Ferramenta de senhas Voltar ao gerador

Guia de segurança

Qual deve ser o comprimento de uma senha?

Saiba quando escolher 12, 16, 20 ou 32 caracteres e por que o comprimento, a exclusividade e o armazenamento da senha são mais importantes que a complexidade visual.

Resumo

Para a maioria das contas modernas, 16 caracteres aleatórios é uma base prática sólida. Use 20 ou mais para contas pessoais importantes, e-mail, bancos, trabalho ou administrador. Use 32 caracteres quando a senha for armazenada em um gerenciador e proteger acesso de alto valor.

Experimente os geradores de 16 caracteres, 20 caracteres ou 32 caracteres.

Faixas de comprimento

Senhas curtas são mais fáceis de adivinhar porque há menos combinações possíveis. Seis a nove caracteres normalmente é muito curto para segurança de conta. Dez a quatorze caracteres podem ser aceitos por muitos serviços, mas não devem ser tratados como o destino preferido para contas importantes.

Dezesseis caracteres aleatórios é um bom padrão quando um gerenciador de senhas armazena o valor. Vinte caracteres adiciona margem enquanto permanece compatível com muitos sites. Trinta e dois caracteres é útil para painéis de administração, arquivos criptografados, credenciais de banco de dados e segredos locais.

Comprimento aleatório versus comprimento humano

Uma senha aleatória de 16 caracteres é muito diferente de uma frase de 16 caracteres criada por humanos. Escolhas humanas geralmente incluem palavras, datas, nomes e finais previsíveis. Atacantes testam esses padrões antes de tentar força bruta cega.

Recomendações práticas

Orientação detalhada

Este guia foca em escolher o comprimento da senha para diferentes riscos de conta. Foi escrito para leitores comparando opções de 12, 16, 20, 24 e 32 caracteres, então o objetivo prático não é criar uma alegação dramática de segurança. O objetivo é escolher um hábito de senha que sobreviva ao uso diário: formulários de login, gerenciadores de senhas, teclados móveis, recuperação de conta, dispositivos compartilhados e o serviço ocasional com regras de validação estranhas. Uma recomendação segura só é útil se uma pessoa real puder segui-la consistentemente.

O ponto de partida mais seguro é aleatoriedade mais exclusividade. Aleatoriedade significa que o valor é selecionado de um espaço grande por uma fonte aleatória criptograficamente adequada, não inventado a partir de um aniversário, nome de animal de estimação, padrão de teclado ou citação favorita. Exclusividade significa que a mesma senha não é usada em nenhum outro lugar. Uma senha longa, mas reutilizada, pode falhar rapidamente após uma violação não relacionada, enquanto uma senha aleatória exclusiva limita o dano à única conta onde foi usada.

Para este tópico, uma predefinição prática é 16 caracteres para contas comuns, 20 ou mais para contas importantes e 32 para segredos que são armazenados em vez de digitados. Você pode aplicar essa predefinição com o gerador de senhas de 32 caracteres e depois armazenar o valor final em um gerenciador de senhas confiável. O PwdGen gera valores localmente no navegador com Web Crypto; a senha gerada não é enviada para um servidor PwdGen. Esse design local reduz a exposição no lado do servidor, mas não protege contra todas as ameaças. Uma extensão de navegador maliciosa, um dispositivo comprometido, uma página de phishing ou manipulação insegura da área de transferência ainda pode expor um segredo após sua geração.

Os problemas mais comuns a evitar são valores aleatórios curtos, limites máximos de comprimento, formulários legados e assumir que um número fixo é seguro para todo sistema. Esses problemas importam porque atacantes raramente precisam usar força bruta em todas as senhas possíveis quando hábitos humanos lhes dão um atalho. Credential stuffing, phishing, listas de senhas vazadas e abuso de recuperação de conta são frequentemente mais realistas do que uma busca matemática pura. É por isso que o melhor conselho combina qualidade da senha com controles de nível de conta, como MFA, chaves de acesso, armazenamento de códigos de recuperação e revisão regular das configurações de e-mail ou telefone de recuperação.

Use esta lista de verificação ao aplicar a recomendação:

Se um site rejeitar a configuração ideal, não force a senha em um padrão mais fraco manualmente. Ajuste uma variável de cada vez. Se símbolos forem rejeitados, mantenha maiúsculas, minúsculas e números ativados e aumente o comprimento. Se o comprimento máximo for baixo, use o maior comprimento aceito e certifique-se de que o valor seja exclusivo. Se uma senha precisar ser lida em voz alta, impressa ou digitada em uma tela de TV ou roteador, considere excluir caracteres confusos e aumentar o comprimento para compensar o alfabeto menor.

Finalmente, lembre-se do limite do conselho sobre senhas. Uma senha forte é uma camada de defesa, não uma garantia. Ela não pode tornar uma página de phishing segura, corrigir malware ou compensar um serviço que armazena credenciais de forma inadequada. O hábito útil é chato, mas durável: gere um valor exclusivo, armazene-o com segurança, proteja o caminho de recuperação e substitua-o rapidamente se suspeitar de exposição.

Perguntas frequentes

12 caracteres são suficientes?

Uma senha aleatória de 12 caracteres pode ser útil para compatibilidade, mas 16 ou mais é um padrão melhor quando o serviço aceita.

Quando devo usar 20 ou 32 caracteres?

Use 20 ou mais para contas importantes e 32 para fluxos de trabalho de administrador, arquivos criptografados ou segredos de desenvolvedor armazenados em um gerenciador de senhas.

Uma senha pode ser muito longa?

Alguns serviços impõem comprimentos máximos ou rejeitam símbolos. Use o maior valor aleatório exclusivo que o destino aceitar.

Fontes