Gerador de Senha

Q: O que é uma senha forte em 2026?

Uma senha forte hoje tem no mínimo 16 caracteres aleatórios misturando maiúsculas, minúsculas, dígitos e símbolos. Ou, alternativamente, uma passphrase de 5+ palavras aleatórias separadas. O que importa é a entropia: quanto maior, mais inviável é o ataque por força bruta — mesmo com GPUs modernas.

Q: Quantos caracteres deve ter uma senha segura?

Para contas pessoais comuns, 16 caracteres aleatórios são suficientes (ataque levaria séculos). Para contas críticas (banco, e-mail principal, gerenciador de senhas), use 20+ caracteres. Para passphrases, 5–6 palavras aleatórias entregam segurança equivalente a uma senha aleatória de 16+ caracteres, com a vantagem de serem memorizáveis.

Q: O 4utils armazena minhas senhas?

Não. Toda a geração acontece no seu navegador via crypto.getRandomValues — entropia criptográfica real. Nada sai do seu computador, nem temos servidor recebendo nada. É auditável: o JavaScript que gera está em /assets/js/tools/senha.js, aberto pra inspeção.

Q: O que é uma passphrase? Por que usar?

Passphrase é uma sequência de palavras aleatórias separadas (ex: "Cachorro-Amarelo-Praia-Samba-Cafe-42"). Tem entropia comparável a senhas aleatórias longas, mas é dramaticamente mais fácil de digitar e lembrar — útil pra senha-mestra de gerenciador, dispositivos sem teclado completo (TV, console) e cenários onde você precisa ditar pra alguém.

Q: Por que evitar caracteres ambíguos como O e 0?

Caracteres como O (letra) e 0 (zero), I (i maiúsculo), l (L minúsculo) e 1 (um) são visualmente parecidos em muitas fontes monoespaçadas. Em senhas que você precisa transcrever (ler em papel, ditar, copiar de outro dispositivo), a opção "Fácil de digitar" remove esses caracteres pra evitar erros sem comprometer significativamente a entropia.

Q: Senha aleatória ou "fácil de digitar" — qual escolher?

Use senha aleatória completa quando ela vai ficar guardada num gerenciador de senhas (você nunca vai digitar). Use "fácil de digitar" quando precisar inserir manualmente em algum dispositivo (TV smart, console, login em servidor via terminal). Use passphrase quando precisar lembrar a senha sem auxílio de gerenciador.

Q: Como o medidor de força funciona?

Calculamos a entropia em bits via fórmula de Shannon (log₂ do tamanho do charset, multiplicado pelo comprimento). Aplicamos penalidades heurísticas: se a senha está em listas de top-100 piores, contém sequências (123, abc, qwerty), tem repetição alta ou é variação de senha conhecida, descontamos bits. O tempo de quebra assume 100 bilhões de tentativas/segundo (GPU moderna offline).

Q: Posso usar a mesma senha em vários sites?

Não. Reutilizar senha é a causa nº 1 de invasões em cascata: se um site qualquer vaza, atacantes testam a mesma combinação em e-mail, banco, redes sociais. Use um gerenciador de senhas (Bitwarden, 1Password, KeePass) e gere uma senha única por conta com este gerador.

Q: Como sei se minha senha foi vazada?

Use o serviço Have I Been Pwned (haveibeenpwned.com/Passwords). O 4utils não consulta bases de vazamento online porque manteríamos o princípio de não enviar nada pelo navegador. Mas é uma boa prática verificar senhas antigas lá — eles usam k-anonymity (você envia só os 5 primeiros caracteres do hash, não a senha).

Q: Funciona no celular?

Sim. Toda a geração é client-side, então funciona em qualquer navegador moderno: iOS Safari, Chrome Android, Firefox e Edge. Funciona até offline depois do primeiro carregamento.

Senhas fortes em 1 clique — com medidor de força e modo passphrase em PT-BR. 100% local, sem rede.

100% local
Sem rede
Entropia criptográfica

CarregandoSenha…

—

Tamanho 16

Fácil de digitar Sem repetir

Por que sua senha de 2018 já não basta em 2026

Há oito anos, "BancoSenha2018!" passava num medidor de força e ninguém piscava. Hoje, qualquer placa de vídeo de videogame moderna testa 100 bilhões de senhas por segundo offline. Aquela senha que "tem letra, número e símbolo" cai em minutos. A regra mudou — e a maioria dos sites brasileiros não avisou.

