Testador de Força de Senha

Sobre o Testador de Força de Senha

O Testador de Força de Senha é uma ferramenta de segurança abrangente que analisa a força de senha usando algoritmos padrão da indústria. Ele avalia múltiplos fatores incluindo comprimento, variedade de caracteres, entropia e padrões de senhas comuns para fornecer classificações de segurança precisas.

Nossa ferramenta ajuda você a criar senhas inquebráveis identificando fraquezas e fornecendo recomendações acionáveis. O gerador de senhas embutido usa geração de números aleatórios criptograficamente segura para criar senhas verdadeiramente aleatórias e imprevisíveis.

Como a força da senha é calculada?

A força da senha é calculada usando múltiplos fatores:

• Comprimento: Senhas mais longas são exponencialmente mais fortes (mínimo de 8+ caracteres, recomendado 12+)
• Variedade de Caracteres: Usar maiúsculas, minúsculas, números e símbolos aumenta a complexidade
• Entropia: Medida matemática de aleatoriedade e imprevisibilidade
• Padrões Comuns: Penalidades para palavras de dicionário, caracteres sequenciais (abc, 123) e padrões repetitivos (aaa, 111)
• Senhas Comuns: Verifica contra banco de dados de senhas fracas frequentemente usadas

A pontuação final (0-100) representa a segurança geral, com recomendações de melhoria.

O que é entropia de senha?

Entropia mede a aleatoriedade da senha em bits. Maior entropia significa mais combinações possíveis e melhor segurança:

• 0-28 bits: Muito Fraca (quebrável instantaneamente)
• 28-35 bits: Fraca (quebrável em segundos/minutos)
• 36-59 bits: Razoável (quebrável em horas/dias)
• 60-127 bits: Boa (quebrável em anos)
• 128+ bits: Forte (quebrável em séculos)

Entropia = comprimento da senha × log₂(tamanho do conjunto de caracteres)

Exemplo: Senha de 12 caracteres com maiúsculas, minúsculas, números e símbolos tem ~79 bits de entropia.

O que é tempo de quebra?

Tempo de quebra estima quanto tempo levaria para adivinhar sua senha usando ataques de força bruta (tentando toda combinação possível). O cálculo assume:

• Uma taxa de tentativas definida pelo modelo de velocidade do atacante selecionado
• Tentando metade de todas as combinações possíveis em média
• Sem medidas de segurança adicionais como limitação de taxa

O tempo real de quebra varia baseado em:
• Poder computacional do atacante
• Se o hash da senha é salgado
• Implementação de limitação de taxa
• Uso de autenticação multifator

Uma boa senha deve levar anos ou séculos para quebrar.

Quão rápido uma GPU pode quebrar minha senha?

Depende inteiramente do modelo de atacante, por isso esta ferramenta permite escolher um e recalcula o tempo de quebra ao vivo:

• Online, limitado (~100 tentativas/s): um formulário de login com limitação de taxa e bloqueios
• Online, sem limite (~10K/s): uma API ou endpoint sem restrições
• Hash lento offline, bcrypt/scrypt/Argon2 (~10K/s): um banco de dados roubado com um KDF deliberadamente lento
• Hash rápido offline, SHA-256 uma GPU (~10 bilhões/s): um hash MD5/SHA sem sal vazado em uma GPU de consumo
• Conjunto de GPUs offline (~1 trilhão/s): um cluster de quebra com várias GPUs

Uma senha que resiste "séculos" a 100 tentativas/s pode cair em horas contra um conjunto de GPUs offline, então avalie sempre conforme o modelo de ameaça que você realmente enfrenta.

Atende ao NIST 800-63B, PCI-DSS ou OWASP?

Use esta ferramenta para estimar entropia e tempo de quebra e depois mapeie ao padrão que você precisa cumprir:

• NIST SP 800-63B: exige pelo menos 8 caracteres (15+ recomendados), permite todos os caracteres imprimíveis e espaços, e desencoraja regras de composição forçadas e redefinições periódicas. Enfatiza filtrar contra listas de senhas vazadas - a verificação de senhas comuns aqui reflete essa intenção.
• PCI-DSS v4.0: mínimo de 12 caracteres com letras e números para sistemas no escopo (ou complexidade/entropia equivalente).
• OWASP ASVS: recomenda 12+ caracteres, sem máximo arbitrário abaixo de 64 e bloquear senhas vazadas conhecidas.

Como regra geral, vise 60+ bits de entropia para contas comuns e 80+ bits para segredos de alto valor ou atacáveis offline. Esta ferramenta não armazena nem transmite nada, então é segura para redigir uma política, mas é um estimador, não um certificador formal de conformidade.

O que torna uma senha forte?

