O que é crypto.getRandomValues e por que importa?

crypto.getRandomValues é uma API Web Crypto integrada em todos os navegadores modernos. Produz números aleatórios criptograficamente seguros usando a fonte de entropia do seu sistema operacional, tornando-a muito superior a Math.random() para fins de segurança. Todos os gerenciadores de senhas principais usam a mesma API.

Qual é a diferença entre uma senha e uma frase de senha?

Uma senha é uma sequência de caracteres aleatórios (por ex., 'kX9#mZp2'). Uma frase de senha é uma sequência de palavras aleatórias (por ex., 'cavalo-correto-bateria-grampeador'). Frases de senha são mais fáceis de memorizar e digitar enquanto fornecem excelente segurança. Uma frase de senha de 4 palavras tem aproximadamente a mesma entropia que uma senha aleatória de 10 caracteres.

Como é calculado o tempo de quebra?

O tempo de quebra é estimado assumindo um atacante executando 10 bilhões de adivinhas por segundo (um cluster GPU de ponta). O número total de senhas possíveis é dividido por essa taxa. Por exemplo, uma senha mista de 16 caracteres tem cerca de 4x10^31 combinações, que a 10 bilhões de adivinhas por segundo levaria mais de um trilhão de anos.

Por que excluir caracteres ambíguos?

Caracteres ambíguos como 0/O, 1/l/I e 2/Z parecem similares em muitas fontes, o que pode causar confusão ao ler ou digitar senhas manualmente. Excluí-los é útil quando você precisa escrever ou ditar uma senha. Para senhas armazenadas em um gerenciador, inclua todos os caracteres para máxima entropia.

Posso usar este gerador de senhas offline?

Sim. Como a geração de senhas acontece inteiramente no seu navegador usando JavaScript e a API Web Crypto, a ferramenta funciona sem uma conexão de internet uma vez que a página é carregada. Nenhuma chamada de servidor é feita durante a geração de senhas.

Um PIN de 4 dígitos é seguro?

Um PIN de 4 dígitos tem apenas 10.000 combinações possíveis, o que é muito fraco contra ataques offline. No entanto, PINs são tipicamente usados com mecanismos de bloqueio (por ex., 3 tentativas falhadas bloqueia o dispositivo), o que os torna adequados para telefones e cartões bancários. Para qualquer coisa sem proteção de bloqueio, use um PIN de 6-8 dígitos ou uma senha completa.

Gerador de Senhas

Gere senhas fortes e aleatórias instantaneamente. Totalmente no lado do cliente — nada sai do seu navegador.

100% no Lado do Cliente Sem Cadastro Instantâneo

Comprimento 16

Maiúsculas A–Z

Minúsculas a–z

Números 0–9

Símbolos !@#$%^&*()

Excluir ambíguos O 0 I l 1 |

Palavras 4

Separador

Capitalizar palavras Primeira letra maiúscula

Incluir número Adicionar um número aleatório entre palavras

Comprimento 6

Contagem:

Gerado inteiramente no seu navegador usando crypto.getRandomValues(). Nada é enviado para nenhum servidor.

Como Usar o Gerador de Senhas

Escolha Seu Modo

Selecione Aleatório para senhas baseadas em caracteres, Frase para senhas baseadas em palavras, ou PIN para códigos numéricos.

Ajuste as Configurações

Defina o comprimento desejado, ative ou desative tipos de caracteres e escolha predefinições para comprimentos comuns.

Copie & Use

Sua senha é gerada instantaneamente. Clique em Copiar para salvá-la na sua área de transferência ou regenere para uma nova.

O Que Torna Uma Senha Forte?

De acordo com NIST SP 800-63B (2024) e diretrizes CISA, a força da senha depende de três fatores: comprimento, aleatoriedade e singularidade. Os padrões federais atualizados abandonaram regras de complexidade obrigatória (letras maiúsculas/minúsculas, caracteres especiais) em favor de senhas mais longas, porque cada caractere adicional aumenta exponencialmente a dificuldade de força bruta.

Aqui estão 5 regras para criar senhas fortes em 2026:

Faça-a longa — Mínimo de 16 caracteres. NIST agora recomenda pelo menos 15 caracteres para autenticação de um único fator (SP 800-63B Rev. 4). Cada caractere adicional multiplica a dificuldade de quebra exponencialmente.
Faça-a aleatória — Use um gerador de senhas. Humanos são péssimos em aleatoriedade — tendemos a gravitarmos para padrões, palavras do dicionário e informações pessoais que os atacantes exploram.
Faça-a única — Uma senha por conta. 94% das senhas são reutilizadas em várias contas. Quando um serviço é violado, todas as suas contas que usam essa senha são comprometidas.
Pule os truques de complexidade — “P@$$w0rd!” parece complexo mas é trivialmente quebrável. Uma sequência aleatória de 20 caracteres minúsculos é muito mais forte do que uma sequência de 8 caracteres com símbolos forçados.
Use um gerenciador de senhas — A única forma prática de manter senhas únicas de 16+ caracteres para cada conta. Um gerador cria as senhas; um gerenciador as armazena.

