Como as Palavras-passe São Criadas
Defina um comprimento entre 4 e 64 carateres, ative qualquer combinação de maiúsculas, minúsculas, números e símbolos, e carregue em Gerar. A aleatoriedade vem da Web Crypto API do seu navegador (crypto.getRandomValues) — o mesmo gerador criptograficamente seguro usado para chaves de encriptação — não o previsível Math.random(). Com os quatro conjuntos ativados, o conjunto é de 88 carateres distintos, e cada posição é extraída de forma independente, por isso nada num carater dá pistas sobre o seguinte.
Porque o Comprimento Vence a Esperteza
Cada carater de um conjunto de 88 símbolos acrescenta cerca de 6,5 bits de entropia, e cada bit duplica o trabalho de adivinhação. Assumindo um atacante a testar 10 mil milhões de tentativas por segundo offline:
| Comprimento | Entropia | Tempo médio para quebrar |
|---|---|---|
| 8 carateres | ~52 bits | dias |
| 12 carateres | ~77 bits | centenas de milhares de anos |
| 16 carateres | ~103 bits | biliões de anos |
| 20 carateres (padrão) | ~129 bits | praticamente para sempre |
O salto de 8 para 12 carateres é a diferença entre "quebrável esta semana" e "sobrevive ao universo" — que é exatamente o que o medidor de força abaixo da saída reflete: passa de Fraca abaixo de 8 carateres por Razoável e Boa até Forte a partir de 16.
Exemplo Prático: Escolher Definições
Digamos que um site bancário antigo rejeita símbolos. Desmarque símbolos, deixando um conjunto de 62 carateres (26 + 26 + 10), e compense com o comprimento: a ~5,95 bits por carater, uma palavra-passe de 22 carateres só com letras e dígitos (~131 bits) é na verdade mais forte do que uma de 20 carateres usando os quatro conjuntos (~129 bits). Regra prática: sempre que um site restringe o seu conjunto de carateres, acrescente alguns carateres de comprimento e já compensou mais do que a diferença.
Usar Bem as Palavras-passe Geradas
- Uma palavra-passe por site. A reutilização, não a fraqueza, é como a maioria das contas cai — um site comprometido desbloqueia todos os outros.
- Guarde-as num gestor de palavras-passe. Uma cadeia aleatória de 20 carateres não é para memorizar; é para colar.
- Regenere à vontade. Carregar em Gerar de novo não custa nada; se uma palavra-passe foi exibida algures semipúblico, faça uma nova.
- Acrescente um segundo fator onde for oferecido — mesmo uma palavra-passe perfeita pode ser vítima de phishing.
Privacidade
A geração corre inteiramente no seu navegador — nada é enviado para um servidor, nada é armazenado, e fechar o separador destrói a palavra-passe a não ser que a tenha guardado. Se precisar de credenciais relacionadas, o gerador de UUID cria identificadores aleatórios e o gerador de hash calcula checksums SHA-256, ambos igualmente locais.