Entropia de Senha Explicada — E Por Que Sua Senha "Complexa" É Mais Fraca do Que uma Frase-Senha
Entropia é a única medida honesta de força de senha. Aqui está como é calculada, quanto tempo os atacantes precisam para quebrar diferentes níveis, e por que quatro palavras aleatórias frequentemente ganham de uma senha "P@ssw0rd!" de 12 caracteres.
"Crie uma senha complexa" é um conselho inútil. Ele diz para você adicionar um símbolo e um número como se isso tornasse a senha segura. Não torna. A única medida honesta de força de senha é entropia, e a maioria das senhas "complexas" pontua pior nela do que você imagina.
O Que Entropia Realmente Mede
Entropia é o número de bits de aleatoriedade em sua senha — em outras palavras, quantas tentativas um atacante precisa, em média, para quebrá-la por força bruta. É calculada como comprimento × log₂(tamanho do conjunto).
Exemplo: uma senha de 10 caracteres usando apenas letras minúsculas (conjunto = 26) tem entropia 10 × log₂(26) ≈ 47 bits. Uma senha de 10 caracteres usando letras minúsculas, maiúsculas, números e símbolos (conjunto = 88) tem 10 × log₂(88) ≈ 64,6 bits. O mesmo comprimento, mas o conjunto maior faz cada caractere trabalhar mais.
Quantos Bits É "Seguro"?
Limiares modernos aproximados (assumindo uma senha bem criptografada que sobrevive a um vazamento de banco de dados — se o site usa bcrypt ou argon2, que deveria):
- Menos de 40 bits: quebrável em minutos por uma única GPU.
- 40–60 bits: quebrável em horas a semanas por um atacante sério com uma fazenda de GPUs.
- 60–80 bits: seguro contra força bruta offline atual. Alvo bom para contas individuais.
- 80–100 bits: resistente a qualquer adversário atual, incluindo estados-nação, pela vida útil do hardware atual.
- 100+ bits: excessivo para qualquer modelo de ameaça realista.
Busque 80 bits para qualquer coisa que proteja dinheiro, identidade ou infraestrutura. Busque 100+ para a senha mestra do seu gerenciador de senhas.
A Armadilha da Senha "Complexa"
Usuários pedidos para criar uma senha "complexa" escolhem padrões previsíveis: capitalizar a primeira letra, adicionar um número no final, trocar a por @. Senha1! tem 10 caracteres e parece complexa para um humano. Para um invasor, é uma tentativa — aparece em todo dicionário de senhas vazadas.
A entropia real de senhas escolhidas pelo usuário é dramaticamente menor do que seu tamanho de conjunto sugere, porque humanos não são bons em ser aleatórios. Estudos consistentemente colocam isso em torno de 20–30 bits independentemente da complexidade alegada.
Por Que Frases-Senha Ganham
Uma frase-senha é 4–7 palavras aleatórias unidas com hífens: jardim-rio-lápis-forte-pôr-do-sol-ponte. Seis palavras aleatórias de uma lista de 512 palavras têm 6 × log₂(512) = 54 bits de entropia — mais do que a maioria das pessoas consegue com sua senha "complexa", e dramaticamente mais memorável.
Escale para sete palavras e você cruza 63 bits. Oito palavras de uma lista de 7776 palavras (Diceware) dão 103 bits. Tudo enquanto é fácil de digitar, fácil de lembrar, e imune à maioria dos ataques de dicionário (porque a combinação é aleatória mesmo se cada palavra é comum).
Senhas Pronunciáveis: O Meio-Termo
Para cenários onde uma senha precisa ser ditada por telefone, senhas pronunciáveis alternam consoantes e vogais: baketomiloguno. Cada sílaba (consoante + vogal) tem log₂(21 × 5) ≈ 6,7 bits de entropia, então seis sílabas dão ~40 bits.
Mais fraca que frases-senha mas mais forte que senhas típicas escolhidas por humanos, e criticamente mais fácil de ler em voz alta sem perguntar "era um O ou um zero?".
Gerando Senhas Seguras
Não confie em aleatoriedade humana. Use uma ferramenta. O Gerador de Senhas aukimi oferece três modos — aleatório, frase-senha e pronunciável — com um medidor de entropia ao vivo para você ver exatamente quão forte sua saída é. Usa crypto.getRandomValues (a fonte aleatória criptograficamente segura do navegador) e aplica amostragem de rejeição para eliminar viés de módulo.
Criticamente: a geração acontece inteiramente no seu navegador. Nada é transmitido, registrado ou armazenado. Abra suas devtools na aba de rede enquanto gera — você verá zero requisições saindo da página.
A Única Regra
Use um gerenciador de senhas. Gere uma senha aleatória longa para cada site (seu gerenciador de senhas nunca esquece, então comprimento não importa para usabilidade). Use uma frase-senha como a senha mestra do seu gerenciador de senhas — essa é a única que você precisa lembrar.
Tudo mais é otimização. Acerte esse padrão e você estará à frente de 95% dos usuários.
Gostou deste artigo?
Artigos Relacionados
A Stack Criativa Apenas Desabou: Uma Semana de Ferramentas de IA, Fim de Abril de 2026
Entre 27 de abril e 4 de maio de 2026, Adobe, Luma, Novi, fal, Figma, Canva, HeyGen e Anthropic cruzaram o mesmo limite em oito dias. Aqui está o que foi lançado, o que significa, e onde isso deixa as suites criativas baseadas em navegador tentando consolidar tudo.
IA Música e SFX em 2026: O Que Realmente Funciona em Áudio de Indie Games
Três anos atrás, áudio de indie games significava ou licenciar bibliotecas royalty-free (barato, genérico, todo game soa igual) ou contratar um compositor (ótimo, caro). Em 2026, IA gera trilhas que são lançadas em produção. Aqui estão quais ferramentas funcionam — e onde um compositor humano ainda vence.
Geração de Mesh com IA em 2026: O Que Realmente Chega nas Pipelines de Jogos
Image-to-3D saiu de "demo assustadora" para "shipping em projetos indie" em dezoito meses. Aqui está o que Tripo, Meshy, Rodin e Hyper3D realmente fazem em produção — e onde o artista 3D ainda bate o modelo todas as vezes.