O 4utils gera senhas com entropia real (via crypto.getRandomValues, o gerador criptograficamente seguro do navegador), até 128 caracteres, com medidor que mostra quanto tempo levaria pra quebrar a senha que você acabou de gerar. Sem servidor, sem cadastro, sem nada saindo do seu computador.

Senha aleatória ou passphrase: qual usar?

Tem dois caminhos pra chegar numa senha forte em 2026 — e os dois são suportados aqui:

Senha aleatória (`K8#mP$2vQx@9nL!`)

Mistura completa de caracteres, gerada pra entrar num gerenciador de senhas (Bitwarden, 1Password, KeePass) e nunca ser digitada manualmente. É a opção mais segura por caractere — uma senha de 16 caracteres com todos os tipos tem cerca de 104 bits de entropia, ou aproximadamente "10²² combinações". Ataque por força bruta: levaria mais que a idade do universo.

Passphrase (`Cachorro-Amarelo-Praia-Samba-Cafe-42`)

Sequência de palavras aleatórias separadas. A vantagem: você consegue lembrar. É a forma certa de criar a senha-mestra do seu gerenciador (a única que você vai memorizar), de dispositivos sem teclado completo (TV smart, console de videogame) ou de cenários onde você precisa ditar a senha pra alguém. O 4utils usa um dicionário de 256 palavras em PT-BR — sem acentos, comuns, fáceis de digitar. Cada palavra adiciona 8 bits de entropia. Cinco palavras = 40 bits + maiúsculas + número + separador customizável = facilmente 50+ bits. Bitwarden trabalha com a mesma lógica em inglês.

Quanto tempo leva pra quebrar minha senha?

O medidor de força da página mostra tempo de quebra estimado assumindo o pior cenário: ataque offline com hardware moderno (100 bilhões de tentativas por segundo). Veja o que cada nível significa na prática:

Muito fraca (< 28 bits): instantâneo a horas. Senhas como 123456, senha, flamengo.
Fraca (28–50 bits): horas a meses. Senhas curtas com mistura, ou variações óbvias de palavras comuns.
Razoável (50–70 bits): anos a séculos. Aceitável pra contas comuns, marginal pra crítico.
Forte (70–90 bits): milênios. Padrão recomendado pra contas pessoais.
Excelente (90+ bits): eras geológicas. Padrão pra contas críticas (banco, e-mail principal, gerenciador de senhas).

As penalidades heurísticas

A entropia matemática (Shannon) é só o ponto de partida. Em cima disso, descontamos bits quando detectamos:

Senha está em listas de top-100 piores (—40 bits)
Variação de senha comum, ex: "flamengo123" (—25 bits)
Sequências previsíveis: 123, abc, qwerty (—20 bits)
Repetição alta de mesmo caractere (—15 bits)
Só dígitos ou só letras (—15 a 25 bits)
Menos de 12 caracteres (—8 a 20 bits)

Como ler o "fácil de digitar" e "sem repetir"

Fácil de digitar

Remove os caracteres que mais geram erro de transcrição: O e 0, I e l e 1. Use quando precisar digitar a senha em outro dispositivo (TV, console, terminal SSH no celular). A entropia cai um pouco — você sai de 95 caracteres possíveis pra ~85, perdendo ~0.16 bit por posição. Pra uma senha de 20 caracteres, isso são ~3 bits a menos, o que é irrelevante.

Sem repetir caracteres

Garante que cada caractere da senha aparece apenas uma vez. É útil pra alguns sistemas legados que rejeitam senhas com repetição, e pra senhas que você vai precisar dizer em voz alta. Limita o tamanho máximo ao número de caracteres do charset (com todos os charsets ativos: ~94 chars, então no máximo 94 de tamanho).

Avaliando uma senha existente

Mude pra aba "Avaliar força" no topo da ferramenta. Cole qualquer senha (uma que você usa há anos, uma que pensa em criar, uma que veio em e-mail de provedor) e veja a análise instantânea: entropia em bits, tempo de quebra, problemas detectados. Tudo local — a senha digitada não sai do seu navegador. Use isso pra auditar suas senhas antes de migrar pra um gerenciador.

E os vazamentos? Como saber se minha senha caiu?

O 4utils não consulta bases de vazamento. Mantemos a promessa de não enviar nada do seu navegador. Pra essa verificação, recomendamos o serviço externo Have I Been Pwned — eles usam k-anonymity: você envia só os 5 primeiros caracteres do hash SHA-1, eles devolvem todas as senhas vazadas que começam com aqueles 5 dígitos, e seu navegador checa localmente se a sua está na lista. É uma abordagem matematicamente elegante e segura.

