Novo
Anúncios incomodam? Ir Sem anúncios Hoje
Por Que P@ssword1 Não É Na verdade Seguro
Atualizado em
As regras de complexidade de senha deveriam nos tornar mais seguros. Em vez disso, elas nos deram 'Password1!' em todos os lugares. Aqui está o que significa realmente entropia, por que a quantidade de caracteres é melhor que a complexidade e o que a NIST descobriu em 2017.
ANUNCIADO Remover?
A política de senha em muitas empresas segue algo assim: pelo menos 8 caracteres, pelo menos uma letra maiúscula, uma minúscula, um número e um caractere especial. E em algum lugar, um gerente de TI acredita que isso está garantindo a segurança.
Enquanto isso, 'Password1!' satisfaz todas as exigências dessas regras. O mesmo acontece com 'P@ssw0rd1' e 'Summer2024!'. Essas senhas aparecem regularmente em bases de vazamentos — não apesar das regras de complexidade, mas parcialmente por causa delas.
Por que as regras de complexidade falham
Quando você obriga as pessoas a adicionar uma letra maiúscula, um número e um símbolo, elas não criam aleatoriedade — elas seguem padrões. Maiúscula a primeira letra. Substitua 'a' por '@' e 'o' por '0'. Termine com '1!' ou o ano atual. Cada conjunto de regras para a quebra de senhas inclui essas transformações. Executar 'dicionário + substituições comuns + anexar números/símbolos' contra uma base de senhas vazadas é um ataque padrão, e ele funciona porque isso é exatamente o que a política treinou as pessoas para fazer.
A exigência de complexidade dá a ilusão de segurança, enquanto guia sistematicamente os usuários para padrões previsíveis. É teatro de segurança com mais etapas.
Entropia: O que realmente importa
A força da senha reduz-se à entropia — uma medida de imprevisibilidade. A fórmula é simples:
H = L × log₂(N)
Onde L é o comprimento da senha e N é o tamanho do conjunto de caracteres escolhidos. Mais bits = mais tentativas necessárias = mais difícil de quebrar.
A palavra crítica é escolhida de. Essa fórmula assume que cada caractere é selecionado aleatoriamente entre N possibilidades. O momento em que um ser humano escolhe os caracteres, todas as apostas estão acabadas — porque os seres humanos são previsivelmente ruins em serem aleatórios.
Os números
Aqui está como as estratégias comuns de senha realmente se comparam:
| Tipo de senha | Exemplo | Entropia teórica máxima | Entropia efetiva no mundo real |
|---|---|---|---|
| 8 caracteres "complexos" (palavra + substituições) | P@ssw0rd | ~52 bits | ~20 bits — os atacantes usam ataques baseados em regras |
| 10 caracteres "complexos" (palavra + número + símbolo) | P@ssw0rd1! | ~65 bits | ~28 bits — o mesmo problema, um pouco mais longo |
| Passphrase de 4 palavras Diceware | correct horse battery staple | ~52 bits | ~52 bits — realmente aleatória se dados fossem lançados com dados |
| 16 caracteres aleatórios (conjunto completo de impressos) | Xk9#mP2vQw7&nZ4j | ~105 bits | ~105 bits — apenas alcançável com um gerenciador de senhas |
"correct horse battery staple" e "P@ssw0rd" têm entropia teórica semelhante em papel — mas apenas a passphrase realmente a alcança, porque o lançamento de dados é realmente aleatório e "senha com a→0 e o→@" não é. Os atacantes conhecem todas as regras de substituição que você conhece.
O que NIST descobriu em 2017
A Publicação Especial NIST 800-63B silenciosamente invertia décadas de consenso tradicional. As principais mudanças na versão de 2017:
- Nenhuma regra obrigatória de complexidade. Exigir maiúsculas/minúsculas/números/símbolos não melhora a segurança da forma que todos acreditavam.
- Nenhuma rotação forçada periódica. "Mude sua senha a cada 90 dias" produz Password1 → Password2 → Password3. A menos que haja evidência de comprometimento, a rotação causa mais dano do que benefício.
- Comprimento em vez de complexidade. Uma senha mais longa é quase sempre mais segura do que uma curta e complexa. A NIST recomenda um mínimo de 8 caracteres e sugere permitir até pelo menos 64.
