Entropia de Senhas Explicada: O Que Torna uma Senha Forte
Quando um site diz que sua senha é "fraca" ou "forte", ele está medindo a entropia — a aleatoriedade matemática da sua senha. Entender a entropia ajuda você a criar senhas genuinamente seguras em vez de apenas difíceis de digitar.
O Que É Entropia?
Entropia, medida em bits, quantifica o quão imprevisível uma senha é. Cada bit de entropia dobra o número de senhas possíveis que um atacante precisa tentar. A fórmula é:
Entropy = log₂(C^L)
Onde:
- C = tamanho do conjunto de caracteres
- L = comprimento da senha
Alternativamente: Entropia = L × log₂(C)
Entropia por Conjunto de Caracteres
| Conjunto de Caracteres | Tamanho do Conjunto (C) | Bits por Caractere |
|---|---|---|
| Apenas dígitos (0-9) | 10 | 3,32 |
| Letras minúsculas (a-z) | 26 | 4,70 |
| Minúsculas + dígitos | 36 | 5,17 |
| Maiúsculas e minúsculas (a-z, A-Z) | 52 | 5,70 |
| Maiúsculas/minúsculas + dígitos | 62 | 5,95 |
| Todos os caracteres ASCII imprimíveis | 95 | 6,57 |
Exemplos de cálculo:
password(8 minúsculas): 8 × 4,70 = 37,6 bits — quebrável em segundosP@ssw0rd(8 misto): 8 × 6,57 = 52,6 bits — quebrável em horascorrect-horse-battery-staple(28 minúsculas + símbolos): entropia efetiva muito maior devido ao comprimento
Comprimento vs. Complexidade
Aqui está a verdade contraintuitiva: o comprimento contribui mais para a entropia do que a complexidade.
| Senha | Comprimento | Entropia | Tempo para Quebrar (1B tentativas/seg) |
|---|---|---|---|
Xy7! | 4 | 26,3 bits | < 1 segundo |
Xy7!Qp2$ | 8 | 52,6 bits | 142 anos |
mysimplepassword | 16 | 75,2 bits | 1,2 bilhão de anos |
correct horse battery | 22 | 103 bits | Morte térmica do universo |
Uma senha de 16 caracteres em minúsculas é mais forte do que uma senha de 8 caracteres com todos os tipos de caracteres. É por isso que as diretrizes de segurança modernas (NIST SP 800-63B) recomendam frases-senha longas em vez de senhas curtas e complexas.
O Problema das "Regras de Complexidade"
Políticas tradicionais de senha (deve incluir maiúscula, minúscula, número, símbolo) são contraproducentes:
- Padrões previsíveis: Usuários colocam a primeira letra em maiúscula, adicionam
1!no final →Password1! - Memorização reduzida: Senhas complexas acabam anotadas em post-its
- Falsa segurança: Uma senha "complexa" de 8 caracteres tem menos entropia do que uma simples de 16 caracteres
Diretrizes modernas do NIST:
- Mínimo de 8 caracteres, recomendado 15+
- Sem regras de composição (maiúsculas, símbolos, etc.)
- Verificar contra bancos de dados de senhas vazadas
- Permitir todos os caracteres imprimíveis incluindo espaços
- Sem rotação periódica forçada
Estratégia de Frases-Senha
Frases-senha usam palavras aleatórias em vez de caracteres aleatórios:
método: escolha 4-6 palavras aleatórias de um dicionário
exemplo: "timber quantum spoon velocity"
entropia: 4 palavras × ~12,9 bits/palavra (de uma lista de 7.776 palavras) ≈ 51,7 bits
melhor: 6 palavras ≈ 77,5 bits
O método Diceware usa uma lista de 7.776 palavras (6^5, correspondendo a cinco lançamentos de dados). Cada palavra adiciona 12,9 bits de entropia.
Vantagens:
- Memorável (você pode visualizar as palavras)
- Longa (naturalmente 20-35 caracteres)
- Alta entropia com palavras suficientes
- Fácil de digitar
Gere senhas e frases-senha aleatórias e seguras com nosso Gerador de Senhas.
Velocidades Reais de Ataque
A entropia só importa em relação à velocidade de ataque:
| Tipo de Ataque | Velocidade | Senha de 40 bits | Senha de 60 bits | Senha de 80 bits |
|---|---|---|---|---|
| Online (com limite de taxa) | 1.000/seg | 12,7 dias | 36.559 anos | 38M anos |
| Offline (CPU) | 1B/seg | 1,1 segundos | 36,5 anos | 38.334 anos |
| Offline (cluster GPU) | 1T/seg | < 1 segundo | 13 dias | 38 anos |
| Estado-nação | 1P/seg | < 1 segundo | < 1 segundo | 14 dias |
Para contas online com limitação de taxa e bloqueio, 40+ bits é adequado. Para ataques offline (hashes de senhas roubados), 80+ bits é o mínimo. É por isso que algoritmos de hash de senhas como Argon2 e bcrypt existem — eles tornam cada tentativa cara.
A Matemática do Gerenciador de Senhas
Um gerenciador de senhas muda a equação completamente:
- Uma senha mestra forte: 80+ bits de entropia (frase-senha de 6+ palavras)
- Todas as outras senhas: Geradas aleatoriamente, 128+ bits, únicas por site
- Sem reutilização: Um vazamento em um site não afeta outros
A matemática a favor dos gerenciadores de senhas é esmagadora. Uma única senha reutilizada, por mais forte que seja, é mais fraca do que senhas fracas únicas por site, porque um vazamento compromete todas as contas.
Avaliando Sua Senha
Ao avaliar a força de uma senha, considere:
- Está em um banco de dados de vazamentos? — Mesmo senhas "fortes" são fracas se já foram vazadas (verifique em haveibeenpwned.com)
- É aleatória? — Senhas escolhidas por humanos têm muito menos entropia do que aleatórias
- Como é armazenada? — bcrypt com fator de custo 12 adiciona ~22 bits de entropia efetiva vs. MD5 simples
Para mais informações sobre geração segura de senhas, veja nosso guia completo de geração de senhas.
FAQ
Quantos bits de entropia eu preciso?
Para contas online com limitação de taxa: 40-50 bits no mínimo. Para senhas protegendo dados criptografados (criptografia de disco, senha mestra do gerenciador de senhas): 80+ bits. Para chaves criptográficas: 128+ bits. A resposta certa depende do que você está protegendo e de quem pode atacar.
Adicionar um símbolo à minha senha a torna significativamente mais forte?
Adicionar um símbolo aumenta o conjunto de caracteres de 62 para 95, adicionando cerca de 0,6 bits por caractere. Para uma senha de 8 caracteres, isso representa aproximadamente 5 bits extras — equivalente a adicionar mais um caractere minúsculo. O comprimento é quase sempre um investimento melhor do que adicionar tipos de caracteres.
Recursos Relacionados
- Gerador de Senhas — Gere senhas criptograficamente seguras
- Gerar Senhas Fortes — Guia completo de segurança de senhas
- Algoritmos de Hash Comparados — Como senhas são armazenadas com segurança