenas para o mestre do gerenciador, criptografia de disco completo e possivelmente o login do seu computador de trabalho.
Coisas que não ajudam
- Mudar a cada 90 dias. Rotação forçada incentiva padrões previsíveis (Verão2024 → Outono2024). O NIST SP 800-63B recomenda explicitamente contra isso.
- Anotar em papel em uma carteira. Mais seguro do que reutilizar senhas fracas, mas pior do que um gerenciador de senhas.
- Perguntas de segurança com respostas reais. “Primeira escola” está a uma pesquisa no Google para a maioria das pessoas. Gere respostas falsas aleatórias e armazene-as em seu gerenciador.
Perguntas frequentes
16 caracteres de todas as quatro classes de caracteres (minúscula, maiúscula, número, símbolo) é forte para quase qualquer conta. 20+ para mestre do gerenciador de senhas, carteira de criptomoedas e criptografia de disco completo. Abaixo de 12 é fraco, independentemente das regras de complexidade.
A senha é gerada no seu navegador usando a API Web Crypto e nunca é enviada a lugar nenhum. Abra o painel de Rede do DevTools se quiser verificar. Você ainda deve copiá-la para um gerenciador de senhas imediatamente, em vez de tirar uma captura de tela ou enviar por e-mail.
Vazamentos de dados. Quando um site vaza senhas, os atacantes imediatamente tentam a mesma combinação de e-mail/senha em centenas de outros sites (credential stuffing). Senhas únicas por site contêm o dano a uma conta.
Gere uma senha aleatória de 16 caracteres para esse site. Um limite de 16 ou menos geralmente significa que o site está armazenando senhas de uma forma que não escala bem, o que é um sinal de alerta — ative 2FA lá, especialmente.