Uma senha forte tem estas características:

• Comprimento: Pelo menos 12 caracteres (quanto mais longa, melhor)
• Variedade: Mix de maiúsculas, minúsculas, números e símbolos
• Aleatoriedade: Sem padrões previsíveis ou palavras de dicionário
• Unicidade: Senha diferente para cada conta
• Não Reutilizada: Nunca reutilizada de outros serviços
• Não Pessoal: Evite nomes, aniversários ou informações pessoais

Exemplos:
❌ Fraca: password123, qwerty, abc123
❌ Melhor mas ainda fraca: Password123!
✅ Forte: K9#mL2pQ@vN8xR4t

Por que evitar senhas comuns?

Senhas comuns são as primeiras que atacantes tentam porque:

• Ataques de Dicionário: Hackers usam listas de milhões de senhas comuns
• Preenchimento de Credenciais: Senhas vazadas são reutilizadas entre sites
• Engenharia Social: Informações pessoais tornam senhas previsíveis

Senhas mais comuns incluem:
• password, 123456, qwerty, abc123
• Nomes, times de esportes, aniversários
• Padrões simples como "password1" ou "P@ssw0rd"

Mesmo com complexidade (Password123!), palavras base comuns permanecem vulneráveis.

O que são padrões sequenciais e repetitivos?

Padrões sequenciais seguem ordens previsíveis:
• Alfabéticos: abc, xyz, qwerty
• Numéricos: 123, 789, 2468
• Teclado: qwerty, asdfgh

Padrões repetitivos repetem caracteres:
• Mesmo caractere: aaa, 111, ***
• Segmentos repetidos: abcabc, 123123

Ambos os tipos reduzem significativamente a força da senha porque são mais fáceis de adivinhar e aparecem em dicionários de senhas comuns.

Como funciona o gerador de senhas?

Nosso gerador de senhas usa Web Crypto API (window.crypto.getRandomValues()) para geração de números aleatórios criptograficamente segura. Isso significa:

• Aleatoriedade Verdadeira: Usa fontes de entropia do sistema (ruído de hardware, movimentos do mouse, etc.)
• Criptograficamente Seguro: Adequado para aplicações críticas de segurança
• Imprevisível: Não pode ser previsto ou reproduzido
• Não Pseudo-Aleatório: Ao contrário de Math.random(), que é previsível

Você pode personalizar:
• Comprimento (8-64 caracteres)
• Tipos de caracteres (maiúsculas, minúsculas, números, símbolos)

Senhas geradas nunca são enviadas para nenhum servidor - tudo acontece localmente no seu navegador.

Minha senha está segura quando a testo?

Sim! Sua senha está completamente segura porque:

• Processamento Local: Toda análise acontece no seu navegador usando JavaScript
• Sem Comunicação com Servidor: Sua senha nunca é enviada para nenhum servidor
• Sem Armazenamento: Sem cookies, logs ou armazenamento em banco de dados
• Sem Rastreamento: Não rastreamos ou registramos o que você digita
• Código Aberto: O código é transparente e auditável

No entanto, conselho geral de segurança:
• Não use senhas reais em sites não confiáveis
• Use esta ferramenta para testar senhas potenciais antes de usá-las
• Considere usar um gerenciador de senhas para armazenar senhas com segurança

Devo usar um gerenciador de senhas?

Sim! Gerenciadores de senhas são altamente recomendados porque:

• Geram senhas fortes e aleatórias para cada conta
• Armazenam senhas com segurança com criptografia
• Preenchem automaticamente credenciais para prevenir phishing
• Alertam sobre senhas fracas ou reutilizadas
• Funcionam em todos os dispositivos

Gerenciadores de senhas populares:
• 1Password, LastPass, Bitwarden (multiplataforma)
• iCloud Keychain (dispositivos Apple)
• Google Password Manager (Chrome/Android)

Com um gerenciador de senhas, você só precisa lembrar de uma senha mestra forte.

O que mais posso fazer para ficar seguro?

Além de senhas fortes, implemente estas medidas de segurança:

• Autenticação de Dois Fatores (2FA): Adiciona segunda etapa de verificação (SMS, app, chave de hardware)
• Senhas Únicas: Nunca reutilize senhas entre sites
• Atualizações Regulares: Mude senhas periodicamente, especialmente após vazamentos
• Monitoramento de Vazamentos: Verifique se suas contas aparecem em vazamentos de dados (haveibeenpwned.com)
• Evite Phishing: Verifique URLs antes de inserir credenciais
• Atualize Software: Mantenha SO, navegadores e apps atualizados
• Use HTTPS: Insira senhas apenas em sites seguros
• Cuidado com WiFi Público: Use VPN ao acessar contas em redes públicas