PT
Voltar ao blog

Como criar uma senha forte (do jeito certo)

Para criar uma senha forte, faça-a longa e aleatória: mire em pelo menos 16 caracteres gerados por uma fonte criptograficamente segura, e use uma diferente para cada conta. Comprimento e imprevisibilidade são o que de fato barram os atacantes — não a quantidade de pontos de exclamação que você enfia ali. A forma mais rápida de conseguir uma é deixar uma ferramenta criá-la para você, como o Gerador de Senhas da Andev, que cria senhas direto no seu navegador e nunca as envia para lugar nenhum.

Gráfico comparando a dificuldade de quebrar senhas: uma senha curta e complexa versus uma mais longa e aleatória, mostrando que o comprimento aumenta as tentativas muito mais do que os símbolos adicionados

O que realmente torna uma senha forte

Uma senha é forte quando é difícil de adivinhar e difícil de quebrar por força bruta. Duas coisas determinam isso:

  • Comprimento. Cada caractere extra multiplica o número de combinações possíveis que um atacante precisa testar. Essa multiplicação é exponencial, então cada caractere que você adiciona importa mais do que o anterior.
  • Aleatoriedade. Os caracteres precisam ser genuinamente imprevisíveis. Uma senha construída a partir de uma palavra, um nome, uma data de nascimento ou um padrão de teclado é fácil para um software adivinhar, não importa quão longa ela pareça.

Em poucas palavras: uma senha longa e aleatória é forte. Uma senha curta e “esperta” não é. Todo o resto — quais símbolos você usa, onde coloca uma letra maiúscula — é um detalhe insignificante diante desses dois fatores.

O mito do comprimento vs. complexidade

Durante anos, o conselho padrão foi “use uma senha complexa”: misture maiúsculas, minúsculas, números e símbolos. Esse conselho produziu senhas como P@ssw0rd! — que parecem complexas, mas na verdade são fracas, porque os atacantes sabem exatamente as substituições que as pessoas fazem (a vira @, o vira 0, um ponto de exclamação vai no final).

A matemática conta uma história mais clara. Adicionar mais um caractere a uma senha multiplica o número de tentativas que um atacante precisa pelo tamanho do seu conjunto de caracteres. Adicionar um símbolo especial só amplia esse conjunto um pouquinho. Então uma senha mais longa quase sempre vence uma mais curta e “complexa” — como o gráfico acima mostra, o comprimento empurra a dificuldade para cima muito mais rápido do que salpicar pontuação.

É por isso que uma frase-senha com várias palavras aleatórias pode ser ao mesmo tempo forte e fácil de lembrar. Uma sequência de palavras não relacionadas, escolhidas aleatoriamente, é longa, difícil de adivinhar e mais fácil de digitar do que uma parede de símbolos. A palavra-chave é aleatória: uma frase que você escolheu porque tem significado para você é exatamente o tipo de coisa que a lista de palavras de um atacante já contém.

As regras de complexidade ainda têm seu lugar

Muitos sites obrigam uma mistura de tipos de caracteres, e uma senha gerada vai satisfazer essas regras de qualquer forma. A questão não é evitar símbolos — é parar de depender deles como sua fonte de força. Acerte primeiro o comprimento e a aleatoriedade, e a complexidade se resolve sozinha.

Por que “gerar” vence “inventar uma”

Os humanos são péssimos geradores de números aleatórios. Recorremos a palavras, datas, nomes de bichos de estimação e padrões, e nos repetimos entre as contas. Os atacantes exploram exatamente esses hábitos.

Um bom gerador elimina a adivinhação ao extrair de uma fonte de aleatoriedade criptograficamente segura. Em um navegador, essa fonte é a Web Crypto API — especificamente o crypto.getRandomValues() — projetada para ser imprevisível. Isso é muito diferente das funções “aleatórias” simples usadas para coisas como embaralhar uma playlist, que são previsíveis o suficiente para nunca serem usadas em segurança.

