Frases-passe vs Senhas — Por que Palavras Aleatórias Vencem Caracteres Complexos
Provavelmente já te disseram para criar senhas como P@$$w0rd123 — maiúsculas, minúsculas, números, símbolos, tudo. Aqui está a verdade desconfortável: essa senha é terrível. Ela segue padrões de substituição previsíveis que ferramentas de cracking exploram em segundos. Enquanto isso, algo como madeira-quântico-colher-velocidade parece simples, mas é ordens de magnitude mais difícil de quebrar.
Vamos analisar o porquê.
O problema com senhas tradicionais
A maioria das pessoas, quando forçadas a criar uma senha "complexa", faz a mesma coisa:
- Começa com uma palavra comum:
password,monkey,dragon - Coloca a primeira letra em maiúscula:
Password - Substitui letras por símbolos:
P@ssword - Adiciona números:
P@ssword123 - Adiciona um símbolo no final:
P@ssword123!
Ferramentas de cracking sabem disso. Cada dicionário importante de cracking de senhas inclui essas regras exatas de substituição. O caractere @ substituindo a, 0 substituindo o, 3 substituindo e — essas estão entre as primeiras transformações testadas. Sua senha "complexa" pode ter levado trinta segundos para inventar, mas cai em um ataque automatizado em milissegundos.
O problema fundamental: humanos são terríveis em ser aleatórios. Escolhemos palavras significativas, seguimos padrões previsíveis e reutilizamos os mesmos truques. Regras de complexidade de senhas tentam compensar isso, mas criam uma falsa sensação de segurança.
O que realmente torna uma senha forte: entropia
A força de uma senha é medida em entropia — bits de aleatoriedade. Cada bit dobra o número de possibilidades que um atacante deve tentar. A fórmula é direta:
Entropia = Comprimento × log₂(Tamanho do pool)
Para uma senha aleatória de 8 caracteres usando todos os 95 caracteres ASCII imprimíveis:
8 × log₂(95) = 8 × 6.57 ≈ 52.6 bits
Parece decente, mas aqui está o problema — só se aplica se cada caractere for escolhido completamente ao acaso. Quando um humano escolhe P@ssw0rd, a entropia real é muito menor porque as escolhas são previsíveis.
Pense assim: entropia mede quantas tentativas um atacante precisa. Se você escolhe de um pool de um milhão de possibilidades, são cerca de 20 bits. Se escolhe de um trilhão de possibilidades, são cerca de 40 bits. Cada 10 bits adicionais significa aproximadamente mil vezes mais tentativas necessárias.
Frases-passe: palavras aleatórias como blocos de construção
Uma frase-passe adota uma abordagem completamente diferente. Em vez de caracteres aleatórios, você encadeia palavras aleatórias:
madeira quântico colher velocidade
Cada palavra é escolhida aleatoriamente de uma grande lista de palavras. Se sua lista tem 2.048 palavras, cada palavra contribui 11 bits de entropia (log₂(2048) = 11). Quatro palavras aleatórias dão:
4 × 11 = 44 bits
Com uma lista maior de 7.776 palavras (a lista Diceware padrão), cada palavra contribui 12,9 bits:
4 × 12,9 = 51,7 bits
6 × 12,9 = 77,5 bits
A vantagem chave: frases-passe são fáceis de lembrar e digitar mantendo alta entropia. Você pode imaginar madeira, uma partícula quântica, uma colher e velocidade. Essa imagem mental fica. Tente fazer isso com xK#9mP!2qL.
A percepção do XKCD
O webcomic XKCD ilustrou famosamente esse conceito na tirinha #936. O argumento: uma frase-passe de quatro palavras como "correct horse battery staple" tem cerca de 44 bits de entropia (assumindo uma lista de ~2.048 palavras) e é trivialmente fácil de lembrar. Uma senha "complexa" como Tr0ub4dor&3 tem menos entropia apesar de ser mais difícil de digitar e lembrar.
A tirinha fez um ponto importante que pesquisadores de segurança vinham dizendo há anos: nossas regras de complexidade de senhas otimizam para a coisa errada. Elas tornam as senhas difíceis para humanos e mal mais difíceis para computadores.
Dito isso, o exemplo do XKCD tem sido amplamente discutido desde 2011, e alguns dos números específicos foram debatidos. O princípio central permanece sólido: aleatoriedade e comprimento vencem complexidade e esperteza.
