BrowserTools
Publicidade
Início / Validadores / Verificador de Força de Palavras-passe

Verificador de Força de Palavras-passe

Testa o quão forte é uma palavra-passe: entropia, tempo estimado de quebra e uma lista de verificação clara, tudo verificado localmente no teu navegador.

A carregar Verificador de Força de Palavras-passe… Se nada acontecer, ativa o JavaScript.

Um verificador de força de palavras-passe estima o quão difícil seria adivinhar uma palavra-passe. Este mede a entropia da palavra-passe em bits, converte-a num tempo estimado para um atacante offline a quebrar e mostra uma lista simples do que está bem e do que falta. Atualiza-se à medida que escreves e funciona inteiramente no teu navegador, por isso a palavra-passe que testas nunca é transmitida nem armazenada em lado nenhum.

Perguntas frequentes

A minha palavra-passe é enviada para algum lado?
Não. Toda a análise é executada localmente no teu navegador com JavaScript. A tua palavra-passe nunca é transmitida, registada nem armazenada, que é precisamente a razão pela qual um verificador de força deve ser executado no lado do cliente. Podes desligar-te da internet e continua a funcionar.
O que significa 'entropia em bits'?
A entropia mede quantas tentativas um atacante precisaria em média. Cada bit adicional duplica esse número. É calculada como o comprimento da palavra-passe multiplicado pelo logaritmo de base 2 do tamanho do conjunto de caracteres. Como orientação aproximada, menos de 28 bits é muito fraco, cerca de 60 bits é razoável e 80 bits ou mais é forte contra ataques offline.
Porque é que uma frase-passe longa costuma ser mais forte do que uma palavra-passe curta e complexa?
Porque o comprimento contribui para a entropia de forma mais fiável do que os caracteres especiais. Quatro ou cinco palavras aleatórias podem ultrapassar os 60 bits de entropia continuando fáceis de memorizar, ao passo que uma 'P@ss1' curta tem baixa entropia e é difícil de recordar. O comprimento é a maior alavanca que controlas.
Como é estimado o tempo de quebra?
Pressupõe que um atacante offline tenta cerca de dez mil milhões de tentativas por segundo contra um hash rápido e depois divide o número de combinações possíveis por essa taxa. É uma estimativa de ordem de grandeza. Um hash de palavra-passe lento (bcrypt, scrypt, Argon2) torna os ataques reais drasticamente mais lentos, e os serviços online costumam limitar a frequência das tentativas.
O verificador diz que a minha palavra-passe é forte. É seguro reutilizá-la?
Não. A força só protege contra a adivinhação. Se reutilizares uma palavra-passe e algum dos sites for comprometido, os atacantes vão experimentar essa mesma palavra-passe em todo o lado (preenchimento de credenciais). Usa uma palavra-passe única para cada conta, por mais forte que cada uma seja.
Porque é que as sequências e as repetições são penalizadas?
Os atacantes não adivinham ao acaso; experimentam primeiro dicionários, padrões de teclado e substituições previsíveis. 'abc123' ou 'aaa' têm muito menos força real do que o seu número bruto de caracteres sugere, por isso o verificador baixa a sua pontuação para refletir como um atacante abordaria realmente a palavra-passe.

Sobre Verificador de Força de Palavras-passe

A força depende sobretudo da entropia, não de assinalar caixas. A entropia é calculada a partir do comprimento da palavra-passe e do tamanho do conjunto de caracteres de que se serve (as minúsculas acrescentam 26 possibilidades por caractere, as maiúsculas mais 26, os dígitos 10 e os símbolos cerca de 33). Mais comprida vence mais complexa: uma frase-passe longa feita de palavras comuns costuma ter mais entropia, e é muito mais fácil de memorizar, do que uma cadeia curta de símbolos aleatórios. O verificador também penaliza fraquezas que a entropia bruta deixa escapar, como ser uma palavra-passe comum conhecida, conter uma sequência direta como 'abc' ou '123', ou repetir o mesmo caractere três ou mais vezes.

A estimativa do tempo de quebra pressupõe um ataque offline realista de cerca de dez mil milhões de tentativas por segundo contra um hash rápido. É uma referência útil, mas trata-a como uma ordem de grandeza e não como uma promessa: um hash lento como o bcrypt torna os ataques muito mais lentos, ao passo que uma base de dados de texto simples divulgada deixa qualquer palavra-passe sem valor. O hábito isolado mais sólido é uma palavra-passe longa e única por cada site, idealmente gerada e guardada por um gestor de palavras-passe.

O conselho sobre palavras-passe que mudou

Durante anos, as orientações oficiais impuseram regras de complexidade: pelo menos uma letra maiúscula, um dígito, um símbolo e uma alteração forçada a cada 90 dias. Em 2017, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) inverteu grande parte disso na sua Special Publication 800-63B. A investigação mostrou que a complexidade forçada empurrava as pessoas para padrões previsíveis como 'Password1!' e que a expiração programada as levava a escolher variantes mais fracas e de incremento progressivo.

A recomendação moderna é mais simples: privilegiar o comprimento, permitir frases-passe longas e espaços, comparar as novas palavras-passe com listas das que já foram divulgadas e deixar de forçar alterações de rotina, salvo se houver indícios de comprometimento. A famosa banda desenhada do xkcd 'correct horse battery staple' captou a ideia anos antes: quatro palavras comuns aleatórias são fáceis de memorizar para uma pessoa e difíceis de adivinhar para um computador, que é o objetivo de tudo isto.

Publicidade
Publicidade
Publicidade