BrowserTools
Publicidade
Início / Geradores / Gerador de Palavras-passe e Frases-passe

Gerador de Palavras-passe e Frases-passe

Gera palavras-passe aleatórias robustas e frases-passe memoráveis localmente, totalmente personalizáveis.

A carregar Gerador de Palavras-passe e Frases-passe… Se nada acontecer, ativa o JavaScript.

As palavras-passe robustas e únicas são a proteção mais eficaz que existe contra a apropriação de contas e os ataques de preenchimento de credenciais. A robustez de uma palavra-passe mede-se em entropia, essencialmente o número de bits imprevisíveis que um atacante tem de adivinhar. Esta ferramenta gera palavras-passe criptograficamente aleatórias e frases-passe fáceis de recordar inteiramente no teu navegador através de `window.crypto.getRandomValues` da Web Crypto API, que recolhe dados do pool de entropia do sistema operativo e é adequada para aplicações críticas de segurança.

Perguntas frequentes

As palavras-passe geradas são alguma vez enviadas para um servidor?
Não. Cada palavra-passe ou frase-passe é gerada inteiramente dentro do teu navegador através da Web Crypto API. O resultado nunca sai do teu dispositivo e não há qualquer pedido de rede associado ao passo de geração.
Que gerador de números aleatórios é usado internamente?
A ferramenta chama `crypto.getRandomValues`, um gerador de números pseudoaleatórios criptograficamente seguro (CSPRNG) integrado em todos os navegadores modernos. Ele alimenta-se a partir das fontes de entropia do sistema operativo, como as interrupções de hardware e o ruído de temporização, o que torna a sua saída imprevisível e não reproduzível.
Quão forte é uma palavra-passe aleatória de 16 caracteres?
Uma palavra-passe de 16 caracteres retirada de um conjunto ASCII imprimível de 94 caracteres tem aproximadamente 105 bits de entropia. A um bilião de tentativas por segundo, muito acima do que qualquer hardware atual consegue contra uma palavra-passe devidamente sujeita a hash, demoraria mais do que a idade do universo a quebrar por força bruta.
Quando devo usar uma frase-passe em vez de uma palavra-passe?
Usa uma frase-passe quando precisares de memorizar o segredo, por exemplo, a palavra-passe mestra do teu gestor de palavras-passe ou uma chave de cifragem de dispositivo. Uma frase-passe de 5 palavras retirada de uma lista de 7776 palavras (o padrão Diceware) fornece cerca de 64 bits de entropia e é muito mais fácil de recordar do que uma cadeia de caracteres aleatória de robustez equivalente.
Como é que isto se compara com a sugestão de palavra-passe integrada do meu navegador?
As palavras-passe geradas pelo navegador são também criptograficamente aleatórias e igualmente fortes. A vantagem desta ferramenta é a personalização: podes controlar o comprimento, os conjuntos de caracteres, o número de palavras, os caracteres separadores e se começa com o padrão clássico. Também não ficas preso ao ecossistema do gestor de palavras-passe de nenhum navegador em particular.
O que significa realmente 'entropia' para uma palavra-passe?
A entropia mede quantas possibilidades igualmente prováveis um atacante tem de considerar. Cada bit adicional de entropia duplica o espaço de pesquisa. Uma palavra-passe com 40 bits de entropia tem cerca de um bilião de valores possíveis; uma com 80 bits tem aproximadamente um trilião. Uma entropia mais alta traduz-se diretamente num tempo de quebra esperado mais longo.
Posso gerar palavras-passe para contextos de alta segurança como chaves de cifragem?
Para chaves de cifragem simétrica ou outro material criptográfico, deves usar uma função de derivação de chaves dedicada como PBKDF2 ou Argon2, e não uma palavra-passe de texto. No entanto, esta ferramenta é adequada para gerar frases-passe robustas que são depois fornecidas a um KDF, ou para criar segredos aleatórios que serão sujeitos a hash antes de serem armazenados.
Qual é o erro mais comum na geração de palavras-passe?
Escolher um comprimento que parece longo mas que na realidade é fraco; por exemplo, uma palavra-passe de 8 caracteres, mesmo com todas as classes de caracteres, tem menos de 53 bits de entropia e pode ser quebrada offline em horas com os equipamentos de GPU modernos. A NIST recomenda agora um mínimo de 15 a 20 caracteres para as contas sensíveis.
A ferramenta permite excluir caracteres ambíguos como O, 0, I e l?
Sim. A opção de exclusão de caracteres ambíguos remove caracteres que são visualmente semelhantes e causam erros de transcrição ao escrever uma palavra-passe a partir de um ecrã. Esta opção é mais útil quando precisas de ler a palavra-passe em voz alta ou introduzi-la num dispositivo sem copiar e colar.
O que acontece se eu gerar uma palavra-passe e depois fechar o separador?
A palavra-passe desaparece, a ferramenta não armazena nada de forma intencional. Isto é uma vantagem: impede que as credenciais sejam recuperadas a partir do armazenamento do navegador, do armazenamento local ou dos cookies. Copia sempre o resultado de imediato para um gestor de palavras-passe antes de saíres.