Por Que Senhas Fortes Importam em 2026

Violações de dados não são mais eventos raros — são uma constante. Apenas em 2024, mais de 1,7 bilhão de credenciais foram expostas em violações publicamente reportadas, e o número real é provavelmente muito maior. Bancos de dados como a compilação “RockYou2024” contêm quase 10 bilhões de entradas de senhas únicas, dando aos atacantes um dicionário enorme para ataques de credential stuffing.

O problema central é reutilização de senhas. Quando um serviço é violado, os atacantes testam automaticamente esses mesmos pares de email e senha contra milhares de outros sites — bancos, provedores de email, armazenamento em nuvem, mídia social. Uma única senha vazada pode se transformar em comprometimento completo de identidade se desbloquear seu email principal, que por sua vez reseta cada outra conta.

Por isso um gerenciador de senhas não é mais opcional. A pessoa média tem 70-100 contas online. Ninguém consegue memorizar tantas senhas únicas e de alta entropia. Um gerenciador de senhas permite gerar uma senha aleatória distinta para cada serviço e recuperá-la instantaneamente. Você memoriza uma senha mestre forte; o gerenciador cuida do resto. Combinado com autenticação de dois fatores, essa abordagem elimina a maioria dos ataques baseados em credenciais antes de começarem.

Força da Senha por Comprimento

Quanto tempo levaria para quebrar sua senha? Essas estimativas são baseadas em dados de 2025 do Hive Systems, assumindo um cluster GPU moderno (12× RTX 5090) atacando hashes bcrypt (fator de custo 10):

Comprimento	Apenas Números	Minúsculas	+ Maiúsculas	Todos os Caracteres	Entropia (todos)
6	Instantâneo	Instantâneo	Instantâneo	1 segundo	39 bits
8	Instantâneo	57 minutos	4 dias	8 meses	53 bits
10	Instantâneo	2 anos	300 anos	58 mil anos	66 bits
12	3 minutos	2 mil anos	880 mil anos	3 bilhões de anos	79 bits
14	5 horas	2 milhões de anos	600 milhões de anos	31 trilhões de anos	92 bits
16	21 dias	477 milhões de anos	380 bilhões de anos	30 quatrilhões de anos	105 bits
20	5 anos	39 trilhões de anos	253 mil trilhões de anos	Efetivamente nunca	131 bits
32	1 bilhão de anos	Além da morte térmica do universo			210 bits

Os tempos assumem ataque de força bruta offline contra hashes bcrypt. Ataques online com limite de taxa são muito mais lentos. Hash fraco (MD5, SHA-1) reduz os tempos em ordens de magnitude.

Senha vs. Frase de Senha

Uma frase de senha é uma sequência de palavras aleatórias e não relacionadas (por ex., “cavalo-correto-bateria-grampeador”). Aqui está como elas se comparam às senhas aleatórias tradicionais:

Critério	Senha Aleatória	Frase de Senha
Exemplo	`k7#mQ9$xL2!pN4w`	`cavalo-correto-bateria-grampeador`
Comprimento típico	12-20 caracteres	20-40 caracteres
Entropia (típica)	79-131 bits	52-108 bits (4-7 palavras)
Memorabilidade	Impossível sem um gerenciador	Moderada — imagens mentais ajudam
Facilidade de digitação	Baixa — símbolos mistos	Alta — palavras regulares
Melhor para	Contas de site (armazenadas no gerenciador)	Senhas mestres, criptografia de dispositivo
Compatível com NIST	Sim (se 15+ caracteres)	Sim (se 15+ caracteres)

Insight chave: Frases de senha sacrificam densidade de entropia pela memorabilidade. Uma frase de senha aleatória de 5 palavras (~86 bits) é mais fácil de memorizar do que uma senha aleatória de 12 caracteres (~79 bits) enquanto é mais segura. Para máxima segurança, use senhas aleatórias armazenadas em um gerenciador de senhas.

Erros Comuns de Senha

De acordo com a análise de 2025 da NordPass de dados da dark web, as 10 senhas mais comuns são:

#	Senha	Ocorrências	Tempo para Quebrar
1	`123456`	179,9 milhões	Instantâneo
2	`123456789`	67,4 milhões	Instantâneo
3	`12345678`	63,9 milhões	Instantâneo
4	`password`	46,6 milhões	Instantâneo
5	`12345`	28,3 milhões	Instantâneo
6	`qwerty`	22,0 milhões	Instantâneo
7	`1234567`	16,3 milhões	Instantâneo
8	`1234567890`	15,8 milhões	Instantâneo
9	`111111`	12,2 milhões	Instantâneo
10	`qwerty123`	12,0 milhões	Instantâneo

Cada uma destas é quebrada instantaneamente. Os 5 erros de senha mais comuns que as pessoas cometem:

Reutilizar senhas — 80-85% das pessoas reutilizam senhas em vários sites. Uma violação compromete todas as suas contas.
Usar informações pessoais — Nomes, datas de nascimento, nomes de animais de estimação e endereços são facilmente encontrados em redes sociais e registros públicos.
Padrões de teclado — “qwerty,” “asdf” e “zxcv” estão entre as primeiras combinações que os atacantes tentam.
Substituições simples — Substituir “a” por “@” ou “e” por “3” (leet speak) é bem conhecida pelos quebradores e adiciona segurança negligenciável.
Mudanças incrementais — Mudar “Senha1” para “Senha2” quando forçado a rotacionar. NIST agora explicitamente recomenda contra rotação de senha obrigatória.

