RUNWEBTOOLS
Português
Segurança & privacidade

Como criar e gerenciar senhas fortes

Atualizado 2026-07-06

Quase todo mundo sabe que deveria usar senhas fortes, mas as mais comuns ainda são 123456 e password. Parte do problema são os maus conselhos: por anos nos disseram para usar uma miscelânea curta de símbolos e trocá-la todo mês, o que acaba sendo difícil de lembrar e nem especialmente seguro. Este guia explica o que de fato torna uma senha forte e como gerenciar senhas sem enlouquecer.

O que torna uma senha forte

Uma senha é forte quando é difícil de adivinhar e difícil de quebrar por força bruta — quando há tantas possibilidades que tentá-las todas é impraticável. Duas coisas impulsionam isso: o comprimento e a imprevisibilidade.

O comprimento vence a complexidade

Cada caractere a mais multiplica o número de senhas possíveis, então o comprimento é o fator mais poderoso de todos. Uma frase-senha longa com palavras comuns é muito mais forte que uma cadeia curta e enigmática — e bem mais fácil de lembrar:

Mais fraca:  P@ss1!        (8 caracteres, parece "complexa")
Mais forte:  correct-horse-battery-staple   (longa)

A enigmática é mais fraca porque os atacantes conhecem todos os truques habituais — trocar a por @, adicionar 1! no fim — e o software deles tenta esses padrões primeiro. O comprimento puro vence as substituições previsíveis.

Imprevisibilidade (entropia)

A outra metade é a aleatoriedade. Uma senha feita de uma mistura genuinamente aleatória de caracteres ou de palavras escolhidas ao acaso tem alta entropia — uma medida de quão imprevisível ela é. Qualquer coisa baseada em dados pessoais (seu nome, aniversário, pet, time favorito) tem baixa entropia porque é adivinhável, mesmo que pareça bagunçada.

Como os atacantes de fato quebram senhas

Entender a ameaça faz o conselho fazer sentido:

  • Preenchimento de credenciais (credential stuffing) — quando um site vaza, os atacantes tentam os pares e-mail/senha vazados em todos os outros sites. É por isso que reutilizar senhas é tão perigoso.
  • Ataques de dicionário — tentar listas de senhas e palavras comuns, incluindo as substituições previsíveis acima.
  • Força bruta — tentar cada combinação. O comprimento é o que torna isso inútil para o atacante.

As três regras que mais importam

  1. Faça-as longas — mire em 16+ caracteres ou uma frase-senha de várias palavras.
  2. Faça cada uma única — nunca reutilize uma senha entre sites, para que um vazamento não abra o resto.
  3. Faça-as aleatórias — não as baseie em nada sobre você.

Um jeito rápido de gerar uma que satisfaça as três é o nosso gerador de senhas: ele cria senhas aleatórias fortes inteiramente no seu navegador (nada é enviado a lugar nenhum) e deixa você ajustar comprimento e tipos de caractere. Para segredos de máquina para máquina como chaves de API, um gerador de strings aleatórias faz o mesmo trabalho.

Como lembrar todas: não lembre

As regras acima são impossíveis de seguir de memória em dezenas de contas — que é exatamente por que as pessoas reutilizam senhas. A resposta é parar de tentar lembrá-las:

  • Use um gerenciador de senhas. Ele gera, armazena e preenche uma senha forte e única para cada site, e você só lembra de uma senha mestra forte.
  • Ative a autenticação de dois fatores (2FA). Mesmo que uma senha vaze, um segundo fator (um código de app ou chave de hardware) impede o atacante de entrar. Ative em tudo que ofereça, sobretudo e-mail e banco.
  • Proteja seu e-mail acima de tudo. Sua conta de e-mail pode redefinir a maioria das suas outras senhas, então ela merece sua senha única mais longa e 2FA.

O que você pode parar de fazer

As orientações modernas de segurança (inclusive do NIST) largaram dois velhos hábitos: trocas periódicas forçadas (empurram as pessoas para variações fracas e previsíveis) e regras obrigatórias de símbolo/número como substituto do comprimento. Troque uma senha quando houver um motivo — um vazamento, um dispositivo compartilhado — não pelo calendário. Concentre sua energia em comprimento, unicidade e um gerenciador de senhas, e você estará à frente da esmagadora maioria das contas online.

Mais de Segurança & privacidade

Ver todos os guias de Segurança & privacidade →

Ferramentas mencionadas neste guia