Medidor de força de senha

// Medidor de força de senha

A sua senha nunca sai do navegador. A análise de força é realizada inteiramente no seu dispositivo. A verificação de vazamentos envia apenas um hash parcial — sua senha real nunca é transmitida.

Dicas

Use pelo menos 12 caracteres

Misture maiúsculas, minúsculas, números e símbolos

Use uma senha única para cada conta

Gerador de senhas seguras →

Como a Força da Senha é Medida

A força da senha é medida em bits de entropia — uma representação matemática de quão imprevisível uma senha é. A fórmula considera o tamanho do conjunto de caracteres (minúsculas, maiúsculas, dígitos, símbolos) elevado à potência do comprimento da senha. Maior entropia significa mais combinações possíveis que um atacante precisa tentar.

Por exemplo, uma senha usando apenas letras minúsculas (26 caracteres) tem cerca de 4,7 bits de entropia por caractere. Adicionar maiúsculas (52 no total) resulta em 5,7 bits. Incluir dígitos e símbolos (95+ caracteres) faz com que cada caractere contribua com cerca de 6,6 bits. Uma senha de 16 caracteres com o conjunto completo de caracteres gera mais de 100 bits de entropia — praticamente impossível de quebrar por força bruta.

Verificação no Have I Been Pwned

Esta ferramenta verifica sua senha no banco de dados Have I Been Pwned, que contém mais de 700 milhões de senhas comprometidas, usando k-anonimato. Apenas os primeiros 5 caracteres do hash SHA-1 são enviados — a senha completa nunca sai do seu navegador. Se uma correspondência for encontrada, sua senha apareceu em uma violação de dados conhecida e deve ser alterada imediatamente.

FAQ

O que é entropia de senha?

A entropia mede a imprevisibilidade da senha em bits. Cada bit dobra o número de combinações possíveis. Uma senha com 60 bits de entropia possui 2^60 (cerca de 1 quintilhão) de combinações possíveis, tornando os ataques de força bruta inviáveis.

Como a verificação de violação protege minha privacidade?

Usamos k-anonimato: sua senha é convertida em hash SHA-1 localmente, e apenas os primeiros 5 caracteres do hash são enviados à API. O servidor retorna todos os hashes que começam com esses 5 caracteres, e a comparação ocorre inteiramente no seu navegador.

O "tempo para quebrar" é preciso?

É uma estimativa assumindo 10 bilhões de tentativas por segundo (uma taxa realista para clusters de GPU modernos). O tempo real de quebra depende do método de ataque, do hardware e se sua senha corresponde a padrões comuns.

Minha senha não foi encontrada em violações — ela é segura?

Não necessariamente. Uma senha não encontrada significa que ela não apareceu em violações públicas conhecidas. Ainda assim, pode ser vulnerável a ataques de dicionário, correspondência de padrões ou adivinhação direcionada. Sempre busque alta entropia.