Como criar e armazenar senhas fortes
Entropia, passphrases, gerenciadores de senha e por que reusar é o erro mais caro — tudo que você precisa saber além das dicas genéricas.
Você provavelmente tem mais de 50 contas online. Se usar a mesma senha em todas — ou variações da mesma base — basta um único vazamento para que um atacante acesse boa parte delas em minutos. Esse processo tem nome: credential stuffing. É automatizado, barato, e acontece o tempo todo.
O problema não é que as pessoas não sabem que senhas fracas são ruins. O problema é que o método ensinado para criar senhas "fortes" é, na maioria das vezes, errado — e o método de armazená-las é inexistente ou perigoso.
O que "força de senha" realmente significa
Força de senha é entropia. Entropia mede o número de combinações que um atacante precisa tentar para acertar sua senha por força bruta. Quanto maior a entropia, mais tempo o ataque leva.
A fórmula é direta: entropia = log₂(N^L), onde N é o tamanho do alfabeto (quantos caracteres possíveis) e L é o comprimento da senha.
| Configuração | Espaço de busca | Entropia |
|---|---|---|
| 8 chars, só minúsculas | 26⁸ ≈ 200 bilhões | ~37 bits |
| 8 chars, maiúscula+número+símbolo | 95⁸ ≈ 6,6 quatrilhões | ~52 bits |
| 16 chars, só minúsculas | 26¹⁶ ≈ 4,4 × 10²² | ~75 bits |
| 20 chars, alfanumérico | 62²⁰ ≈ 7 × 10³⁵ | ~119 bits |
GPUs modernas testam centenas de bilhões de hashes por segundo contra listas de senhas vazadas. 52 bits de entropia é quebrável em horas com hardware acessível. 75 bits já levaria séculos. 119 bits é inviável para qualquer cenário realista.
O ponto que a maioria dos formulários de cadastro erra: exigir maiúscula, número e símbolo aumenta N levemente, mas não compensa comprimento. Aumentar comprimento de 8 para 20 caracteres é exponencialmente mais eficaz do que somar todos os tipos de caracteres possíveis numa senha de 8 caracteres.
Por que P@ssw0rd!123 não é uma senha forte
Substituição leet — trocar a por @, e por 3, o por 0 — parece adicionar aleatoriedade. Não adiciona. As ferramentas de cracking aplicam essas transformações automaticamente em qualquer dicionário.
O rockyou.txt, arquivo de senhas vazadas mais usado em ataques de dicionário, tem mais de 14 milhões de entradas. P@ssw0rd, S3nh@123, Adm1n@2024 estão todos lá, ou são deriváveis com regras-padrão do hashcat em menos de um segundo.
Uma senha que segue padrão humano previsível — palavra base + substituições + ano + símbolo no fim — não é aleatória por definição. O atacante não está tentando combinações totalmente randômicas; está tentando primeiro o que humanos costumam fazer.
Passphrase: alta entropia sem sofrer
Se você precisa de uma senha memorável — para a senha mestra do gerenciador, por exemplo — passphrase é a resposta certa.
Uma passphrase é uma sequência de palavras aleatórias, não uma frase que faça sentido. A diferença é importante.
cavaloguitarrajanelachuva→ 4 palavras aleatórias do português, ~50 bits de entropia com lista de 7.776 palavras (diceware)fiz minha tese sobre unicórnios→ parece longa, mas tem estrutura semântica humana previsível
O método Diceware usa um dado físico (ou equivalente criptográfico) para selecionar palavras de uma lista de 7.776 opções (6⁵). Cada palavra adiciona ≈12,9 bits de entropia. Quatro palavras = ~52 bits. Cinco palavras = ~65 bits. Seis palavras = ~77 bits — mais do que qualquer senha de 8 caracteres "complexa".
# Entropia de passphrases Diceware (lista de 7.776 palavras)
4 palavras: 4 × 12.9 = 51.7 bits
5 palavras: 5 × 12.9 = 64.6 bits
6 palavras: 6 × 12.9 = 77.5 bits ← recomendado para senha mestra
7 palavras: 7 × 12.9 = 90.5 bits
Para a senha mestra do seu gerenciador, use 6 palavras aleatórias que você consiga associar a uma imagem mental absurda. Memoriza rápido, não tem padrão humano óbvio, e a entropia é genuinamente alta.
Para todo o resto, não memorize — gere. Explicamos o porquê na próxima seção.
Gerenciadores de senha: a única solução que escala
Senhas únicas, longas e aleatórias para cada serviço são impossíveis de memorizar. Não é falta de esforço — é limite cognitivo humano real. A solução não é "tentar mais". É parar de tentar memorizar.
Um gerenciador de senhas gera, armazena e preenche senhas automaticamente. Você memoriza uma senha mestra forte (a passphrase da seção anterior). O gerenciador cuida do resto.
Opções com boa reputação:
- Bitwarden — open source, auditado externamente, gratuito para uso pessoal, sync entre dispositivos. É o que eu usaria se estivesse começando hoje.
- 1Password — pago, interface polida, bom para times.
- KeePass / KeePassXC — local-only, sem sync automático, máximo controle. Útil se você tem restrições de onde dados podem ir.
- Dashlane, Keeper — alternativas pagas com recursos corporativos.
O critério que importa na escolha: criptografia local antes do sync (o provedor não tem acesso às suas senhas), auditoria de terceiros publicada, e modelo de negócio sustentável — gratuito com histórico opaco levanta questões.
