Como criar uma senha forte (e por que gerar é melhor que inventar)
O que realmente torna uma senha segura: comprimento, aleatoriedade e por que reutilizar senha é o maior risco. Aprenda a gerar e gerenciar senhas fortes.
Uma senha forte não é aquela cheia de símbolos difíceis de digitar — é aquela que um computador levaria tempo demais para adivinhar. E o segredo, ao contrário do que a intuição sugere, está menos na criatividade e mais no tamanho e na aleatoriedade. Neste guia você vai entender por que senhas fracas caem tão rápido, o que realmente torna uma senha resistente e por que gerar uma senha aleatória costuma ser muito melhor do que inventar uma na cabeça.
Por que senhas fracas caem
Existem dois ataques clássicos contra senhas. No ataque de dicionário, o invasor testa listas prontas de palavras comuns, nomes, datas e as senhas mais usadas do mundo — “123456”, “senha”, “admin”, o nome do time somado ao ano. Como muita gente pensa parecido, essas listas acertam uma fração enorme das contas em segundos. No ataque de força bruta, o programa tenta todas as combinações possíveis de caracteres, uma a uma, até encontrar a certa. Contra senhas curtas isso é rapidíssimo; contra senhas longas, torna-se inviável.
Há ainda um terceiro caminho, e talvez o mais comum hoje: os vazamentos. Quando um site é invadido, milhões de e-mails e senhas vão parar em bancos de dados que circulam livremente. Aí entra o credential stuffing: o invasor pega a senha vazada de um serviço e a testa, automaticamente, em dezenas de outros. Se você repete a mesma senha em vários lugares, um único vazamento derruba todas as suas contas de uma vez.
O que torna uma senha forte
Três fatores determinam a resistência de uma senha, e é importante saber a ordem de importância entre eles:
- Comprimento — o fator número 1. Cada caractere a mais multiplica o número de combinações possíveis. É a alavanca mais poderosa que existe. O mínimo aceitável hoje é 12 caracteres, mas o ideal é mirar 16 ou mais.
- Variedade. Misturar letras maiúsculas, minúsculas, números e símbolos aumenta o número de possibilidades por caractere. Uma senha só de letras minúsculas tem muito menos combinações do que uma que também usa maiúsculas, dígitos e pontuação.
- Aleatoriedade real. Aqui mora o problema dos humanos: nós criamos padrões previsíveis. Nome do filho mais o ano de nascimento, o clássico substituir “a” por “@” e “o” por “0”, começar com maiúscula e terminar com “!”. Os invasores conhecem todos esses truques e os incluem nas listas de ataque. Uma senha “complicada” feita por uma pessoa costuma ser bem mais fácil de quebrar do que parece.
Entropia, sem matemática pesada
Entropia é só uma forma técnica de medir quão imprevisível é uma senha. A ideia central é simples: cada caractere a mais multiplica a quantidade de combinações que um invasor precisaria testar. Adicionar um único caractere aleatório não soma um pouquinho de segurança — ele multiplica o esforço necessário para quebrar a senha. É por isso que o comprimento vence a “complexidade”: uma senha longa, mesmo com caracteres comuns, tem mais entropia do que uma curta cheia de símbolos.
O detalhe crucial é que a entropia só conta quando os caracteres são escolhidos ao acaso. Se você monta a senha a partir de uma palavra e faz substituições óbvias, a matemática das combinações não se aplica — o invasor não testa tudo, testa só os padrões humanos prováveis. Daí a vantagem de gerar em vez de inventar.
