Guia de segurança
O que é o tempo de quebra de senha?
Saiba o que significam as estimativas de tempo de quebra de senha, por que as suposições sobre a taxa de ataque são importantes e por que as estimativas não são garantias.
Resumo
O tempo de quebra de senha é uma estimativa de quanto tempo um ataque de adivinhação pode levar sob um modelo específico. O modelo é importante. Adivinhação online contra um serviço ao vivo é diferente da quebra offline de um hash de senha vazado. Um número universal de “tempo para quebrar” é enganoso sem suposições.
Use a calculadora de tempo de quebra de senha e o verificador de força para comparar cenários localmente.
Adivinhação online
A adivinhação online é limitada pelo serviço. Limites de taxa, bloqueios, monitoramento, MFA e detecção de anomalias podem desacelerar ou interromper ataques. Um PIN curto pode ser aceitável apenas porque o sistema limita as tentativas.
Quebra offline
A quebra offline ocorre quando atacantes têm hashes de senha ou material criptografado. A velocidade depende do algoritmo de hash, fator de custo, salt, hardware e estratégia de ataque. Hashing lento de senha, como Argon2id, bcrypt ou PBKDF2, visa reduzir palpites por segundo.
Aleatoriedade e padrões
A matemática do tempo de quebra só é significativa quando a senha é realmente aleatória. Password123! pode parecer complexo, mas aparece cedo em ataques baseados em padrões. Uma senha aleatória de 20 caracteres é diferente porque carece de estrutura humana.
Orientação detalhada
Este guia foca em ler estimativas de tempo de quebra de senha de forma responsável. É escrito para usuários que veem estimativas baseadas em anos e querem saber o que realmente significam, então o objetivo prático não é criar uma alegação dramática de segurança. O objetivo é escolher um hábito de senha que sobreviva ao uso diário: formulários de login, gerenciadores de senhas, teclados móveis, recuperação de conta, dispositivos compartilhados e o serviço ocasional com regras de validação estranhas. Uma recomendação segura só é útil se uma pessoa real puder segui-la consistentemente.
O ponto de partida mais seguro é aleatoriedade mais exclusividade. Aleatoriedade significa que o valor é selecionado de um espaço grande por uma fonte aleatória criptograficamente adequada, não inventado a partir de um aniversário, nome de animal de estimação, padrão de teclado ou citação favorita. Exclusividade significa que a mesma senha não é usada em nenhum outro lugar. Uma senha longa, mas reutilizada, pode falhar rapidamente após uma violação não relacionada, enquanto uma senha aleatória única limita o dano à única conta onde foi usada.
Para este tópico, uma predefinição prática são estimativas baseadas em cenário para limites online, hashes lentos e adivinhação offline rápida. Você pode aplicar essa predefinição com a calculadora de tempo de quebra de senha e então armazenar o valor final em um gerenciador de senhas confiável. O PwdGen gera valores localmente no navegador com Web Crypto; a senha gerada não é enviada para um servidor PwdGen. Esse design local reduz a exposição no lado do servidor, mas não protege contra todas as ameaças. Uma extensão de navegador maliciosa, um dispositivo comprometido, uma página de phishing ou manuseio inseguro da área de transferência ainda podem expor um segredo após sua geração.
Os problemas mais comuns a evitar são alegações universais de tempo de quebra, suposições apenas de hardware, hashes vazados, armazenamento fraco e padrões de usuário previsíveis. Esses problemas importam porque atacantes raramente precisam forçar brute-force em todas as senhas possíveis quando hábitos humanos lhes dão um atalho. Reutilização de credenciais, phishing, listas de senhas vazadas e abuso de recuperação de conta são frequentemente mais realistas do que uma busca matemática pura. É por isso que o melhor conselho combina qualidade da senha com controles no nível da conta, como MFA, chaves de acesso, armazenamento de códigos de recuperação e revisão regular das configurações de e-mail ou telefone de recuperação.
Use esta lista de verificação ao aplicar a recomendação:
- Compare mais de um cenário de ataque.
- Não trate um número grande como garantia.
- Evite senhas reutilizadas, independentemente da estimativa.
- Use MFA para contas que a suportam.
Se um site rejeitar a configuração ideal, não force a senha em um padrão mais fraco manualmente. Ajuste uma variável de cada vez. Se símbolos forem rejeitados, mantenha maiúsculas, minúsculas e números ativados e aumente o comprimento. Se um comprimento máximo for baixo, use o maior comprimento aceito e certifique-se de que o valor seja único. Se uma senha precisar ser lida em voz alta, impressa ou digitada em uma tela de TV ou roteador, considere excluir caracteres confusos e aumentar o comprimento para compensar o alfabeto menor.
Finalmente, lembre-se do limite do conselho sobre senhas. Uma senha forte é uma camada de defesa, não uma garantia. Ela não pode tornar uma página de phishing segura, corrigir malware ou compensar um serviço que armazena credenciais de forma inadequada. O hábito útil é chato, mas durável: gere um valor único, armazene-o com segurança, proteja o caminho de recuperação e substitua-o rapidamente se suspeitar de exposição.
Um próximo passo seguro
Após ler este guia, faça uma pequena auditoria de conta em vez de tentar consertar tudo de uma vez. Escolha a conta que causaria mais problemas se fosse assumida, confirme que sua senha é única e verifique o e-mail de recuperação, telefone de recuperação, método MFA e armazenamento de código de backup. Se qualquer parte dessa cadeia estiver fraca, melhore essa parte antes de passar para contas de menor risco. Essa ordem mantém o trabalho gerenciável e protege as contas que os atacantes têm maior probabilidade de usar como trampolim. Para o que é tempo de quebra de senha?, o melhor resultado é um hábito repetível: gere localmente, armazene com cuidado e evite reutilização.
Perguntas frequentes
Por que as calculadoras de tempo de quebra discordam?
Elas usam suposições diferentes sobre aleatoriedade, tipo de hash, hardware, limites online e se a senha já é conhecida de vazamentos.
A quebra offline é mais rápida que a adivinhação online?
Geralmente sim. Atacantes offline podem tentar palpites sem limites de taxa, enquanto sistemas online podem limitar, bloquear e monitorar tentativas.
Devo confiar em um único resultado de “milhões de anos”?
Trate-o como uma estimativa sob suposições declaradas, não uma garantia de segurança.