Frases-passe vs Palavras-passe — Por que Palavras Aleatórias Vencem Caracteres Complexos
Provavelmente já lhe disseram para criar palavras-passe como P@$$w0rd123 — maiúsculas, minúsculas, números, símbolos, tudo. Eis a verdade desconfortável: essa palavra-passe é terrível. Segue padrões de substituição previsíveis que ferramentas de cracking exploram em segundos. Entretanto, algo como madeira-quântico-colher-velocidade parece simples mas é ordens de magnitude mais difícil de decifrar.
Vejamos porquê.
O problema com palavras-passe tradicionais
A maioria das pessoas, quando forçadas a criar uma palavra-passe "complexa", faz a mesma coisa:
- Começa com uma palavra comum:
password,monkey,dragon - Coloca a primeira letra em maiúscula:
Password - Substitui letras por símbolos:
P@ssword - Adiciona números:
P@ssword123 - Adiciona um símbolo no final:
P@ssword123!
Ferramentas de cracking sabem disto. Cada dicionário importante de cracking de palavras-passe inclui estas regras exactas de substituição. O carácter @ a substituir a, 0 a substituir o, 3 a substituir e — estas estão entre as primeiras transformações testadas. A sua palavra-passe "complexa" pode ter levado trinta segundos a inventar, mas cai num ataque automatizado em milissegundos.
O problema fundamental: os humanos são terríveis a ser aleatórios. Escolhemos palavras significativas, seguimos padrões previsíveis e reutilizamos os mesmos truques. Regras de complexidade de palavras-passe tentam compensar isto, mas criam uma falsa sensação de segurança.
O que realmente torna uma palavra-passe forte: entropia
A força de uma palavra-passe é medida em entropia — bits de aleatoriedade. Cada bit duplica o número de possibilidades que um atacante deve tentar. A fórmula é directa:
Entropia = Comprimento × log₂(Tamanho do pool)
Para uma palavra-passe aleatória de 8 caracteres usando todos os 95 caracteres ASCII imprimíveis:
8 × log₂(95) = 8 × 6.57 ≈ 52.6 bits
Parece decente, mas eis o problema — só se aplica se cada carácter for escolhido completamente ao acaso. Quando um humano escolhe P@ssw0rd, a entropia real é muito menor porque as escolhas são previsíveis.
Pense assim: entropia mede quantas tentativas um atacante precisa. Se escolhe de um pool de um milhão de possibilidades, são cerca de 20 bits. Se escolhe de um bilião de possibilidades, são cerca de 40 bits. Cada 10 bits adicionais significa aproximadamente mil vezes mais tentativas necessárias.
Frases-passe: palavras aleatórias como blocos de construção
Uma frase-passe adopta uma abordagem completamente diferente. Em vez de caracteres aleatórios, encadeia palavras aleatórias:
madeira quântico colher velocidade
Cada palavra é escolhida aleatoriamente de uma grande lista de palavras. Se a sua lista tem 2.048 palavras, cada palavra contribui 11 bits de entropia (log₂(2048) = 11). Quatro palavras aleatórias dão:
4 × 11 = 44 bits
Com uma lista maior de 7.776 palavras (a lista Diceware padrão), cada palavra contribui 12,9 bits:
4 × 12,9 = 51,7 bits
6 × 12,9 = 77,5 bits
A vantagem chave: frases-passe são fáceis de lembrar e digitar mantendo alta entropia. Pode imaginar madeira, uma partícula quântica, uma colher e velocidade. Essa imagem mental fica. Tente fazer isso com xK#9mP!2qL.
A percepção do XKCD
O webcomic XKCD ilustrou famosamente este conceito na tira #936. O argumento: uma frase-passe de quatro palavras como "correct horse battery staple" tem cerca de 44 bits de entropia (assumindo uma lista de ~2.048 palavras) e é trivialmente fácil de lembrar. Uma palavra-passe "complexa" como Tr0ub4dor&3 tem menos entropia apesar de ser mais difícil de digitar e lembrar.
A tira fez um ponto importante que investigadores de segurança vinham a dizer há anos: as nossas regras de complexidade de palavras-passe optimizam para a coisa errada. Tornam as palavras-passe difíceis para humanos e mal mais difíceis para computadores.
Dito isto, o exemplo do XKCD tem sido amplamente discutido desde 2011, e alguns dos números específicos foram debatidos. O princípio central permanece sólido: aleatoriedade e comprimento vencem complexidade e esperteza.