O método Diceware
Diceware é o padrão ouro para gerar frases-passe. Veja como funciona:
- Obtenha uma lista de palavras — A lista Diceware clássica contém 7.776 palavras, cada uma mapeada para um número de cinco dígitos (11111 a 66666)
- Lance cinco dados (ou um dado cinco vezes) para cada palavra
- Procure o número resultante na lista de palavras
- Repita para cada palavra necessária (mínimo quatro, preferencialmente seis)
Por exemplo, lançar 4-2-5-3-1 pode dar "lápis". Lançar 1-6-3-4-2 pode dar "âncora". E assim por diante.
Por que dados físicos? Porque são uma fonte genuinamente aleatória que não requer confiança em software. Claro, um gerador de números aleatórios criptograficamente seguro (como a Web Crypto API usada em nosso Gerador de Senhas) funciona igualmente bem e é muito mais conveniente.
A segurança do Diceware depende de um simples fato matemático: um atacante que sabe que você usou Diceware e conhece a lista exata de palavras ainda enfrenta 7.776^n possibilidades, onde n é o número de palavras. Essa é a definição de segurança através de entropia em vez de obscuridade.
Comparação de entropia: os números não mentem
Vamos comparar estratégias comuns de senhas frente a frente:
| Estratégia | Exemplo | Entropia | Tentativas necessárias |
|---|---|---|---|
| 8 caracteres aleatórios (minúsculas) | mqxhplvt | 37,6 bits | ~137 bilhões |
| 8 caracteres aleatórios (todo ASCII) | kX#9mP!2 | 52,6 bits | ~6 quatrilhões |
| Frase de 4 palavras (2.048 palavras) | madeira-quântico-colher-velocidade | 44 bits | ~17 trilhões |
| Frase de 4 palavras (7.776 palavras) | fenda-came-nicho-torre | 51,7 bits | ~3,7 quatrilhões |
| Frase de 6 palavras (7.776 palavras) | fenda-came-nicho-torre-passo-bigorna | 77,5 bits | ~2,2 × 10²³ |
| 12 caracteres aleatórios (todo ASCII) | Bx!4pQm#9kLz | 78,8 bits | ~4,7 × 10²³ |
A conclusão: uma frase Diceware de seis palavras é aproximadamente equivalente em força a uma senha totalmente aleatória de 12 caracteres — mas dramaticamente mais fácil de lembrar e digitar.
A um bilhão de tentativas por segundo (uma velocidade realista de ataque offline contra um hash rápido), uma senha de 52 bits dura cerca de 52 dias. Uma frase-passe de 77 bits dura cerca de 7 bilhões de anos. Essa é a diferença entre um pequeno incômodo para um atacante e a morte térmica do universo.
Quando usar senhas vs frases-passe
Nenhuma abordagem é universalmente melhor. Veja quando cada uma faz sentido:
Use senhas de caracteres aleatórios quando:
- Um gerenciador de senhas as gera e armazena — Você nunca precisa digitá-las ou lembrá-las. Use 20+ caracteres aleatórios para máxima entropia.
- Existem limites de comprimento — Alguns sistemas legados limitam senhas a 16 ou até 8 caracteres. Caracteres aleatórios empacotam mais entropia por caractere.
- Autenticação máquina a máquina — Chaves de API, tokens e segredos devem ser longas strings aleatórias.
Use frases-passe quando:
- Precisa memorizar — A senha mestra do seu gerenciador de senhas, frase de criptografia de disco ou código de desbloqueio do dispositivo.
- Digita frequentemente — Frases-passe são mais rápidas de digitar que strings de caracteres aleatórios, especialmente no celular.
- Precisa compartilhar verbalmente — Dizer "madeira quântico colher velocidade" ao telefone é muito mais fácil que soletrar
xK#9mP!2qL. - Quer segurança offline — Criptografia de disco e carteiras de criptomoedas se beneficiam de frases-passe de alta entropia.
O ponto ideal para a maioria: uma frase-passe de seis palavras como senha mestra do seu gerenciador, e senhas aleatórias de 20+ caracteres para todo o resto.
Melhores práticas para frases-passe
Nem todas as frases-passe são iguais. Siga estas regras:
1. Use palavras verdadeiramente aleatórias
As palavras devem ser selecionadas aleatoriamente, não escolhidas por você. No momento em que você escolhe palavras que "fazem sentido" ou formam uma frase, você destrói o cálculo de entropia. "Eu amo meu cachorro muito" é uma frase, não uma frase-passe — e é trivialmente quebrável.
2. Mínimo quatro palavras, preferencialmente seis
Quatro palavras de uma lista de 7.776 dão cerca de 52 bits — adequado para contas online com limitação de taxa. Seis palavras dão cerca de 78 bits — adequado para proteger dados criptografados offline. Para casos de alta segurança, vá para sete ou oito.