Perguntas Frequentes

É seguro usar este gerador de senhas?

Sim. Este gerador é executado inteiramente no seu navegador usando JavaScript. Nenhuma senha é enviada para nenhum servidor. Ele usa crypto.getRandomValues(), o gerador de números aleatórios criptograficamente seguro integrado do navegador — a mesma API usada por gerenciadores de senhas como Bitwarden e 1Password.

O que torna uma senha forte?

Uma senha forte tem três propriedades: comprimento (pelo menos 16 caracteres, de acordo com recomendações CISA), aleatoriedade (sem palavras do dicionário, nomes, datas ou padrões) e singularidade (nunca reutilizada entre contas). NIST abandonou requisitos obrigatórios de caracteres especiais em favor do comprimento, porque cada caractere adicional aumenta exponencialmente a dificuldade de força bruta.

Qual deve ser o comprimento da minha senha?

NIST agora recomenda um mínimo de 15 caracteres para autenticação de um único fator (SP 800-63B Rev. 4). CISA recomenda 16 ou mais caracteres. Para autenticação de múltiplos fatores, 8 caracteres é o mínimo. O ponto ideal para a maioria dos usuários é 16-20 caracteres — tempo suficiente para ser seguro por décadas, gerenciável com um gerenciador de senhas.

O que é uma frase de senha e é melhor do que uma senha?

Uma frase de senha é uma sequência de 4-7 palavras aleatórias e não relacionadas (por ex., “cavalo-correto-bateria-grampeador”). Uma frase de senha aleatória de 5 palavras tem aproximadamente 86 bits de entropia — mais forte do que uma senha complexa de 12 caracteres (~79 bits) — enquanto é mais fácil de memorizar. Frases de senha são ideais para senhas mestres onde você precisa digitar de memória. Para contas de site, senhas de caracteres aleatórios armazenadas em um gerenciador de senhas são igualmente seguras e mais práticas.

Com que frequência devo mudar minhas senhas?

NIST não recomenda mais mudanças de senha de rotina. As diretrizes atualizadas de 2024 explicitamente indicam que organizações “não devem” exigir rotação periódica de senha a menos que haja evidência de comprometimento. Mudanças forçadas levaram a padrões previsíveis. Mude sua senha apenas quando suspeitar que foi comprometida, um serviço relatar uma violação de dados ou você tiver compartilhado a senha e queira revogar o acesso.

O que é entropia de senha?

Entropia mede a imprevisibilidade da senha em bits. A fórmula é E = log2(R^L), onde R é o tamanho do pool de caracteres e L é o comprimento da senha. Cada bit dobra o número de combinações possíveis. Menos de 35 bits é fraco (quebrado em minutos), 60-75 bits é forte, 75-100 é muito forte e 100+ bits é excelente. Uma senha de 16 caracteres usando todos os tipos de caracteres tem cerca de 105 bits de entropia.

O que é autenticação de dois fatores (2FA)?

Autenticação de dois fatores requer uma segunda etapa de verificação além de sua senha — tipicamente um código de um aplicativo autenticador, SMS ou uma chave de segurança de hardware. Mesmo que sua senha seja roubada, o atacante não pode acessar sua conta sem o segundo fator. Aplicativos autenticadores (Google Authenticator, Authy) são mais seguros que SMS, e chaves de hardware (YubiKey) são a opção mais segura. Ative 2FA em email, banco e mídia social no mínimo.

Como as senhas são quebradas?

Os atacantes usam vários métodos: Força bruta tenta cada combinação (rápido para senhas curtas, impraticável para 16+ caracteres). Ataques de dicionário tentam palavras comuns, nomes e senhas vazadas. Credential stuffing usa pares de nome de usuário/senha roubados de uma violação para fazer login em outros sites. Tabelas arco-íris usam pesquisas de hash pré-computadas para quebra offline. Phishing o engana para digitar credenciais em sites falsos. Uma senha aleatória de 16 caracteres derrota força bruta e ataques de dicionário; senhas únicas derrotam credential stuffing.

Devo usar um gerenciador de senhas?

Sim. CISA, NIST e todas as principais organizações de segurança recomendam usar um gerenciador de senhas. Ele gera, armazena e preenche automaticamente senhas únicas e fortes para cada conta — você apenas memoriza uma senha mestre. Isso elimina reutilização de senhas, a principal causa de sequestro de contas. Um gerador de senhas (como esta ferramenta) cria as senhas; um gerenciador as armazena. Opções populares incluem Bitwarden (gratuito/código aberto), 1Password e Dashlane.

Esta ferramenta é realmente gratuita?

Sim, completamente gratuita sem limites. Sem registro, sem conta necessária, sem restrições sobre quantas senhas você pode gerar. A ferramenta é executada no seu navegador com zero interação com servidor. Use-a tanto quanto precisar.