O método Diceware
Diceware é o padrão de referência para gerar frases-passe. Eis como funciona:
- Obtenha uma lista de palavras — A lista Diceware clássica contém 7.776 palavras, cada uma mapeada para um número de cinco dígitos (11111 a 66666)
- Lance cinco dados (ou um dado cinco vezes) para cada palavra
- Procure o número resultante na lista de palavras
- Repita para cada palavra necessária (mínimo quatro, preferencialmente seis)
Por exemplo, lançar 4-2-5-3-1 pode dar "lápis". Lançar 1-6-3-4-2 pode dar "âncora". E assim por diante.
Porquê dados físicos? Porque são uma fonte genuinamente aleatória que não requer confiança em software. Claro, um gerador de números aleatórios criptograficamente seguro (como a Web Crypto API usada no nosso Gerador de Palavras-passe) funciona igualmente bem e é muito mais conveniente.
A segurança do Diceware depende de um simples facto matemático: um atacante que sabe que utilizou Diceware e conhece a lista exacta de palavras ainda enfrenta 7.776^n possibilidades, onde n é o número de palavras. Essa é a definição de segurança através de entropia em vez de obscuridade.
Comparação de entropia: os números não mentem
Comparemos estratégias comuns de palavras-passe frente a frente:
| Estratégia | Exemplo | Entropia | Tentativas necessárias |
|---|---|---|---|
| 8 caracteres aleatórios (minúsculas) | mqxhplvt | 37,6 bits | ~137 mil milhões |
| 8 caracteres aleatórios (todo ASCII) | kX#9mP!2 | 52,6 bits | ~6 quatrilhões |
| Frase de 4 palavras (2.048 palavras) | madeira-quântico-colher-velocidade | 44 bits | ~17 biliões |
| Frase de 4 palavras (7.776 palavras) | fenda-came-nicho-torre | 51,7 bits | ~3,7 quatrilhões |
| Frase de 6 palavras (7.776 palavras) | fenda-came-nicho-torre-passo-bigorna | 77,5 bits | ~2,2 × 10²³ |
| 12 caracteres aleatórios (todo ASCII) | Bx!4pQm#9kLz | 78,8 bits | ~4,7 × 10²³ |
A conclusão: uma frase Diceware de seis palavras é aproximadamente equivalente em força a uma palavra-passe totalmente aleatória de 12 caracteres — mas dramaticamente mais fácil de lembrar e digitar.
A mil milhões de tentativas por segundo (uma velocidade realista de ataque offline contra um hash rápido), uma palavra-passe de 52 bits dura cerca de 52 dias. Uma frase-passe de 77 bits dura cerca de 7 mil milhões de anos. Essa é a diferença entre um pequeno incómodo para um atacante e a morte térmica do universo.
Quando usar palavras-passe vs frases-passe
Nenhuma abordagem é universalmente melhor. Eis quando cada uma faz sentido:
Use palavras-passe de caracteres aleatórios quando:
- Um gestor de palavras-passe as gera e armazena — Nunca precisa de as digitar ou lembrar. Use 20+ caracteres aleatórios para máxima entropia.
- Existem limites de comprimento — Alguns sistemas legados limitam palavras-passe a 16 ou até 8 caracteres. Caracteres aleatórios empacotam mais entropia por carácter.
- Autenticação máquina a máquina — Chaves de API, tokens e segredos devem ser longas strings aleatórias.
Use frases-passe quando:
- Precisa memorizar — A palavra-passe mestra do seu gestor de palavras-passe, frase de encriptação de disco ou código de desbloqueio do dispositivo.
- Digita frequentemente — Frases-passe são mais rápidas de digitar que strings de caracteres aleatórios, especialmente no telemóvel.
- Precisa partilhar verbalmente — Dizer "madeira quântico colher velocidade" ao telefone é muito mais fácil que soletrar
xK#9mP!2qL. - Quer segurança offline — Encriptação de disco e carteiras de criptomoedas beneficiam de frases-passe de alta entropia.
O ponto ideal para a maioria: uma frase-passe de seis palavras como palavra-passe mestra do seu gestor, e palavras-passe aleatórias de 20+ caracteres para tudo o resto.
Melhores práticas para frases-passe
Nem todas as frases-passe são iguais. Siga estas regras:
1. Use palavras verdadeiramente aleatórias
As palavras devem ser seleccionadas aleatoriamente, não escolhidas por si. No momento em que escolhe palavras que "fazem sentido" ou formam uma frase, destrói o cálculo de entropia. "Eu adoro o meu cão" é uma frase, não uma frase-passe — e é trivialmente quebrável.
2. Mínimo quatro palavras, preferencialmente seis
Quatro palavras de uma lista de 7.776 dão cerca de 52 bits — adequado para contas online com limitação de taxa. Seis palavras dão cerca de 78 bits — adequado para proteger dados encriptados offline. Para casos de alta segurança, vá para sete ou oito.