Comprimento, variedade e tempo para quebrar
A tabela abaixo é qualitativa e serve para dar a intuição de como comprimento e variedade se combinam. Os tempos são ordens de grandeza, não números cravados — eles variam conforme o poder de computação do atacante — mas a tendência é sempre a mesma: cada caractere e cada tipo a mais empurram o resultado para muito mais difícil.
| Senha | Comprimento e variedade | Resistência aproximada |
|---|---|---|
| casa | 4, só minúsculas | Instantânea |
| Casa2020 | 8, padrão previsível | Muito fraca |
| k7Qm2x | 6, aleatória e variada | Fraca (curta demais) |
| k7Qm2xP9tR4w | 12, aleatória e variada | Forte |
| k7Qm2xP9tR4wZ3nB5vL8 | 20, aleatória e variada | Muito forte |
Repare no salto entre a terceira e a quarta linha: os mesmos tipos de caractere, mas dobrar o comprimento muda o jogo por completo. E note também que “Casa2020”, apesar de misturar maiúscula e números, é fraca porque segue um padrão que os ataques de dicionário conhecem de cor.
A alternativa memorizável: a frase-senha
Se você precisa de uma senha para decorar — a do seu gerenciador de senhas, por exemplo —, a técnica da frase-senha (passphrase) é a melhor saída. Em vez de um amontoado de símbolos, você junta quatro ou mais palavras aleatórias e sem relação entre si, como “girafa-porto- lâmpada-teclado”. O comprimento total garante entropia alta, e a mente humana lembra de palavras muito melhor do que de caracteres soltos. O segredo é que as palavras sejam realmente sorteadas ao acaso, não uma frase que faça sentido ou uma citação famosa — essas já estão nas listas de ataque.
As três defesas que multiplicam sua segurança
- Nunca reutilize senhas. Cada site deve ter a sua, única. Assim, um vazamento fica contido em uma conta só, e o credential stuffing não tem por onde se espalhar.
- Use um gerenciador de senhas. É impossível decorar dezenas de senhas longas e aleatórias — e é exatamente por isso que o gerenciador existe. Ele guarda todas de forma criptografada, e você só precisa lembrar de uma senha-mestra forte (uma boa frase-senha).
- Ative a verificação em duas etapas (2FA). Mesmo que sua senha vaze, o 2FA exige um segundo fator — um código do aplicativo autenticador ou uma chave física — para completar o login. É uma camada extra que barra a maioria dos acessos indevidos.
Como gerar na prática
Em vez de tentar inventar algo “difícil”, deixe o sorteio com a máquina. O gerador de senhas do MyCapy cria senhas realmente aleatórias direto no seu navegador — nada é enviado para nenhum servidor, então a senha gerada nunca sai do seu dispositivo. Você escolhe o comprimento e os tipos de caractere e copia o resultado direto para o seu gerenciador. Como comprimento é o fator mais importante, use o gerador de senhas configurado para 16 caracteres ou mais sempre que o site permitir.
Vale lembrar que a segurança começa antes da senha: garantir que o e-mail de cadastro está correto evita problemas na hora de recuperar o acesso. O validador de e-mail confere se o endereço tem um formato válido antes de você usá-lo em um cadastro importante. Um erro de digitação no e-mail de recuperação pode trancar você para fora da própria conta — passar pelo validador de e-mail é um cuidado rápido que evita essa dor de cabeça.
Erros comuns
- Reutilizar a mesma senha em vários sites. É o erro mais perigoso de todos. Um único vazamento transforma-se em invasão de todas as suas contas via credential stuffing.
- Confiar em substituições previsíveis. Trocar “a” por “@”, “e” por “3” e “o” por “0” não engana ninguém — os ataques de dicionário já testam essas variações automaticamente.
- Achar que uma senha curta “complexa” basta. Seis ou oito caracteres cheios de símbolos ainda são curtos demais. Sem comprimento, a variedade não segura a força bruta.
- Guardar senhas em anotações inseguras. Bilhete colado no monitor, arquivo de texto sem proteção ou mensagem enviada para si mesmo são convites. Use um gerenciador de senhas de verdade.
Criar uma senha forte, no fim das contas, é abrir mão da ilusão de que a gente consegue ser imprevisível. Deixe o comprimento e a aleatoriedade trabalharem a seu favor: gere senhas longas e únicas, guarde-as em um gerenciador, ative o 2FA e reserve uma boa frase-senha só para a chave-mestra. Faça isso uma vez, com calma, e você fecha de vez a porta que a maioria dos ataques tenta arrombar.