3. Opcional: adicione um número ou símbolo
Inserir um número ou símbolo aleatório entre palavras adiciona alguns bits extras e derrota qualquer ataque puramente de dicionário:
madeira-quântico-7-colher-velocidade
madeira!quântico!colher!velocidade
Isso não é estritamente necessário com seis ou mais palavras, mas é uma melhoria de baixo custo.
4. Use um separador
Hífens, espaços ou pontos entre palavras melhoram a legibilidade sem reduzir a segurança:
madeira-quântico-colher-velocidade
madeira quântico colher velocidade
madeira.quântico.colher.velocidade
Qualquer separador consistente funciona. Escolha o que achar mais fácil de digitar.
Erros comuns com frases-passe
Usar letras de músicas ou citações
"Ser ou não ser, eis a questão" não é uma frase-passe — é uma citação famosa. Atacantes mantêm listas de frases comuns de literatura, músicas, filmes e textos religiosos. Qualquer frase reconhecível é uma vulnerabilidade.
Escolher palavras relacionadas
"maçã banana cereja uva" usa palavras aleatórias, mas todas são frutas. Essa correlação reduz drasticamente a entropia efetiva porque um atacante pode mirar categorias semânticas.
Usar poucas palavras
Duas ou três palavras de qualquer lista é insuficiente. Com uma lista de 7.776 palavras, três palavras dão apenas 38,8 bits — quebrável por um cluster GPU em horas.
Deixar o autocompletar ajudar
Se você digita a primeira palavra e deixa seu celular sugerir as próximas, está gerando texto com a previsibilidade de um modelo de linguagem, não a aleatoriedade de dados. Sempre use um gerador aleatório adequado.
Como nossa ferramenta ajuda
Nosso Gerador de Senhas inclui um modo dedicado de frases-passe construído sobre uma lista curada de 2.048 palavras. Cada palavra é selecionada usando a Web Crypto API — o mesmo gerador de números aleatórios criptográficos usado por profissionais de segurança. Você pode configurar o número de palavras, caractere separador e se deseja incluir números ou capitalizar palavras.
Toda a geração acontece completamente no seu navegador. Nenhuma palavra é enviada a qualquer servidor, nenhuma frase-passe é registrada e a ferramenta funciona offline após o carregamento. Isso é crítico para gerar senhas mestras e frases de criptografia — você nunca deve confiar seu segredo mais importante a um servidor.
Perguntas frequentes
Frases-passe são seguras se alguém sabe que uso o método Diceware?
Sim. A segurança do Diceware depende da entropia, não do sigilo do método. Mesmo que um atacante conheça sua lista exata de palavras e o número de palavras, ainda enfrenta 7.776^n combinações possíveis. Com seis palavras, são mais de 2,2 × 10²³ possibilidades.
Computadores quânticos podem quebrar frases-passe?
O algoritmo de Grover teoricamente reduz pela metade a força em bits (77 bits se torna ~39 bits efetivos). Isso significa que uma frase de seis palavras precisaria se tornar uma frase de doze palavras para resistência quântica. Mas computadores quânticos práticos em larga escala capazes disso ainda não estão disponíveis. Usar oito palavras hoje fornece uma margem de segurança razoável.
Devo rotacionar minhas frases-passe?
Apenas se suspeitar de comprometimento. As diretrizes do NIST (SP 800-63B) recomendam explicitamente contra a rotação periódica forçada de senhas, pois leva a senhas mais fracas ao longo do tempo. Mude sua frase-passe se um serviço for violado ou se você a compartilhou com alguém.
Qual tamanho de lista de palavras devo usar?
Maior é melhor, mas com retornos decrescentes. A lista Diceware padrão (7.776 palavras) é bem testada e amplamente recomendada. Nossa ferramenta usa uma lista de 2.048 palavras otimizada para memorabilidade — cada palavra é comum, distinta e fácil de soletrar. Com 2.048 palavras, você precisa de aproximadamente uma palavra extra para igualar a entropia da lista de 7.776 palavras.
Recursos relacionados
- Gerar Senhas Fortes — guia completo de segurança de senhas
- Entropia de Senhas Explicada — a matemática por trás da força das senhas
- Guia de Autenticação de Dois Fatores — adicione uma segunda camada de proteção
- Gerador de Senhas — gere senhas e frases-passe no seu navegador
🛠️ Gere uma frase-passe agora: Gerador de Senhas — 100% gratuito, processa tudo no seu navegador. Sem dados enviados. Experimente o modo frase-passe com nossa lista curada de 2.048 palavras.