Perguntas frequentes

O que é uma senha forte em 2026?

No mínimo 16 caracteres aleatórios misturando maiúsculas, minúsculas, dígitos e símbolos. Ou, alternativamente, uma passphrase de 5+ palavras aleatórias separadas. O que importa é a entropia: quanto maior, mais inviável é o ataque por força bruta.

Quantos caracteres deve ter uma senha segura?

Para contas pessoais comuns, 16 caracteres aleatórios são suficientes. Para contas críticas (banco, e-mail principal, gerenciador de senhas), use 20+ caracteres. Para passphrases, 5–6 palavras aleatórias entregam segurança equivalente.

O 4utils armazena minhas senhas?

Não. Toda a geração acontece no seu navegador via crypto.getRandomValues — entropia criptográfica real. Nada sai do seu computador, nem temos servidor recebendo nada. O JavaScript que gera está em /assets/js/tools/senha.js, aberto pra inspeção.

O que é uma passphrase? Por que usar?

Sequência de palavras aleatórias separadas (ex: Cachorro-Amarelo-Praia-Samba-Cafe-42). Tem entropia comparável a senhas aleatórias longas, mas é dramaticamente mais fácil de digitar e lembrar.

Por que evitar caracteres ambíguos como O e 0?

Caracteres como O (letra) e 0 (zero), I (i maiúsculo), l (L minúsculo) e 1 (um) são visualmente parecidos em muitas fontes. Em senhas que você precisa transcrever, a opção "Fácil de digitar" remove esses caracteres pra evitar erros sem comprometer significativamente a entropia.

Senha aleatória ou "fácil de digitar" — qual escolher?

Use senha aleatória completa quando ela vai ficar guardada num gerenciador (você nunca vai digitar). Use "fácil de digitar" quando precisar inserir manualmente em outro dispositivo. Use passphrase quando precisar lembrar a senha sem auxílio de gerenciador.

Como o medidor de força funciona?

Calculamos a entropia em bits via fórmula de Shannon (log₂ do tamanho do charset, multiplicado pelo comprimento). Aplicamos penalidades heurísticas: top-100 piores, sequências, repetições, variações conhecidas. O tempo de quebra assume 100 bilhões de tentativas/segundo (GPU moderna offline).

Posso usar a mesma senha em vários sites?

Não. Reutilizar senha é a causa nº 1 de invasões em cascata: se um site qualquer vaza, atacantes testam a mesma combinação em e-mail, banco, redes sociais. Use um gerenciador (Bitwarden, 1Password, KeePass) e gere uma senha única por conta com este gerador.

Como sei se minha senha foi vazada?

Use o serviço Have I Been Pwned (haveibeenpwned.com/Passwords). O 4utils não consulta bases online porque manteríamos o princípio de não enviar nada. Eles usam k-anonymity (você envia só os 5 primeiros chars do hash, não a senha) — é seguro.

Funciona no celular?

Sim. Toda a geração é client-side — funciona em qualquer navegador moderno: iOS Safari, Chrome Android, Firefox, Edge. Funciona até offline depois do primeiro carregamento.

A diretora, o e-mail comprometido e a senha que ela nunca esqueceu

Quinta-feira, 09h12. Cláudia, diretora de uma escola em Pernambuco, abriu o e-mail e viu a notificação do banco: tinha entrado tentativa de login em São Paulo. Ela não estava em São Paulo. Ligou pro filho mais velho, que perguntou a coisa óbvia: "mãe, qual senha tu usa no banco?". Era a mesma de 2014, daquele cadastro num site de receita que vazou em 2019. O filho mandou ela abrir o gerador, mudar pra modo passphrase, colocar 6 palavras. Saiu "Bahia-Cafe-Oceano-Sambar-Verao-78". Ela leu, repetiu três vezes em voz alta, anotou num papel dentro da gaveta da mesinha. No banco, conseguiu trocar antes de qualquer débito. O papel ficou guardado. A senha, na cabeça.

Precisa de CPF pra teste? →

Gerador de Senha

Gerador e avaliador de senha

Avaliar força de uma senha

Por que sua senha de 2018 já não basta em 2026

Senha aleatória ou passphrase: qual usar?

Senha aleatória (K8#mP$2vQx@9nL!)

Passphrase (Cachorro-Amarelo-Praia-Samba-Cafe-42)