Pular para o conteúdo principal

Verificador de Senhas

Analisar entropia da senha, tempo estimado de quebra e padrões de vulnerabilidade.

Como a força da senha é medida

Medidores de senha tradicionais verificam maiúsculas, minúsculas, dígitos e símbolos. Esta abordagem é fundamentalmente falha porque 'P@ssw0rd!' passa em todas as regras, mas aparece na maioria das listas de senhas vazadas. Atacantes reais usam dicionários, bancos de dados de padrões e tabelas de substituição l33t, não regras de classes de caracteres.

O zxcvbn, a biblioteca por trás desta ferramenta, foi desenvolvida pela equipe de segurança do Dropbox e adota uma abordagem diferente. Ele decompõe uma senha nos padrões que um atacante realmente exploraria: palavras de dicionário, sequências de teclado ('qwerty'), datas, sequências repetidas e substituições comuns. Em seguida, estima o número de tentativas necessárias e traduz isso em um tempo de quebra baseado em velocidades de ataque realistas.

A entropia, exibida em bits, representa a aleatoriedade teórica da sua senha. Maior entropia significa mais combinações possíveis que um atacante deve tentar. Uma senha verdadeiramente aleatória de 20 caracteres de um gerenciador de senhas tipicamente tem 120+ bits de entropia, enquanto a senha média escolhida pelo usuário tem 20-40 bits. A diferença entre esses dois números explica por que os profissionais de segurança recomendam consistentemente os gerenciadores de senhas.

Perguntas Frequentes

Como funciona este verificador de senhas?

Esta ferramenta usa o zxcvbn, um estimador de força de senhas de código aberto desenvolvido pelo Dropbox. Em vez de depender de regras simples como comprimento mínimo ou caracteres especiais obrigatórios, o zxcvbn analisa sua senha procurando padrões comuns como palavras de dicionário, sequências de teclado, caracteres repetidos, substituições l33t e senhas vazadas conhecidas. Ele estima quanto tempo um atacante real precisaria para quebrá-la.

Minha senha é enviada para um servidor?

Não. Toda a análise é executada no seu navegador usando JavaScript. Sua senha nunca sai do seu dispositivo, nunca é transmitida pela rede e nunca é armazenada em cookies, armazenamento local ou parâmetros de URL. Você pode verificar isso desconectando da internet e usando a ferramenta offline.

Qual é uma boa pontuação de força de senha?

Pontuação 4 (muito forte) significa um tempo estimado de mais de 10 anos para quebrar, mesmo com hardware dedicado. Pontuação 3 (forte) significa meses a anos. Qualquer coisa abaixo de 3 deve ser melhorada. Considere que o zxcvbn avalia padrões de ataque reais, então uma pontuação de 4 é um indicador muito mais confiável do que passar regras de complexidade arbitrárias.

Por que 'Tr0ub4dor&3' não é uma senha forte?

Substituições comuns de letras por números (a por @, o por 0, e por 3) são bem conhecidas pelos atacantes e estão entre os primeiros padrões que eles testam. O quadrinho xkcd #936 ilustrou isso perfeitamente: apesar de parecer complexo, 'Tr0ub4dor&3' tem aproximadamente 28 bits de entropia, enquanto uma frase-senha como 'correct horse battery staple' tem cerca de 44 bits e é mais fácil de lembrar.

O que torna uma senha forte?

O comprimento é o mais importante. Uma senha com 16+ caracteres usando palavras aleatórias (uma frase-senha) é forte e memorável ao mesmo tempo. Evite palavras de dicionário isoladas, informações pessoais (nomes, datas de nascimento), padrões de teclado (qwerty, 12345) e substituições comuns. Uma senha verdadeiramente aleatória de um gerenciador de senhas é o padrão ouro, mas uma frase de 4-5 palavras é uma alternativa prática.