Gerador de Senhas

Gerador online gratuito de senhas fortes. Crie senhas aleatórias seguras com comprimento personalizável, maiúsculas, minúsculas, números e símbolos. Geração em lote e medidor de força de senha. Perfeito para criar senhas seguras.

Tem feedback? Reporte bugs, sugira recursos ou compartilhe suas ideias — lemos todos

Gerador de Senhas - Criar Senhas Aleatórias Fortes

Um poderoso gerador de senhas que cria senhas aleatórias criptograficamente seguras. Personalize comprimento, tipos de caracteres e gere múltiplas senhas de uma vez. Inclui medidor de força de senha para garantir que suas senhas sejam seguras.

O que torna uma senha forte em 2026?

A força moderna de senhas é dominada pela entropia — o logaritmo do espaço de busca que um atacante deve cobrir. NIST SP 800-63B (revisão 2024) recomenda mínimo de 8 caracteres mas encoraja 15 ou mais para qualquer conta que proteja dados valiosos. Comprimento importa mais que complexidade: uma senha de 20 caracteres apenas minúsculas tem cerca de 94 bits de entropia, muito mais forte que uma de 8 caracteres com maiúsculas-minúsculas-dígitos-símbolos (~52 bits). O fator maior é unicidade — cada conta deve ter senha distinta, já que a violação média expõe uma credencial que 65% dos usuários reutiliza. Use um gerenciador de senhas (1Password, Bitwarden, KeePass) para gerar e armazenar senhas aleatórias por site, e proteja o cofre com uma frase longa mais autenticação multifator por hardware. Evite rotação periódica obrigatória (NIST removeu esse requisito) — empurra usuários para variações previsíveis.

Como senhas aleatórias se comparam a frases-senha (diceware)?

Ambas podem ser fortes se geradas corretamente. Uma senha aleatória de N caracteres de um alfabeto de K símbolos tem N·log2(K) bits de entropia: 16 caracteres aleatórios do alfabeto 95-ASCII imprimível dão cerca de 105 bits — além de qualquer força bruta viável. Uma frase-senha diceware usa dados físicos ou criptográficos para escolher palavras de uma lista pública (a lista longa da EFF tem 7,776 = 6^5 palavras), dando log2(7776) ≈ 12.9 bits por palavra: 5 palavras dão 64 bits (decente), 7 palavras dão 90 bits (excelente), 10 palavras dão 129 bits (exagero). Frases-senha são mais fáceis de memorizar, redigitar em celulares e ditar em voz alta, ideais para senhas mestras de cofre. Senhas de caracteres aleatórios são mais densas e melhores para sites com limite de comprimento. Criticamente, nunca invente suas próprias palavras — use uma fonte aleatória verificada.

O que é entropia e como calcular?

A entropia da informação (Shannon, 1948) mede a imprevisibilidade em bits. Para uma senha uniformemente aleatória de comprimento L escolhida de um alfabeto de tamanho N, entropia = L × log2(N). Uma senha de 12 caracteres de [a-zA-Z0-9] (62 caracteres) tem 12 × log2(62) ≈ 71 bits. Cada bit adicional dobra o trabalho de um atacante de força bruta. GPUs modernas podem computar ~100 bilhões (~37 bits) de hashes MD5 por segundo por GPU, então uma senha de 50 bits com hash MD5 sem sal cai em cerca de um dia em um rig de 8 GPUs. bcrypt com sal apropriada desacelera isso para ~10,000 por segundo, empurrando 70 bits para milhares de anos. NIST recomenda ≥80 bits para chaves simétricas e força equivalente para senhas que protegem contas valiosas. Os "medidores de força" online que pontuam por heurísticas visuais ("adicione um símbolo!") são em grande parte teatro — entropia de um CSPRNG verdadeiro é o que conta.

Por que devo evitar padrões comuns como P@ssw0rd! ou Verao2026?

Atacantes não adivinham aleatoriamente — usam ataques de dicionário mutado baseados em corpus de violações vazadas (RockYou continha 14 milhões de senhas únicas; HaveIBeenPwned expõe mais de 800 milhões). Ferramentas como Hashcat suportam arquivos de regras que realizam toda substituição comum: P@ssw0rd, P@$$w0rd, Pa55w0rd, Pa$$word, etc., todas atingidas nos primeiros milhões de palpites. "Verao2026!" aparece essencialmente em toda lista moderna com permutações de ano embutidas. Nomes de familiares, times esportivos, nomes de animais e datas de nascimento são similarmente triviais porque atacantes cruzam OSINT das redes sociais. A defesa é aleatoriedade de um CSPRNG (crypto.getRandomValues em navegadores, módulo secrets em Python, /dev/urandom no Linux) — nunca padrões escolhidos por cérebro humano. Senhas verdadeiramente aleatórias parecem inesquecíveis de propósito: por isso usamos gerenciadores de senhas.

