Guia de segurança

Entropia de Senhas Explicada

Entenda entropia de senhas, espaço de busca, tamanho do alfabeto, comprimento e por que os bits teóricos são apenas uma estimativa superior.

Resumo

A entropia de senhas é uma forma de descrever o tamanho do espaço de busca que um invasor precisaria explorar. Para uma senha uniformemente aleatória, uma fórmula útil de limite superior é:

bits = length × log2(alphabet size)

Use a calculadora de tempo de quebra de senha para comparar suposições.

Tamanho do alfabeto

Tamanho do alfabeto é o número de caracteres possíveis. Letras minúsculas oferecem 26 opções. Maiúsculas mais minúsculas dão 52. Adicionar dígitos dá 62. Símbolos podem aumentar ainda mais o conjunto, mas apenas se o serviço os aceitar e o gerador os selecionar aleatoriamente.

Comprimento

O comprimento multiplica o espaço de busca. Uma senha aleatória mais longa geralmente proporciona uma melhoria prática maior do que uma senha curta decorada com símbolos previsíveis.

Aviso de limite superior

A fórmula assume que cada posição é selecionada uniformemente do alfabeto. Ela não se aplica a frases humanas, senhas reutilizadas, palavras de dicionário, datas, padrões de teclado, credenciais vazadas ou saída editada. Também não modela hashing do lado do serviço ou limites de taxa online.

Recomendações práticas

• Trate a entropia como uma ferramenta de comparação, não uma garantia.
• Prefira valores gerados aleatoriamente.
• Use mais comprimento para alfabetos restritos.
• Mantenha cada senha única.
• Armazene os resultados com segurança.

Orientação detalhada

Este guia foca em interpretar a entropia de senhas sem exageros. É escrito para leitores comparando comprimento, tamanho do alfabeto e listas de palavras de frases-senha, então o objetivo prático não é criar uma alegação dramática de segurança. O objetivo é escolher um hábito de senha que possa sobreviver ao uso diário: formulários de login, gerenciadores de senhas, teclados móveis, recuperação de conta, dispositivos compartilhados e o serviço ocasional com regras de validação estranhas. Uma recomendação segura só é útil se uma pessoa real puder segui-la consistentemente.

O ponto de partida mais seguro é aleatoriedade mais exclusividade. Aleatoriedade significa que o valor é selecionado de um espaço grande por uma fonte aleatória criptograficamente adequada, não inventado a partir de um aniversário, nome de animal de estimação, padrão de teclado ou citação favorita. Exclusividade significa que a mesma senha não é usada em nenhum outro lugar. Uma senha longa, mas reutilizada, pode falhar rapidamente após uma violação não relacionada, enquanto uma senha aleatória única limita o dano à única conta onde foi usada.

Para este tópico, uma predefinição prática é comprimento multiplicado por log2 do tamanho do alfabeto aleatório para senhas uniformemente aleatórias. Você pode aplicar essa predefinição com o verificador de força de senha e então armazenar o valor final em um gerenciador de senhas confiável. O PwdGen gera valores localmente no navegador com Web Crypto; a senha gerada não é enviada para um servidor PwdGen. Esse design local reduz a exposição no lado do servidor, mas não protege contra todas as ameaças. Uma extensão de navegador maliciosa, um dispositivo comprometido, uma página de phishing ou manipulação insegura da área de transferência ainda podem expor um segredo após sua geração.

Os problemas mais comuns a evitar são aplicar a fórmula simples a senhas escolhidas por humanos, ignorar reutilização e tratar estimativas como garantias. Esses problemas importam porque os invasores raramente precisam forçar brute-force em todas as senhas possíveis quando os hábitos humanos lhes dão um atalho. Preenchimento de credenciais, phishing, listas de senhas vazadas e abuso de recuperação de conta são frequentemente mais realistas do que uma busca matemática pura. É por isso que o melhor conselho combina qualidade da senha com controles no nível da conta, como MFA, chaves de acesso, armazenamento de códigos de recuperação e revisão regular das configurações de e-mail ou telefone de recuperação.

Use esta lista de verificação ao aplicar a recomendação:

• Use entropia apenas para geração aleatória.
• Use verificações estilo zxcvbn para entrada humana.
• Aumente o comprimento quando restrições de alfabeto se aplicarem.
• Lembre-se de que hashes de armazenamento afetam a velocidade do ataque.

Se um site rejeitar a configuração ideal, não force a senha a um padrão mais fraco manualmente. Ajuste uma variável de cada vez. Se símbolos forem rejeitados, mantenha maiúsculas, minúsculas e números ativados e aumente o comprimento. Se um comprimento máximo for baixo, use o maior comprimento aceito e certifique-se de que o valor seja único. Se uma senha precisar ser lida em voz alta, impressa ou digitada em uma tela de TV ou roteador, considere excluir caracteres confusos e aumentar o comprimento para compensar o alfabeto menor.

Finalmente, lembre-se do limite do conselho sobre senhas. Uma senha forte é uma camada de defesa, não uma garantia. Ela não pode tornar uma página de phishing segura, corrigir malware ou compensar um serviço que armazena credenciais de forma inadequada. O hábito útil é chato, mas durável: gere um valor único, armazene-o com segurança, proteja o caminho de recuperação e substitua-o rapidamente se suspeitar de exposição.

Um próximo passo seguro

Após ler este guia, faça uma pequena auditoria de conta em vez de tentar consertar tudo de uma vez. Escolha a conta que causaria mais problemas se fosse assumida, confirme que sua senha é única e verifique o e-mail de recuperação, telefone de recuperação, método MFA e armazenamento de código de backup. Se qualquer parte dessa cadeia estiver fraca, melhore essa parte antes de passar para contas de menor risco. Essa ordem mantém o trabalho gerenciável e protege as contas que os invasores têm maior probabilidade de usar como trampolim. Para entropia de senhas explicada, o melhor resultado é um hábito repetível: gere localmente, armazene com cuidado e evite reutilização.

Perguntas frequentes

Qual é a fórmula simples de entropia?

Para caracteres uniformemente aleatórios, uma fórmula comum de limite superior é comprimento multiplicado por log2 do tamanho do alfabeto.

Por que a entropia é apenas uma estimativa?

Ela assume seleção aleatória uniforme e não leva em conta reutilização, vazamentos, edições humanas, dispositivos comprometidos ou armazenamento de destino.

Símbolos sempre adicionam mais entropia?

Símbolos aumentam o tamanho do alfabeto quando selecionados aleatoriamente, mas adicionar comprimento geralmente oferece um benefício maior e mais fácil de usar.