Todos nós precisamos ficar atentos para criar senhas matematicamente impenetráveis. E se você é uma das centenas de milhares de pessoas que usam nomes e datas de nascimento em suas senhas(nova janela), com certeza chegou a hora de reforçar a segurança do seu início de sessão.
Neste artigo, explicamos como estimar e melhorar a entropia da sua senha, o que é excelente para a sua segurança on-line. Mas há um compromisso: maximizar a entropia de uma senha significa, essencialmente, torná-la impossível de memorizar. Como sempre, existe uma tirinha do XKCD(nova janela) que resume o problema.
Dada a quantidade de serviços on-line em que todos nós criamos conta (pelo menos dezenas), é quase impossível para uma pessoa comum memorizar uma senha forte para cada um deles.
É por isso que a nossa recomendação é usar um gerenciador de senhas como o Proton Pass, que pode gerar senhas com entropia extremamente alta. Ele lembrará delas e as preencherá automaticamente para você.
Abaixo, explicamos o que significa a entropia de senha, como você pode calculá-la e como ela afeta a força da sua senha. Isso pode ajudar você a selecionar as configurações mais seguras no seu gerenciador de senhas (ou evitar inícios de sessão para serviços que exigem senhas com entropia muito baixa).
O que significa “entropia de senha”?
A entropia de senha refere-se ao quão imprevisível é a sua senha ou frase, medida em bits. Normalmente, quanto mais bits de entropia houver, mais complexa é a senha e mais difícil é quebrá-la por meio de ataques de força bruta.
Atacantes de força bruta usam tentativa e erro para adivinhar combinações de caracteres em credenciais de início de sessão, senhas e dados de criptografia.
Por exemplo, muitos hackers usam scripts complexos e máquinas para automatizar milhares de adivinhações de senha em poucos minutos. Em um dos casos mais surpreendentes, pesquisadores processaram até 350 bilhões de tentativas de senha(nova janela) por segundo.
Atacantes usam ataques de força bruta para expor senhas fracas rapidamente. Ao medir e priorizar a entropia das suas senhas, você pode ajudar a evitar que esses dados caiam em mãos erradas.
Como a entropia de senha afeta a força da senha?
Vários fatores afetam a entropia de uma senha e, consequentemente, sua força. Você precisará considerar na sua senha:
- Comprimento (em caracteres)
- Uso de letras maiúsculas e minúsculas
- Uso de caracteres numéricos
- Uso de símbolos especiais
De todos os elementos listados aqui, o comprimento da senha é o mais importante. Uma frase secreta longa o suficiente derrotará quase qualquer ataque de força bruta. E você pode aumentar ainda mais a entropia usando letras maiúsculas aleatórias, símbolos especiais e números.
No entanto, a entropia não se trata apenas de quão longa ou complexa a sua senha parece. Ela também pode depender de como foi criada. Uma sequência verdadeiramente aleatória tem uma entropia muito maior do que uma palavra ou frase comum, mesmo que ambas tenham o mesmo comprimento.
Hackers podem usar ataques de dicionário para adivinhar suas credenciais se você usar uma palavra reconhecível ou uma frase comum na sua senha.
Um atacante de dicionário automatiza tentativas de força bruta de cada palavra em um dicionário que possa ser usada dentro de uma senha.
Portanto, independentemente da entropia da sua senha, você ainda corre o risco de ser hackeado se usar nomes de animais de estimação, times esportivos ou outras senhas comuns (por exemplo, nunca use “password”) nos seus detalhes de início de sessão.
Como calcular a entropia de senha
Explicamos como calcular a entropia de senha, mas é importante notar que esta é apenas uma demonstração. Você não pode estimar com segurança a entropia de uma senha com base em como ela parece. Senhas geradas por humanos — mesmo as longas — são frequentemente altamente previsíveis. A menos que tenha sido criada com um gerador aleatório, você deve presumir que a entropia é menor do que você pensa.
Supondo que você use uma sequência aleatória de caracteres, a entropia de senha é medida em bits e depende de dois fatores principais:
- O número de caracteres disponíveis no intervalo de caracteres escolhido para a senha
- O número de caracteres na senha
Portanto, a entropia de senha aumenta quanto mais longa for a sua senha e quanto mais amplo for o seu intervalo de caracteres possível. Uma senha longa que usa letras maiúsculas, letras minúsculas, símbolos e números, como kmXz2=zs[m%7?y4A, terá uma entropia muito alta.
Uma senha que usa apenas letras minúsculas ou números, como dzormybs ou 119022833, terá uma entropia muito baixa.