- Verifique contra senhas já vazadas. Bloqueie senhas que aparecem em bases de vazamentos conhecidas. Isso é muito mais eficaz do que exigir um caractere especial.
A maioria dos departamentos de TI de empresas está executando políticas de 2003 em 2025. A orientação mudou. Os diálogos de senha não mudaram.
Passphrases versus senhas "complexas"
O quadrinho xkcd "correct horse battery staple" não era apenas uma piada — a matemática se sustenta. Uma passphrase feita de quatro palavras comuns realmente aleatórias tem entre 44 e 52 bits de entropia, dependendo da lista de palavras. Isso supera a maioria das senhas "complexas" que as pessoas criam na prática e é algo que um humano pode realmente lembrar e digitar.
A pegadinha: as palavras devem ser realmente aleatórias. "Meu cão Max ama pizza" não é uma passphrase — é uma frase com contexto pessoal que reduz significativamente o espaço de busca. Escolha palavras usando dados (Diceware) ou um gerador de números aleatórios adequado, não seu cérebro.
Mitos comuns sobre segurança de senhas
- Mitologia: Caracteres especiais tornam as senhas seguras. Apenas se a senha base estiver aleatória. Adicionar "!" a uma senha baseada em palavras adiciona talvez 6 bits de entropia e quase nada em um ataque baseado em regras.
- Mitologia: Senhas mais longas são mais difíceis de digitar, portanto são piores em UX. Uma passphrase de quatro palavras é mais longa em caracteres, mas muitas vezes mais fácil de digitar do que Tr0ub4dor&3.
- Mitologia: A rotação frequente equivale a melhor segurança. Bases de vazamentos consistentemente mostram que a rotação forçada leva a mudanças previsíveis. A NIST agora recomenda explicitamente contra isso, exceto em casos de comprometimento confirmado.
- Mitologia: Um gerenciador de senhas é arriscado porque um vazamento expõe tudo. A alternativa — reutilizar senhas frágeis em diferentes sites — expõe tudo no primeiro vazamento de qualquer serviço que você usa. Os gerenciadores de senhas vencem em valor esperado.
O que realmente funciona
Use um gerenciador de senhas e deixe que ele gere senhas longas e realmente aleatórias (16+ caracteres, conjunto completo de caracteres). Você lembra de uma única senha forte de mestre; o gerenciador cuida do resto. Bitwarden, 1Password e KeePassXC são as escolhas razoáveis, dependendo de se você quer sincronização na nuvem ou apenas local.
Use passphrases Diceware para qualquer coisa que você precise digitar ou lembrar. Lance dados reais, procure as palavras na lista de palavras grande da EFF, junte quatro ou cinco juntas. Não pule os dados — escolher palavras por si só anula completamente o propósito.
Você pode verificar onde uma senha realmente se localiza na escala de entropia com o Analizador de Força de Senha — ele mostra o tempo estimado de quebra real, e não o teatro verde/amarelo/vermelho que a maioria dos sites oferece. E se você precisar de uma senha realmente aleatória gerada para você, o Gerador de senhas permite definir o comprimento e o conjunto de caracteres e produz algo que não seja 'Summer2025!'
A conclusão real
As regras de complexidade venceram. Elas estão incorporadas em todas as políticas empresariais, em todos os cadastros de contas de consumidores e em todos os diálogos "sua senha deve conter...". Elas também falharam — as bases de vazamentos estão cheias exatamente dos tipos de senhas que essas regras produzem.
O comprimento e a aleatoriedade genuína são os eixos que realmente movem a entropia. Tudo o resto é uma caixa de seleção que faz um diálogo de senha parecer que está fazendo algo.
Quer eliminar anúncios?
Fique sem anúncios hoje mesmo
Instale nossas extensões
Adicione ferramentas de IO ao seu navegador favorito para acesso instantâneo e pesquisa mais rápida
恵 O placar chegou!
Placar é uma forma divertida de acompanhar seus jogos, todos os dados são armazenados em seu navegador. Mais recursos serão lançados em breve!
ANUNCIADO Remover?
Ferramentas essenciais
Ver tudoANUNCIADO Remover?
Novas chegadas
Ver tudoAtualizar: Nosso ferramenta mais recente foi adicionado em 6 de junho de 2026
Envolver-se
Ajude-nos a continuar fornecendo ferramentas gratuitas valiosas
ANUNCIADO Remover?