Gerador de Texto Aleatório

Sobre o Gerador de Senhas e Strings

Esta ferramenta gera valores aleatórios criptograficamente seguros inteiramente no seu navegador usando a Web Crypto API (crypto.getRandomValues), a mesma fonte de entropia segura que o navegador expõe para chaves e tokens — não Math.random(). Ela pode produzir senhas fortes (com maiúsculas, minúsculas, dígitos e símbolos selecionáveis), strings aleatórias arbitrárias, sequências de números e letras, e UUIDs versão 4 conforme RFC 4122 (também via o crypto.randomUUID nativo quando disponível). Como a aleatoriedade é extraída do pool de entropia seguro do sistema operacional, todo valor aqui é adequado para segredos reais: senhas, chaves de API, tokens de sessão, sais e códigos de uso único. Para cada senha ou string gerada a ferramenta também mostra a entropia estimada em bits e um tempo de quebra offline estimado, calculado a partir do tamanho real do alfabeto e do comprimento, para que engenheiros de segurança, administradores e revisores de conformidade possam verificar uma credencial contra a política (NIST e OWASP costumam citar pelo menos 80 bits para segredos de alto valor) em vez de confiar num vago rótulo 'Forte'.

A aleatoriedade é criptograficamente segura — posso usá-las para senhas reais?

Sim. Cada modo (senha, string, números, letras, palavras e UUID) extrai de crypto.getRandomValues(), o gerador de números pseudoaleatórios criptograficamente seguro da Web Crypto API, semeado a partir do pool de entropia do sistema operacional (/dev/urandom no Unix, CryptGenRandom/BCryptGenRandom no Windows). Diferente de Math.random(), sua saída não é previsível a partir de valores observados, então os valores gerados são apropriados para senhas, chaves de API, tokens de sessão, sais e códigos de uso único. A seleção de inteiros usa amostragem por rejeição para evitar viés de módulo, então cada caractere é uniformemente provável. Como sempre, gere segredos em um dispositivo confiável e guarde-os em um gerenciador de senhas — nada aqui é transmitido a um servidor.

Como a entropia em bits é calculada e por que importa?

A entropia é calculada como bits = comprimento × log2(tamanhoPool), onde tamanhoPool é o número de caracteres distintos no alfabeto ativo e comprimento é o número de caracteres gerados. Por exemplo, uma senha de 16 caracteres do conjunto completo de 94 símbolos ASCII imprimíveis tem cerca de 16 × log2(94) ≈ 105 bits, enquanto 8 dígitos (pool de 10) tem apenas cerca de 8 × log2(10) ≈ 27 bits. Bits de entropia são a medida padrão e defensável de quão difícil é adivinhar um segredo: cada bit adicional dobra o espaço de busca. É muito mais significativo que uma barra colorida de 'Forte/Fraca' porque permite verificar uma credencial contra um limiar de política explícito.

O que significa 'Cumpre política de 80 bits'?

Orientações de segurança como NIST SP 800-63B e OWASP recomendam que segredos de alto valor carreguem entropia suficiente para que um ataque de força bruta offline seja inviável; 80 bits é um piso comumente citado para credenciais importantes, preferindo-se 112–128 bits para chaves de longa duração. Quando uma senha ou string gerada atinge pelo menos 80 bits, o selo de veredito fica verde ('Cumpre política de 80 bits'); abaixo disso ele avisa ('Abaixo de 80 bits'). Para aumentar a entropia, aumente o comprimento ou habilite mais classes de caracteres (maiúsculas, minúsculas, dígitos, símbolos), o que amplia o alfabeto.

Como o tempo de quebra offline é estimado?

O valor de tempo de quebra assume um atacante offline rápido fazendo cerca de 1×10¹² (um trilhão) de tentativas por segundo — uma ordem de magnitude razoável para rigs de GPU de ponta contra um hash rápido ou sem sal — e que o segredo é encontrado em média após buscar metade do espaço de chaves. Então os segundos estimados ≈ 2^bits ÷ 1e12 ÷ 2. É um indicador aproximado de ordem de magnitude, não uma garantia: uma KDF lenta e com sal como Argon2 ou bcrypt torna a quebra dramaticamente mais lenta, enquanto um texto plano vazado ou senha reutilizada a torna instantânea. Use o valor de bits como métrica principal e o tempo como intuição.

Quantos bits de entropia tem um UUID v4?

Um UUID versão 4 tem 128 bits no total, mas 6 deles são fixados pelo padrão (4 bits para o campo de versão e 2 bits para o campo de variante), deixando 122 bits de aleatoriedade. Isso está bem acima do limiar de 80 bits, por isso UUID v4 é amplamente usado para identificadores não adivinháveis, chaves de idempotência e tokens. Esta ferramenta produz UUIDs v4 conformes ao RFC 4122 usando crypto.randomUUID() quando o navegador suporta, recorrendo a crypto.getRandomValues() com os bits de versão e variante corretos.

Por que oferecer a opção 'Excluir caracteres ambíguos'?

Glifos ambíguos como 0/O e 1/l/I são fáceis de confundir quando uma credencial é impressa, escrita à mão, ditada por telefone ou lida na tela com uma fonte ruim — levando a logins falhos e tickets de suporte. Excluí-los melhora a precisão de transcrição para segredos manuseados por humanos (chaves Wi‑Fi, códigos de voucher, senhas iniciais). O trade-off é um alfabeto um pouco menor e, portanto, um pouco menos de entropia por caractere; a leitura de entropia reflete o pool reduzido automaticamente, então você pode alongar o valor para compensar se necessário.

O que faz 'Sem caracteres repetidos' e qual o limite de comprimento?

Quando habilitado, cada caractere da saída é único. Como uma string sem repetições não pode ser mais longa que seu alfabeto, o comprimento solicitado é automaticamente limitado ao tamanho do alfabeto — por exemplo você obtém no máximo 10 caracteres únicos dos dígitos 0–9, ou cerca de 16 símbolos únicos de um pool de 16 caracteres. A ferramenta constrói o valor a partir de uma cópia embaralhada de forma segura do alfabeto (Fisher–Yates com o CSPRNG), então o resultado é sem viés e não contém duplicatas. Note que proibir repetições reduz ligeiramente a entropia comparado a permiti-las, então para força máxima em segredos longos deixe-o desativado.