Frases secretas são mais fáceis de lembrar, mas você deve ter cuidado. Elas precisam ser mais longas para criar níveis semelhantes de entropia. Por exemplo, uma frase secreta como HelpFidoSaveChocolate33! parece complexa, mas porque usa quatro palavras comuns em inglês e uma combinação previsível de números e símbolos no final, sua entropia real pode estar próxima de 50 bits. Isso é muito menos do que a entropia de kmXz2=zs[m%7?y4A, mesmo sendo oito caracteres mais curta.
O que são bits de entropia?
Bits de entropia medem quão difícil é quebrar uma senha. Por exemplo, uma senha que já é conhecida por você tem zero bits.
Usando uma fórmula, podemos calcular quantos bits de entropia existem em uma senha e, com eles, quantas tentativas um script ou máquina de um atacante precisaria para obter acesso.
No entanto, antes de podermos calcular a entropia de senha, precisamos medir todos os diferentes intervalos de caracteres possíveis.
Medindo intervalos de caracteres
A tabela a seguir demonstra como suas opções de caracteres aumentam quando você adiciona caracteres diferentes à sua senha, se você escrever em inglês. O número de letras e símbolos pode variar dependendo do idioma que você usa.
| Tipo de caractere | Exemplo(s) | Tamanho do intervalo |
| Numéricos | 0, 1, 2, 3 | 10 |
| Letras latinas (minúsculas) | a, b, c, d | 26 |
| Letras latinas (maiúsculas) | A, B, C, D | 26 |
| Símbolos especiais | !, @, %, $ | 32 |
Quanto mais escolha de caracteres potenciais você fornece a hackers potenciais, maior se torna a entropia da sua senha. Portanto, priorize um intervalo de caracteres o mais amplo possível e use uma mistura de todos os quatro tipos.
Aqui estão alguns exemplos de senhas e seus intervalos totais de caracteres:
| Exemplo | Intervalo total de caracteres |
| 112233 | 10 |
| abcde | 26 |
| a1b2c3d4 | 36 |
| a1B2c3D4 | 62 |
| a1!B2%c3^D4 | 94 |
Lembre-se, os dados acima mostram o tamanho potencial dos intervalos de caracteres, não bits de entropia. Precisamos usar uma fórmula específica para calcular a entropia precisa de senhas em bits.
Fórmula de entropia de senha
Você pode medir a entropia de uma senha em bits usando a seguinte fórmula:
E = L × log2(R)
Nesta fórmula:
- E é a entropia da sua senha
- R é o intervalo possível de tipos de caracteres na sua senha (as tabelas mostram acima)
- L é o número de caracteres na sua senha (o seu comprimento)
- Log2 responde à pergunta “a que potência o 2 deve ser elevado para igualar este número”
Usando esta fórmula, veja como algumas senhas de exemplo são medidas em bits:
| Exemplo | Intervalo de caracteres | Comprimento da senha | Cálculo | Bits de entropia |
| fygwcbjnhsbh | 26 | 12 caracteres. | E = 12 x 4,7 | 56,4 |
| HzgNhHkY1WQ8AM | 62 | 14 caracteres. | E = 14 x 5,95 | 83,3 |
| kmXz2=zs[m%7?y4A | 94 | 16 caracteres. | E = 16 x 6,55 | 104,8 |
A matemática nos mostra que quanto mais longa e complexa for uma senha, mais bits de entropia ela tem.
Lembre-se, estes cálculos aplicam-se apenas a senhas geradas aleatoriamente. Frases secretas que usam palavras comuns precisam ser mais longas e usar palavras incomuns e não relacionadas (e, idealmente, números e símbolos) para gerar um nível semelhante de segurança.
E lembre-se, estes cálculos são mais para demonstração do que para uso prático. Você deve confiar em geradores de senhas em vez de tentar calcular a força de uma senha por conta própria
Você pode usar nosso gerador de senhas gratuito para experimentar e ver quão fortes são diferentes senhas.
Novamente, a entropia é apenas uma medida de força. Para evitar ataques de dicionário, evite usar senhas ou frases comuns. Você também deve evitar usar informações pessoais, como sua data de nascimento, nome do animal de estimação ou nome da rua na sua senha, pois os invasores podem obter essas informações.
Quando uma senha é considerada forte?
Geralmente, uma senha forte ou de alta entropia atinge pelo menos 75 bits. Qualquer coisa com menos de 72 bits é razoavelmente fácil para uma máquina quebrar.
