Gerador de senhas gratuito on-line

O que realmente torna uma senha forte

A força de uma senha vem da entropia: o número de bits de aleatoriedade que um atacante precisa adivinhar. Calcula-se como log₂(tamanho_do_conjunto ^ comprimento): uma senha de 12 caracteres tirada uniformemente dos 94 caracteres ASCII imprimíveis tem cerca de 79 bits de entropia; uma de 16 caracteres chega a aproximadamente 105. As diretrizes modernas de segurança consideram que tudo acima de 80 bits resiste a ataques de força bruta offline pelo futuro previsível, mesmo com hardware especializado. NIST SP 800-63B (a diretriz federal estadunidense atual sobre identidade digital, publicada originalmente em 2017 com revisões até 2024) recomenda exatamente o mesmo: mínimo 8 caracteres, até 64 permitidos, todo o Unicode imprimível aceito, incluindo espaços. Crucialmente, essa mesma diretriz reverte décadas de maus conselhos sobre senhas, diz aos administradores que parem de exigir rotação periódica, que parem de impor regras de composição («deve conter um símbolo»), e que comecem a verificar novas senhas contra corpora de vazamentos (a API Pwned Passwords do Have I Been Pwned, criada por Troy Hunt em 2018, é a implementação padrão). O conselho prático em 2026: longa, aleatória, única por conta, armazenada num gerenciador de senhas.

Frases-senha, a tradição Diceware

Uma frase-senha é uma senha construída a partir de palavras aleatórias em vez de caracteres aleatórios. A técnica foi formalizada pelo Diceware de Arnold G. Reinhold em 1995, uma lista de 7.776 palavras inglesas curtas e comuns, cada uma associada a um endereço de cinco dígitos obtido com dados (5⁵ = 7.776). Lance cinco dados, procure a palavra, repita o quanto quiser. Seis palavras Diceware fornecem cerca de 77 bits de entropia, equivalente a uma senha ASCII aleatória de 12 caracteres, mas muito mais fácil de digitar e lembrar. A tirinha XKCD #936 («correcthorsebatterystaple», setembro de 2011) popularizou o conceito e mudou a cultura de segurança; gerenciadores de senhas e projetos de defaults seguros como Bitwarden, 1Password, KeePassXC e as listas atualizadas pela EFF suportam todos a geração de frases-senha. A vantagem não é a segurança (senhas por caracteres ou por palavras com a mesma entropia são igualmente fortes contra força bruta) é a facilidade de digitação. Uma frase-senha é o formato certo quando você realmente precisa digitar a senha (senha mestra do gerenciador, senha de criptografia de disco inteiro, tudo o que vem antes do preenchimento automático).

Por que aleatoriedade importa, e a questão do CSPRNG

A força de uma senha pressupõe que ela seja uniformemente aleatória. Padrões que um atacante consegue prever, caminhadas no teclado (qwerty), datas, palavras do dicionário, substituições l33t: destroem a entropia muito mais rápido do que a simples contagem de caracteres sugere. Hashcat e John the Ripper, as ferramentas-padrão para quebrar senhas, testam milhões de padrões comuns primeiro; uma senha de 8 caracteres que segue um desses padrões cai em segundos. Este gerador usa a Web Crypto API do navegador, especificamente crypto.getRandomValues(): um gerador de números aleatórios criptograficamente seguro (CSPRNG) que extrai do reservatório de entropia do sistema operacional. Diferente de Math.random() (rápido mas previsível, nunca usar para segurança), crypto.getRandomValues() é a mesma primitiva que o navegador usa para gerar chaves de sessão TLS. A aleatoriedade serve para qualquer uso criptográfico, senhas inclusas.

O companheiro indispensável: use um gerenciador de senhas

Gerar senhas fortes e únicas só faz sentido se você tem onde guardá-las. O panorama de gerenciadores de senhas em 2026: Bitwarden (Kyle Spearrin, 2016, código aberto, camada gratuita com upgrade pago opcional) é a opção open-source dominante. 1Password (AgileBits, fundada em 2006) é a opção comercial polida. KeePassXC (fork comunitário do KeePass, totalmente offline, cofre em arquivo) é a escolha de quem não confia na sincronização em nuvem. iCloud Keychain da Apple, Google Password Manager e o gerenciador do Microsoft Edge são as opções padrão sem atrito embutidas em cada plataforma. Proton Pass (2023) é a opção mais recente centrada em privacidade, do pessoal da Proton/ProtonMail. Os gerenciadores integrados ao navegador têm a menor fricção; gerenciadores dedicados oferecem melhor sincronização entre plataformas e funcionalidades adicionais. A recomendação 2026: qualquer gerenciador de senhas confiável + uma senha única gerada por conta + uma senha mestra única e forte (a única que você realmente precisa memorizar) + uma chave de segurança em hardware (YubiKey ou similar) para contas de alto valor.

Quão forte é a sua senha?

Uma senha de 12 caracteres tirada uniformemente dos 94 caracteres ASCII imprimíveis tem 94¹² ≈ 4,75 × 10²³ valores possíveis, cerca de 79 bits de entropia. Forçar por força bruta um espaço de 79 bits a um trilhão de tentativas por segundo (atingível com um rig de GPU de ponta) leva cerca de 19.000 anos. Cada caractere adicional multiplica o espaço de busca por 94, dobrando o tempo de quebra a cada aproximadamente 1,4 caractere. Uma senha de 16 caracteres leva cerca de 1,5 trilhão de anos para ser quebrada no mesmo ritmo. A conclusão: 12 caracteres bastam para a maioria das contas; 16 ou mais convém para senhas mestras, chaves de criptografia e contas de alto valor. O medidor de força deste gerador estima a entropia a partir do conjunto de caracteres que você habilitou e do comprimento que escolheu.

Perguntas frequentes

Este gerador de senhas é seguro?

Sim. Usamos a Web Crypto API (crypto.getRandomValues), que fornece números aleatórios criptograficamente seguros. Nenhuma senha é armazenada, transmitida ou registrada. Tudo é executado no seu navegador.

Qual comprimento de senha devo usar?

Recomendamos pelo menos 16 caracteres para contas importantes. Para segurança máxima (senhas mestras, chaves de criptografia), use 20-32 caracteres. Quanto mais longa a senha, mais difícil é quebrá-la.

Devo incluir símbolos?

Sim, quando possível. Símbolos aumentam drasticamente o número de combinações possíveis. No entanto, alguns sites restringem quais caracteres você pode usar. Se um site rejeitar símbolos, desmarque essa opção e aumente o comprimento para compensar.

Por que nunca devo reutilizar senhas?

Se um site sofrer violação, os invasores tentam a mesma combinação e-mail/senha em outros sites (credential stuffing). Usar senhas únicas para cada conta significa que uma única violação não pode comprometer suas outras contas.

Ferramentas relacionadas