3. Opcional: adicione um número ou símbolo
Inserir um número ou símbolo aleatório entre palavras adiciona alguns bits extras e derrota qualquer ataque puramente de dicionário:
madeira-quântico-7-colher-velocidade
madeira!quântico!colher!velocidade
Isto não é estritamente necessário com seis ou mais palavras, mas é uma melhoria de baixo custo.
4. Use um separador
Hífenes, espaços ou pontos entre palavras melhoram a legibilidade sem reduzir a segurança:
madeira-quântico-colher-velocidade
madeira quântico colher velocidade
madeira.quântico.colher.velocidade
Qualquer separador consistente funciona. Escolha o que achar mais fácil de digitar.
Erros comuns com frases-passe
Usar letras de músicas ou citações
"Ser ou não ser, eis a questão" não é uma frase-passe — é uma citação famosa. Atacantes mantêm listas de frases comuns de literatura, músicas, filmes e textos religiosos. Qualquer frase reconhecível é uma vulnerabilidade.
Escolher palavras relacionadas
"maçã banana cereja uva" usa palavras aleatórias, mas todas são frutas. Esta correlação reduz drasticamente a entropia efectiva porque um atacante pode visar categorias semânticas.
Usar poucas palavras
Duas ou três palavras de qualquer lista é insuficiente. Com uma lista de 7.776 palavras, três palavras dão apenas 38,8 bits — quebrável por um cluster GPU em horas.
Deixar o autocompletar ajudar
Se digita a primeira palavra e deixa o seu telemóvel sugerir as próximas, está a gerar texto com a previsibilidade de um modelo de linguagem, não a aleatoriedade de dados. Use sempre um gerador aleatório adequado.
Como a nossa ferramenta ajuda
O nosso Gerador de Palavras-passe inclui um modo dedicado de frases-passe construído sobre uma lista curada de 2.048 palavras. Cada palavra é seleccionada usando a Web Crypto API — o mesmo gerador de números aleatórios criptográficos usado por profissionais de segurança. Pode configurar o número de palavras, carácter separador e se deseja incluir números ou capitalizar palavras.
Toda a geração acontece completamente no seu navegador. Nenhuma palavra é enviada a qualquer servidor, nenhuma frase-passe é registada e a ferramenta funciona offline após o carregamento. Isto é crítico para gerar palavras-passe mestras e frases de encriptação — nunca deve confiar o seu segredo mais importante a um servidor.
Perguntas frequentes
Frases-passe são seguras se alguém sabe que uso o método Diceware?
Sim. A segurança do Diceware depende da entropia, não do sigilo do método. Mesmo que um atacante conheça a sua lista exacta de palavras e o número de palavras, ainda enfrenta 7.776^n combinações possíveis. Com seis palavras, são mais de 2,2 × 10²³ possibilidades.
Computadores quânticos podem quebrar frases-passe?
O algoritmo de Grover teoricamente reduz pela metade a força em bits (77 bits torna-se ~39 bits efectivos). Isto significa que uma frase de seis palavras precisaria de se tornar uma frase de doze palavras para resistência quântica. Mas computadores quânticos práticos em larga escala capazes disto ainda não estão disponíveis. Usar oito palavras hoje fornece uma margem de segurança razoável.
Devo rodar as minhas frases-passe?
Apenas se suspeitar de comprometimento. As directrizes do NIST (SP 800-63B) recomendam explicitamente contra a rotação periódica forçada de palavras-passe, pois leva a palavras-passe mais fracas ao longo do tempo. Mude a sua frase-passe se um serviço for violado ou se a partilhou com alguém.
Que tamanho de lista de palavras devo usar?
Maior é melhor, mas com retornos decrescentes. A lista Diceware padrão (7.776 palavras) é bem testada e amplamente recomendada. A nossa ferramenta usa uma lista de 2.048 palavras optimizada para memorabilidade — cada palavra é comum, distinta e fácil de soletrar. Com 2.048 palavras, precisa de aproximadamente uma palavra extra para igualar a entropia da lista de 7.776 palavras.
Recursos relacionados
- Gerar Palavras-passe Fortes — guia completo de segurança de palavras-passe
- Entropia de Palavras-passe Explicada — a matemática por trás da força das palavras-passe
- Guia de Autenticação de Dois Factores — adicione uma segunda camada de protecção
- Gerador de Palavras-passe — gere palavras-passe e frases-passe no seu navegador
🛠️ Gere uma frase-passe agora: Gerador de Palavras-passe — 100% gratuito, processa tudo no seu navegador. Sem dados enviados. Experimente o modo frase-passe com a nossa lista curada de 2.048 palavras.