Como criar e gerenciar senhas fortes
Atualizado 2026-07-06
Quase todo mundo sabe que deveria usar senhas fortes, mas as mais comuns ainda são 123456 e password. Parte do problema são os maus conselhos: por anos nos disseram para usar uma miscelânea curta de símbolos e trocá-la todo mês, o que acaba sendo difícil de lembrar e nem especialmente seguro. Este guia explica o que de fato torna uma senha forte e como gerenciar senhas sem enlouquecer.
O que torna uma senha forte
Uma senha é forte quando é difícil de adivinhar e difícil de quebrar por força bruta — quando há tantas possibilidades que tentá-las todas é impraticável. Duas coisas impulsionam isso: o comprimento e a imprevisibilidade.
O comprimento vence a complexidade
Cada caractere a mais multiplica o número de senhas possíveis, então o comprimento é o fator mais poderoso de todos. Uma frase-senha longa com palavras comuns é muito mais forte que uma cadeia curta e enigmática — e bem mais fácil de lembrar:
Mais fraca: P@ss1! (8 caracteres, parece "complexa") Mais forte: correct-horse-battery-staple (longa)
A enigmática é mais fraca porque os atacantes conhecem todos os truques habituais — trocar a por @, adicionar 1! no fim — e o software deles tenta esses padrões primeiro. O comprimento puro vence as substituições previsíveis.
Imprevisibilidade (entropia)
A outra metade é a aleatoriedade. Uma senha feita de uma mistura genuinamente aleatória de caracteres ou de palavras escolhidas ao acaso tem alta entropia — uma medida de quão imprevisível ela é. Qualquer coisa baseada em dados pessoais (seu nome, aniversário, pet, time favorito) tem baixa entropia porque é adivinhável, mesmo que pareça bagunçada.
Como os atacantes de fato quebram senhas
Entender a ameaça faz o conselho fazer sentido:
- Preenchimento de credenciais (credential stuffing) — quando um site vaza, os atacantes tentam os pares e-mail/senha vazados em todos os outros sites. É por isso que reutilizar senhas é tão perigoso.
- Ataques de dicionário — tentar listas de senhas e palavras comuns, incluindo as substituições previsíveis acima.
- Força bruta — tentar cada combinação. O comprimento é o que torna isso inútil para o atacante.
As três regras que mais importam
- Faça-as longas — mire em 16+ caracteres ou uma frase-senha de várias palavras.
- Faça cada uma única — nunca reutilize uma senha entre sites, para que um vazamento não abra o resto.
- Faça-as aleatórias — não as baseie em nada sobre você.
Um jeito rápido de gerar uma que satisfaça as três é o nosso gerador de senhas: ele cria senhas aleatórias fortes inteiramente no seu navegador (nada é enviado a lugar nenhum) e deixa você ajustar comprimento e tipos de caractere. Para segredos de máquina para máquina como chaves de API, um gerador de strings aleatórias faz o mesmo trabalho.
Como lembrar todas: não lembre
As regras acima são impossíveis de seguir de memória em dezenas de contas — que é exatamente por que as pessoas reutilizam senhas. A resposta é parar de tentar lembrá-las:
- Use um gerenciador de senhas. Ele gera, armazena e preenche uma senha forte e única para cada site, e você só lembra de uma senha mestra forte.
- Ative a autenticação de dois fatores (2FA). Mesmo que uma senha vaze, um segundo fator (um código de app ou chave de hardware) impede o atacante de entrar. Ative em tudo que ofereça, sobretudo e-mail e banco.
- Proteja seu e-mail acima de tudo. Sua conta de e-mail pode redefinir a maioria das suas outras senhas, então ela merece sua senha única mais longa e 2FA.
O que você pode parar de fazer
As orientações modernas de segurança (inclusive do NIST) largaram dois velhos hábitos: trocas periódicas forçadas (empurram as pessoas para variações fracas e previsíveis) e regras obrigatórias de símbolo/número como substituto do comprimento. Troque uma senha quando houver um motivo — um vazamento, um dispositivo compartilhado — não pelo calendário. Concentre sua energia em comprimento, unicidade e um gerenciador de senhas, e você estará à frente da esmagadora maioria das contas online.
Mais de Segurança & privacidade
Ver todos os guias de Segurança & privacidade →Ferramentas mencionadas neste guia