Verificador de Força de Palavras-passe
Testa o quão forte é uma palavra-passe: entropia, tempo estimado de quebra e uma lista de verificação clara, tudo verificado localmente no teu navegador.
A carregar Verificador de Força de Palavras-passe… Se nada acontecer, ativa o JavaScript.
Um verificador de força de palavras-passe estima o quão difícil seria adivinhar uma palavra-passe. Este mede a entropia da palavra-passe em bits, converte-a num tempo estimado para um atacante offline a quebrar e mostra uma lista simples do que está bem e do que falta. Atualiza-se à medida que escreves e funciona inteiramente no teu navegador, por isso a palavra-passe que testas nunca é transmitida nem armazenada em lado nenhum.
Perguntas frequentes
A minha palavra-passe é enviada para algum lado?
O que significa 'entropia em bits'?
Porque é que uma frase-passe longa costuma ser mais forte do que uma palavra-passe curta e complexa?
Como é estimado o tempo de quebra?
O verificador diz que a minha palavra-passe é forte. É seguro reutilizá-la?
Porque é que as sequências e as repetições são penalizadas?
Sobre Verificador de Força de Palavras-passe
A força depende sobretudo da entropia, não de assinalar caixas. A entropia é calculada a partir do comprimento da palavra-passe e do tamanho do conjunto de caracteres de que se serve (as minúsculas acrescentam 26 possibilidades por caractere, as maiúsculas mais 26, os dígitos 10 e os símbolos cerca de 33). Mais comprida vence mais complexa: uma frase-passe longa feita de palavras comuns costuma ter mais entropia, e é muito mais fácil de memorizar, do que uma cadeia curta de símbolos aleatórios. O verificador também penaliza fraquezas que a entropia bruta deixa escapar, como ser uma palavra-passe comum conhecida, conter uma sequência direta como 'abc' ou '123', ou repetir o mesmo caractere três ou mais vezes.
A estimativa do tempo de quebra pressupõe um ataque offline realista de cerca de dez mil milhões de tentativas por segundo contra um hash rápido. É uma referência útil, mas trata-a como uma ordem de grandeza e não como uma promessa: um hash lento como o bcrypt torna os ataques muito mais lentos, ao passo que uma base de dados de texto simples divulgada deixa qualquer palavra-passe sem valor. O hábito isolado mais sólido é uma palavra-passe longa e única por cada site, idealmente gerada e guardada por um gestor de palavras-passe.
O conselho sobre palavras-passe que mudou
Durante anos, as orientações oficiais impuseram regras de complexidade: pelo menos uma letra maiúscula, um dígito, um símbolo e uma alteração forçada a cada 90 dias. Em 2017, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) inverteu grande parte disso na sua Special Publication 800-63B. A investigação mostrou que a complexidade forçada empurrava as pessoas para padrões previsíveis como 'Password1!' e que a expiração programada as levava a escolher variantes mais fracas e de incremento progressivo.
A recomendação moderna é mais simples: privilegiar o comprimento, permitir frases-passe longas e espaços, comparar as novas palavras-passe com listas das que já foram divulgadas e deixar de forçar alterações de rotina, salvo se houver indícios de comprometimento. A famosa banda desenhada do xkcd 'correct horse battery staple' captou a ideia anos antes: quatro palavras comuns aleatórias são fáceis de memorizar para uma pessoa e difíceis de adivinhar para um computador, que é o objetivo de tudo isto.