Sobre Gerador de Palavras-passe e Frases-passe

Os programadores usam geradores de palavras-passe robustas ao preparar ambientes de teste, criar chaves de API ou provisionar credenciais iniciais para contas novas. As empresas confiam neles durante os fluxos de integração. Os utilizadores do dia a dia beneficiam ao configurar contas novas, sobretudo em sites que não impõem políticas de palavras-passe robustas. Uma palavra-passe aleatória de 16 caracteres é muitíssimo mais forte do que uma memorável mas previsível como "Summer2024!".

Esta ferramenta funciona inteiramente do lado do cliente. No momento em que clicas em Gerar, o resultado é calculado no separador do teu navegador e nunca é transmitido para lado nenhum. Não há qualquer gancho de analítica no evento de geração, nem registos, nem envolvimento de servidor de qualquer tipo. Escolhes o conjunto de caracteres, maiúsculas, minúsculas, dígitos, símbolos, e o comprimento, e a ferramenta monta uma palavra-passe através de uma seleção aleatória criptograficamente segura a partir desse conjunto.

A NIST Special Publication 800-63B recomenda dar prioridade ao comprimento da palavra-passe em vez da complexidade. Uma frase-passe de 4 a 6 palavras retirada de um dicionário amplo (a chamada abordagem "correct-horse-battery-staple", popularizada pela banda desenhada XKCD) pode ultrapassar os 60 bits de entropia mantendo-se memorizável, muitas vezes mais forte do que uma palavra-passe curta repleta de símbolos. Usa palavras-passe aleatórias quando guardares credenciais num gestor de palavras-passe, e considera as frases-passe apenas para segredos que tenhas de escrever de memória, como a tua palavra-passe mestra ou o PIN de desbloqueio do teu dispositivo.

Dos cadeados mecânicos de combinação à entropia criptográfica: uma breve história das palavras-passe

A palavra "palavra-passe" precede os computadores em milénios, as sentinelas romanas usavam senhas para autenticar aliados na escuridão. As palavras-passe digitais surgiram na década de 1960 com o Compatible Time-Sharing System (CTSS) do MIT, onde Fernando Corbató introduziu palavras-passe por utilizador para manter privados os ficheiros de investigação. Naqueles primeiros tempos as palavras-passe eram armazenadas em texto simples, e a primeira fuga de palavras-passe conhecida ocorreu quase de imediato, quando um colega imprimiu por acidente todo o ficheiro de palavras-passe.

A prática de sujeitar as palavras-passe a hash para as proteger no armazenamento foi formalizada no sistema Unix crypt em 1976, que usava um algoritmo DES modificado. Isto lançou as bases do princípio moderno de que nem sequer os administradores de sistemas deveriam alguma vez ver a tua palavra-passe. Ao longo das décadas seguintes, o crescente poder de computação foi erodindo de forma constante a segurança das palavras-passe curtas, o que elevou as recomendações de comprimento mínimo de 6 caracteres nos anos 80, para 8 nos anos 2000, até aos 15 a 20 caracteres recomendados hoje pela NIST.

O conceito da frase-passe "correct-horse-battery-staple" foi popularizado pela banda desenhada XKCD 936 de Randall Munroe em 2011, que demonstrou visualmente que quatro palavras comuns escolhidas ao acaso produzem mais entropia do que uma palavra-passe mais curta e carregada de símbolos como as que as pessoas costumam construir. A banda desenhada tornou-se viral entre os profissionais de segurança e influenciou a revisão de 2017 da SP 800-63B da NIST, que despriorizou explicitamente as regras de complexidade obrigatórias a favor do comprimento e desaconselhou as rotações de palavras-passe forçadas e frequentes, uma prática que a investigação demonstrou levar os utilizadores a fazer alterações previsíveis e incrementais em vez de palavras-passe genuinamente mais fortes.

Publicidade
Publicidade
Publicidade