Calculamos o número máximo de tentativas potenciais usando o cálculo 2 ^ (número de bits). É quantas vezes o número 2 dobra para atingir o número total de bits.
Por exemplo, uma senha com 10 bits de entropia, usando 2 ^ 10, precisaria de um máximo de 1.024 tentativas para ser quebrada. Isso é tipicamente uma senha numérica de três caracteres, como 456.
Busque uma entropia acima de 100 bits para criar uma senha forte, mirando o mais alto possível. Quanto maior a entropia, mais tempo levará para as máquinas tentarem adivinhar a senha correta por força bruta.
As regras para criar uma senha de alta entropia diferem muito dependendo do especialista em segurança com quem você fala, mas há algumas regras gerais com as quais todos podemos concordar:
- Sua senha deve ter pelo menos 14 caracteres e usar uma mistura de caracteres (não apenas letras minúsculas do alfabeto latino básico)
- Você deve evitar usar quaisquer frases ou termos que sejam significativos para você (e, portanto, fáceis de adivinhar)
- Uma senha forte não se conecta ao seu nome de usuário (sempre trate os dois como entidades separadas)
- Há uma mistura de pelo menos uma letra minúscula, uma letra maiúscula, um número e um caractere especial (por exemplo, %, ^, *, &, @, ~, etc.)
Também recomendamos o uso de uma lista de bloqueio de senhas para ajudar a evitar o uso de palavras ou frases escolhidas popularmente em toda a web. Por exemplo, o projeto Bad Passwords do NIST(nova janela) é uma ferramenta popular de código aberto para criar frases com alta entropia.
Se você deseja criar uma senha de administrador segura para o seu gerenciador de senhas, considere as seguintes diretrizes
Para recapitular, uma senha verdadeiramente segura contém, por exemplo:
- Pelo menos uma letra maiúscula
- Pelo menos uma letra minúscula
- Pelo menos um símbolo especial
- Pelo menos um dígito
- Pelo menos 14 caracteres (ou pelo menos 30 para frases secretas, assumindo que as palavras sejam incomuns e não relacionadas)
O exemplo acima, kmXz2=zs[m%7?y4A, atende a todos esses requisitos e cria uma senha com cerca de 105 bits de entropia, o que levaria um tempo impossivelmente longo para ser decifrada por força bruta.
Gere senhas fortes com o Proton Pass
A única maneira de gerar e lembrar senhas fortes o suficiente para todas as suas contas on-line é usar um gerenciador de senhas. O Proton Pass gera frases seguras para você com um clique. Você pode usá-lo para criar frases secretas de 10 palavras ou senhas aleatórias de 64 caracteres, e ele lhe dá controle sobre se cada senha usa números, letras maiúsculas e caracteres especiais, caso você queira maximizar a entropia das suas senhas.
Com o Proton Pass, suas senhas não são apenas difíceis de decifrar — elas são armazenadas com criptografia de ponta a ponta e protegidas por autenticação de dois fatores por meio do gerenciador de senhas gratuito mais seguro do mundo. Leia o modelo de segurança do Proton Pass para saber mais.
Se a entropia de senhas o deixa confuso, registre-se e crie uma conta no Proton Pass. Nós o ajudaremos a gerar, armazenar e proteger senhas para resistir a ataques maliciosos.
Atualização 18 de novembro de 2025: Este artigo foi atualizado para explicar mais claramente os problemas em tentar calcular a entropia de frases secretas e senhas em geral. É fácil superestimar a complexidade das senhas, a menos que elas sejam geradas de forma verdadeiramente aleatória.
Perguntas frequentes
A complexidade de uma senha geralmente se refere ao seu intervalo potencial de caracteres, enquanto a entropia da senha refere-se à matemática por trás de quão difícil ela é de adivinhar. A entropia é medida em bits, que por sua vez indica quantas tentativas de força bruta seriam necessárias para quebrar uma senha.
Depende de como as palavras foram selecionadas. Se foram escolhidas aleatoriamente (por exemplo, usando uma lista Diceware), cada palavra adiciona cerca de 12–13 bits de entropia. Portanto, uma frase secreta aleatória de quatro palavras teria cerca de 50–52 bits de entropia. Mas se as palavras foram escolhidas por um humano, a entropia pode ser muito menor.
128 bits de entropia significam que sua senha exigiria 2¹²⁸ tentativas de força bruta — isso é mais do que o número de átomos no universo. Para fins práticos, qualquer valor acima de 100 bits é seguro. Até mesmo senhas com 75–80 bits são consideradas resistentes a todos os ataques de força bruta conhecidos atualmente.