O Gerador de Senhas da Andev é construído exatamente sobre isso. Ele produz senhas localmente, no seu navegador, usando a Web Crypto API. Como o trabalho acontece no seu dispositivo, a senha gerada nunca é enviada para lugar nenhum — não há servidor que a veja, registre ou possa vazá-la. Você obtém uma senha forte sem confiar o resultado a terceiros.

Um checklist prático

Siga estes pontos e você terá coberto as coisas que de fato importam:

  • Vá longo. Use pelo menos 16 caracteres. Mais é melhor, e o custo para você é quase zero quando um gerador e um gerenciador de senhas fazem a digitação.
  • Faça-a aleatória. Gere-a a partir de uma fonte criptograficamente segura, em vez de inventar uma você mesmo.
  • Nunca a baseie em informações pessoais. Nada de nomes, datas de nascimento, endereços, times favoritos ou qualquer coisa que alguém possa descobrir ou adivinhar sobre você.
  • Use uma senha única por site. Uma conta por senha. Se um único site for invadido, o estrago para por ali.
  • Nunca reutilize senhas. A reutilização é como uma senha vazada se transforma em muitas contas comprometidas via “credential stuffing”, em que atacantes repetem logins vazados em outros sites.
  • Guarde-as em um gerenciador de senhas. Você não precisa memorizar dezenas de sequências aleatórias de 16 caracteres — esse é o trabalho do gerenciador. Ele também as preenche para você, então o comprimento deixa de ser um incômodo.
  • Ative a autenticação de dois fatores (2FA). Uma senha forte é sua primeira linha de defesa; o 2FA é uma segunda tranca que segura mesmo que a senha seja de alguma forma exposta.

Como criar uma em poucos segundos

  1. Abra o Gerador de Senhas.
  2. Defina o comprimento para 16 ou mais (mais longo para contas com as quais você realmente se importa).
  3. Escolha os tipos de caractere que você quer — a maioria dos sites se contenta com uma mistura completa.
  4. Copie a senha gerada para o seu gerenciador de senhas ao criar ou atualizar a conta.
  5. Ative o 2FA onde quer que a conta ofereça.

Esse é o fluxo de trabalho inteiro. O gerador cuida da aleatoriedade, o gerenciador de senhas cuida da memória, e você nunca mais precisa inventar ou reutilizar uma senha.

Uma observação sobre ferramentas relacionadas

Senhas e hashing são fáceis de confundir, então vale deixar claro: uma senha é um segredo que você guarda e reutiliza para fazer login, enquanto um hash é uma impressão digital de mão única de algum dado, muitas vezes usada para verificar integridade em vez de autenticar você. Se você precisa produzir um checksum de um arquivo ou string, isso é tarefa para um gerador de hash — não um substituto para uma senha forte e única. Não cole suas senhas em uma ferramenta de hashing esperando que isso as torne seguras para armazenar; não é disso que se trata fazer hash de uma senha para o login de uma conta.

Principais conclusões

  • Comprimento e aleatoriedade vencem. São os dois únicos fatores que decidem, de forma significativa, o quão difícil uma senha é de quebrar.
  • O mito da complexidade é só isso mesmo. Uma frase-senha longa e aleatória vence uma senha curta e “complexa” como P@ssw0rd! toda vez.
  • Deixe uma ferramenta segura gerá-la. Use uma fonte construída sobre o crypto.getRandomValues() da Web Crypto API, não uma string adivinhável ou escolhida por um humano.
  • Uma senha única por site, sempre. Nunca reutilize, nunca a baseie em informações pessoais e guarde-as em um gerenciador de senhas.
  • Adicione uma segunda tranca. Ative a autenticação de dois fatores para que uma única senha exposta não seja o fim de jogo.

Faça da sua próxima senha uma senha forte

O Gerador de Senhas é gratuito, não exige cadastro e roda inteiramente no seu navegador — sua senha é construída localmente com a Web Crypto API e nunca sai do seu dispositivo. Gere uma senha aleatória de 16 caracteres com um clique, coloque-a no seu gerenciador de senhas e explore o resto das ferramentas privadas que rodam no navegador da Andev para mais tarefas de segurança feitas da mesma forma privada.