O que é Verificador de força de senha?

Um verificador de força de senha analisa sua senha em tempo real para avaliar sua resistência a tentativas de quebra. Ele detecta padrões comuns, palavras de dicionário e entropia para fornecer uma pontuação precisa de segurança. Use-o para garantir que suas senhas atendam aos padrões modernos de segurança.

O analisador usa zxcvbn, a mesma biblioteca que o Dropbox abriu como open source, e conhece 30.000 senhas comuns, bases de vazamento, dicionários em inglês e sobrenomes, além de padrões previsíveis como datas, sequências de teclado e substituições l33t. A pontuação vai de 0 a 4 com tempos de crack em quatro cenários, do ataque online lento a fazendas de GPU offline.

Como usar

1. Digite ou cole sua senha no campo de entrada para iniciar a análise
2. Confira a pontuação de força, o tempo estimado para quebra e as sugestões específicas sobre pontos fracos
3. Melhore sua senha com base nas sugestões até alcançar uma classificação forte ou muito forte

Quando usar

• Conferir uma senha memorável antes de adotá-la como mestra do gerenciador de senhas.
• Testar a política de senhas do trabalho: será que 'EmpresaTal2024!' realmente passa pelo seu critério?
• Mostrar pra um parente pouco técnico por que a senha com nome do bichinho é fraca.

Resultado

Digite 'Tr0ub4dor&3' para ver que ela recebe uma pontuação moderada — embora use caracteres variados, segue um padrão de substituição previsível. Compare com uma frase aleatória como 'correct-horse-battery-staple', que pontua mais alto apesar de usar apenas letras minúsculas e hifens.

Perguntas frequentes

O que cada pontuação de 0 a 4 significa na prática?

0 é adivinhada em menos de um segundo por qualquer ataque online. 1 dura horas online ou segundos offline. 2 resiste online mas cai offline. 3 é razoável. 4 leva séculos mesmo contra fazenda de GPU testando 10 bilhões por segundo.

Por que 'Tr0ub4dor&3' pontua pior que 'correct horse battery staple'?

A primeira segue um padrão conhecido: palavra de dicionário + substituições previsíveis (0 pelo o, 4 pelo a) + símbolo + dígito. As listas de regras dos atacantes testam essas combinações cedo. Quatro palavras aleatórias dão muito mais entropia porque o número de combinações é enorme.

Minha senha sai do meu computador quando digito aqui?

O cálculo de força roda inteiro no seu dispositivo, no JavaScript desta página, e não dispara nenhuma requisição de rede enquanto você digita. A única exceção opcional é a verificação de vazamentos: se você apertar, só os 5 primeiros caracteres do hash SHA-1 da senha são enviados (k-anonymity), então a senha em si nunca sai do campo. Nada fica registrado ao fechar a aba.

O aviso diz que minha senha apareceu num vazamento, é confiável?

São duas camadas. O aviso instantâneo vem da lista interna do zxcvbn com as 30.000 senhas mais usadas de vazamentos como o RockYou, comparada offline. Para uma resposta ao vivo, aperte Procurar em vazamentos: ele consulta a base do HaveIBeenPwned com k-anonymity (envia só os 5 primeiros caracteres do hash) e diz exatamente quantas vezes a senha apareceu em vazamentos reais.

Qual cenário de tempo de quebra devo mirar?

Pra maioria das contas, o número 'offline slow hashing' é o que importa, porque é o que acontece quando um banco vaza e atacantes rodam hashcat. Mire pelo menos em 'séculos', o que normalmente exige nota 3-4 e 12+ caracteres.

Ferramentas relacionadas