O que nunca usar para armazenar senhas:
- Planilha sem criptografia (local ou na nuvem)
- Arquivo de texto simples
- Notas do celular
- "Minha memória" — para mais de 5 contas, não funciona sem criar padrões previsíveis
Por que reusar senha é o erro mais caro
Quando um serviço vaza credenciais — e serviços vazam regularmente, às vezes anos após o incidente — os atacantes testam aquelas combinações de e-mail/senha em outros serviços automaticamente. Isso é credential stuffing.
Se você reusa a mesma senha, ou variações (minhasenha, minhasenha2, minhasenha_gmail), um único vazamento num site irrelevante pode comprometer sua conta de e-mail, que por sua vez dá acesso a recuperação de senha de qualquer outro serviço.
A cadeia de comprometimento típica:
- Vazamento em site X com sua senha
base123 - Atacante testa
base123e variações em 200 sites populares - Acessa seu e-mail (onde você usava
base123!) - Reseta a senha do banco, do PayPal, do que quiser
Cada conta com senha única quebra essa cadeia. Um vazamento em site X não tem consequência nenhuma para suas outras contas se cada uma tem 20 caracteres aleatórios únicos.
Para contexto sobre como esses vazamentos acontecem e o que fazer quando você está numa lista, o post sobre conceitos básicos de segurança da informação cobre o ciclo completo de um incidente — desde o vetor de ataque até a resposta.
Como migrar sem enlouquecer
Se você está começando agora com gerenciador de senhas e tem 80 contas com senha ruim, não tente migrar tudo de uma vez. Funciona melhor assim:
Semana 1 — instale e configure
- Escolha um gerenciador, instale a extensão do browser
- Crie a senha mestra com passphrase de 6 palavras
- Importe senhas existentes se o gerenciador suportar, ou deixe o auto-fill capturar conforme você faz login
À medida que você loga em cada serviço
- Deixe o gerenciador gerar uma senha nova de 20+ caracteres aleatórios
- Troque no serviço, salve no gerenciador
- Em 3 meses a maioria das contas importantes está com senha boa
Prioridade imediata (troque primeiro)
- E-mail principal (dá acesso a recuperação de tudo)
- Banco e serviços financeiros
- Qualquer conta com cartão de crédito salvo
Não precisa ser perfeito de uma vez. Um gerenciador parcialmente preenchido já é imensamente melhor do que "a mesma senha em tudo".
Perguntas frequentes
Qual o tamanho mínimo de uma senha forte em 2026?
Para senhas geradas por gerenciador (aleatórias), 16 caracteres é o mínimo razoável com entropia acima de 75 bits usando o alfabeto completo. Prefira 20 caracteres — custa zero para o gerenciador gerar e a diferença de segurança é enorme. Para senha mestra memorável, use passphrase de 6 palavras Diceware.
Gerenciador de senhas na nuvem é seguro? E se o serviço vazar?
Gerenciadores sérios (Bitwarden, 1Password) usam criptografia zero-knowledge: sua senha mestra nunca sai do seu dispositivo, e os dados sincronizados chegam ao servidor já criptografados. Se o servidor vazar, o atacante obtém ciphertext ilegível sem a sua senha mestra. O risco real é você esquecer a senha mestra ou perder acesso ao dispositivo sem backup de recovery code — não o servidor sendo comprometido.
Preciso trocar senha periodicamente?
O NIST (SP 800-63-4, 2024) não recomenda rotação periódica obrigatória. Troque quando houver evidência de comprometimento: o serviço anunciou vazamento, você recebeu alerta do gerenciador ou do HaveIBeenPwned, ou percebeu acesso suspeito. Rotação de calendário sem motivo só produz padrões previsíveis como Senha@Jun2026.
Posso usar o gerenciador de senhas do browser (Chrome, Safari)?
É melhor do que não usar nenhum. As limitações: ficam presos ao ecossistema do browser/OS, raramente têm auditoria de segurança independente publicada, e o compartilhamento entre dispositivos com SO diferentes pode ser complicado. Para uso pessoal simples podem bastar; para uso corporativo ou se você usa múltiplos browsers e sistemas, um gerenciador dedicado faz mais sentido.
Uma senha forte que você não controla ainda é fraca
A melhor senha do mundo não adianta se você não tiver backup de acesso ao gerenciador, não usar MFA nas contas críticas, e não verificar se seus dados já aparecem em vazamentos.
Configurações mínimas após adotar um gerenciador: habilite MFA no próprio gerenciador (com app autenticador, não SMS), salve os recovery codes offline, e configure um alerta no HaveIBeenPwned para ser notificado quando seu e-mail aparecer em vazamento novo.
Para gerar a senha mestra ou testar como uma senha aleatória real parece, o Gerador de Senhas usa crypto.getRandomValues e não envia nada para servidor — útil para ter uma referência concreta do que "20 caracteres aleatórios" significa na prática.
O investimento total para implementar tudo isso é uma tarde. O custo de não fazer — uma conta comprometida no pior momento — pode ser bem mais caro.
- 01 Como organizar estudos de programação sem se perder Sair do tutorial hell, estudar com consistência e terminar projetos — o sistema prático que realmente funciona para aprender programação.
- 02 VPS, VPC e servidor dedicado: diferenças VPS, VPC e servidor dedicado aparecem juntos em toda comparação de hospedagem — mas significam coisas bem diferentes. Entenda onde o dinheiro vai e como decidir.