Gerador de senhas

Como são geradas as palavras-passe?

Esta ferramenta gera palavras-passe usando a API crypto.getRandomValues() do seu browser — o mesmo gerador de números aleatórios criptográficos usado em TLS, HTTPS e software de segurança em todo o mundo. Cada caractere é selecionado de forma independente com probabilidade uniforme a partir dos conjuntos de caracteres ativados. As suas palavras-passe são geradas localmente e nunca transmitidas para nenhum servidor.

Ao contrário dos geradores pseudo-aleatórios (como Math.random() no JavaScript), os geradores de números aleatórios criptográficos retiram entropia de fontes de hardware — movimentos do rato, temporização do teclado, E/S de disco e geradores de números aleatórios de hardware dedicados. Isto garante que as palavras-passe geradas são verdadeiramente imprevisíveis, mesmo para um atacante que conhece o algoritmo.

Qual deve ser o comprimento de uma palavra-passe?

• 12 caracteres: O comprimento mínimo aceitável para a maioria das contas online. Fornece aproximadamente 71 bits de entropia com todos os tipos de caracteres ativados.
• 16 caracteres: Recomendado para contas de e-mail, bancárias e financeiras. Fornece aproximadamente 95 bits de entropia.
• 20+ caracteres: Melhor para contas de administrador, chaves SSH, chaves de encriptação e palavras-passe principais de gestores de palavras-passe. Fornece 119+ bits de entropia.

O que torna uma palavra-passe robusta?

A robustez de uma palavra-passe é medida pela entropia — o número de combinações possíveis que um atacante deve tentar. O comprimento é o fator mais importante. Uma palavra-passe de 16 caracteres usando todos os quatro conjuntos de caracteres (maiúsculas, minúsculas, dígitos, símbolos) tem aproximadamente 10⁴² combinações possíveis. A um bilião de tentativas por segundo, tentar todas por força bruta demoraria milhares de milhões de anos.

Adicionar variedade de caracteres aumenta a entropia por caractere. As letras minúsculas sozinhas oferecem 26 opções por posição. Adicionar maiúsculas duplica para 52. Adicionar dígitos chega a 62. Incluir símbolos ultrapassa 90 opções por caractere. Mas o comprimento supera sempre a complexidade — uma palavra-passe de 20 caracteres em minúsculas é mais robusta do que uma de 8 caracteres com todos os tipos de caracteres.

Devo usar um gestor de palavras-passe?

Absolutamente. Gere uma palavra-passe única e robusta para cada conta com esta ferramenta e armazene-as todas num gestor de palavras-passe de confiança como o Bitwarden, 1Password ou KeePass. Um gestor de palavras-passe significa que só precisa de se lembrar de uma palavra-passe principal robusta. Nunca reutilize palavras-passe em diferentes sites — quando um site sofre uma violação, os atacantes tentam essas credenciais em todo o lado.

Erros comuns com palavras-passe

O erro mais perigoso é reutilizar palavras-passe em múltiplos sites. As violações de dados expõem regularmente milhões de credenciais, e os atacantes usam ferramentas automatizadas para testar palavras-passe roubadas noutros serviços. Outros erros comuns incluem usar informações pessoais (datas de nascimento, nomes de animais de estimação), usar palavras do dicionário com substituições simples (p@ssw0rd) e escrever palavras-passe em post-its.

Perguntas frequentes

Este gerador de palavras-passe é verdadeiramente aleatório?

Sim. Usa a API Web Crypto (crypto.getRandomValues()), que é um gerador de números aleatórios criptograficamente seguro integrado no seu browser. Esta é a mesma qualidade de aleatoriedade usada para gerar chaves de sessão TLS que protegem a sua banca online.

Com que frequência devo mudar as palavras-passe?

As orientações de segurança atuais do NIST (National Institute of Standards and Technology) recomendam não fazer rotação rotineira de palavras-passe. Mude a sua palavra-passe apenas quando suspeitar que foi comprometida, quando um serviço reportar uma violação de dados ou quando quiser substituir uma palavra-passe fraca por uma mais robusta.