Gerador de Senhas — Gerador online gratuito de senhas fortes. Crie senhas aleatórias seguras com comprimento personalizável, maiúsculas, min — **Gerador de Senhas**

Senhas devem ser armazenadas com hash ou criptografadas no servidor?

Sempre com hash, nunca criptografadas ou em texto plano. Criptografia é reversível — qualquer um com a chave pode descriptografar todas as senhas, então um único vazamento de chave compromete cada conta. Hash é unidirecional: nem mesmo o servidor pode recuperar a senha do hash armazenado. Use uma função moderna de hash adaptativo de senhas: Argon2id é a recomendação do OWASP e IETF (RFC 9106) desde 2015 como vencedor da Competição de Hash de Senhas, com bcrypt e scrypt como escolhas legadas aceitáveis. PBKDF2-HMAC-SHA256 com ≥600,000 iterações é obrigatório para sistemas compatíveis com FIPS. Cada senha deve usar uma sal aleatória única de 16 bytes para derrotar tabelas arco-íris. SHA-256 ou MD5 simples NÃO são aceitáveis — são ordens de magnitude rápidos demais. A violação do LinkedIn em 2012 expôs 117 milhões de hashes SHA-1 sem sal; a maioria foi quebrada em dias.

Preciso de 2FA se tenho senha forte?

Sim — autenticação multifator (MFA) defende contra ataques que nenhum comprimento de senha pode prevenir: phishing, keyloggers de malware, violações do lado do servidor e preenchimento de credenciais. NIST SP 800-63B classifica autenticadores em três fatores: algo que você sabe (senha), algo que você tem (chave de segurança, telefone), algo que você é (impressão digital, rosto). MFA verdadeira requer pelo menos dois fatores distintos. Ordem de preferência: chaves de segurança por hardware usando FIDO2/WebAuthn (YubiKey, Titan) são resistentes a phishing porque vinculam-se ao domínio de origem; apps TOTP (Authy, Google Authenticator) são bons mas vulneráveis a proxies de phishing em tempo real (Evilginx); códigos SMS são os mais fracos (ataques de SIM-swap) e desencorajados pelo NIST desde 2017. MFA baseada em push (Microsoft Authenticator) está sofrendo ataques de "fadiga MFA" onde atacantes enviam spam de prompts de aprovação. Use uma chave por hardware onde for suportado.

Que caracteres devo incluir e quais evitar?

Maximize o alfabeto para maximizar a entropia. Sistemas modernos devem aceitar todos os 95 caracteres ASCII imprimíveis (0x20-0x7E): letras, dígitos e os símbolos !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ mais espaço. NIST SP 800-63B exige explicitamente aceitar todo ASCII imprimível e idealmente Unicode. Porém, sistemas do mundo real frequentemente se comportam mal: alguns removem < > para prevenir XSS (sinal de saneamento quebrado no servidor), alguns quebram em aspas ou barras invertidas devido a bugs de escape SQL, alguns truncam em 8 ou 16 caracteres (sinal de que usam crypt(3)). Para máxima compatibilidade, gere senhas de [A-Za-z0-9!@#$%^&*()-_=+?]. Evite caracteres parecidos (O vs 0, l vs 1 vs I) apenas se humanos precisarem digitar a senha à vista; caso contrário a perda de entropia é desnecessária. Sites que proíbem qualquer caractere estão criando insegurança, não prevenindo-a.

Como a quebra de senhas realmente funciona?

Atacantes modernos não adivinham senhas contra um formulário de login ao vivo — isso aciona limitação de taxa e bloqueios de conta. Em vez disso roubam o banco de hashes de senhas (via SQL injection, infiltrado, vazamento de backup), depois quebram offline em rigs dedicados. Hashcat e John the Ripper são as ferramentas primárias, aceleradas por GPUs (uma RTX 4090 faz ~200 GH/s em MD5, ~16 KH/s em bcrypt cost=10). O pipeline de ataque: (1) ataque de wordlist com rockyou.txt e corpus de violações, (2) mutações baseadas em regras (adicionar 1, capitalizar, trocar a→@), (3) ataques de máscara em padrões comuns (?u?l?l?l?l?l?l?d?d para palavra capitalizada de 6 letras + 2 dígitos), (4) ataques híbridos combinando wordlist + máscara, (5) força bruta pura apenas para senhas curtas. Uma senha bcrypt salgada com 12+ bits de entropia além de uma base de dicionário resiste a todos os estágios. Comprimento mais aleatoriedade vence; regras de complexidade não.