Gerador de Senhas Fortes — Aleatórias e Frases-senha em Português

Gere senhas aleatórias com a criptografia do seu navegador ou frases-senha memoráveis em português — com medidor de entropia e tempo estimado para quebrar. Nada sai da sua máquina.

  • 100% no navegador
  • grátis
  • sem cadastro
Carregando o gerador de senhas...

Como usar os dois modos do gerador

Na aba Senha aleatória, ajuste o tamanho no controle deslizante (de 8 a 64 caracteres, com 16 como padrão), marque as classes que a conta aceita — maiúsculas, minúsculas, números e símbolos — e defina quantas senhas quer de uma vez (até 20). A opção excluir ambíguos remove caracteres fáceis de confundir, como I, l e 1 ou O, 0 e o: útil quando alguém vai ler ou digitar a senha em vez de colar. Cada senha gerada contém ao menos um caractere de cada classe marcada, e o botão copiar ao lado de cada uma leva o valor direto para a área de transferência.

Na aba Frase-senha, você escolhe de 3 a 8 palavras sorteadas de uma lista de 250 termos em português, o separador (hífen, ponto, underline ou espaço), se as palavras começam com maiúscula e se um número entra em posição aleatória. O resultado — algo como Tigre-Nuvem-42-Prata-Vidro — é uma senha que você consegue memorizar e digitar sem sofrimento. Nos dois modos, o medidor no topo do resultado mostra a força da configuração atual em bits de entropia e o tempo médio que um ataque de força bruta levaria para quebrá-la.

A matemática da força: entropia em bits

A força de uma senha não está na aparência, e sim no tamanho do espaço de busca que o atacante precisa percorrer. Esse espaço é medido em bits de entropia: uma configuração com n bits gera 2n senhas igualmente prováveis. A conta é direta: entropia = tamanho × log2(pool). Com as quatro classes marcadas, o pool tem 85 caracteres (26 minúsculas + 26 maiúsculas + 10 números + 23 símbolos), ou seja, cerca de 6,4 bits por caractere. Uma senha de 8 caracteres soma ~51 bits — um ataque offline a 10 bilhões de tentativas por segundo resolve em poucas horas. A mesma configuração com 16 caracteres passa de 100 bits: o mesmo ataque levaria mais tempo do que a idade do universo.

É por isso que comprimento vale mais que complexidade: cada caractere extra multiplica o espaço por 85, enquanto trocar uma letra por um símbolo "esperto" mal move o ponteiro — os programas de quebra testam substituições como @ no lugar de a antes de qualquer outra coisa. O medidor da ferramenta traduz os bits em uma régua prática: abaixo de 45 bits, fraca; de 45 a 59, razoável; de 60 a 79, forte; e de 80 em diante, excelente.

Frases-senha em português: memoráveis e fortes

A frase-senha aplica a mesma matemática a unidades maiores: em vez de sortear caracteres, sorteia palavras inteiras — a técnica popularizada pelo método diceware. Cada palavra desta lista de 250 acrescenta log2(250) ≈ 8 bits, então 4 palavras somam ~32 bits, 6 palavras ~48 e 8 palavras ~64, antes dos bônus de número e capitalização. O truque é que, para o cérebro, Tigre-Nuvem-42-Prata-Vidro é uma cena absurda e fácil de lembrar, enquanto x7@Qp2#v é ruído — mas para o computador que ataca por força bruta, o que conta é o total de bits, não a cara da senha.

A lista foi montada com substantivos e adjetivos curtos do dia a dia, sem acentos nem cedilha, de propósito: senha se digita em qualquer lugar — teclado de notebook em layout americano, tela do celular, TV, terminal de servidor — e acento é fonte de erro e de frustração. Prefira frases-senha onde você digita de cabeça (senha-mestra do gerenciador, login do computador, Wi-Fi) e aumente o número de palavras em vez de inventar complicações: de 6 para 8 palavras, a força multiplica por 62.500.

Boas práticas além da senha

Senha forte é só uma parte da higiene de segurança. Use um gerenciador de senhas para gerar e guardar uma senha única por serviço — você só memoriza a senha-mestra (uma boa frase-senha de 6+ palavras) e cola o resto. Ative a autenticação em duas etapas (2FA) nas contas importantes, de preferência com aplicativo autenticador ou chave física em vez de SMS: com 2FA, mesmo uma senha vazada não abre a conta sozinha. E não troque senhas por calendário — troque quando houver indício de vazamento, e nunca reutilize a mesma senha em dois serviços.

Por fim, lembre que a senha mais forte do mundo não resiste a phishing: verifique o endereço do site antes de digitar credenciais e desconfie de links recebidos por e-mail ou mensagem. Tudo o que esta ferramenta produz nasce e morre no seu navegador — gerada a senha, o único lugar em que ela deve viver é o seu gerenciador.

## faq

Perguntas frequentes

O que torna uma senha realmente forte?

Comprimento importa mais que complexidade. Cada caractere extra multiplica o número de combinações possíveis: uma senha de 8 caracteres com letras, números e símbolos tem cerca de 51 bits de entropia e cai em minutos num ataque offline, enquanto uma de 16 caracteres do mesmo pool passa de 100 bits — inviável de quebrar por força bruta. Trocar a por @ ou i por 1 quase não ajuda, porque os programas de quebra testam essas substituições primeiro. O que derruba senhas na prática não é falta de símbolo: é senha curta, palavra de dicionário pura ou senha reutilizada que já vazou.

Senha aleatória ou frase-senha: qual escolher?

Use os dois, para fins diferentes. A senha aleatória (tipo v9@Kp2#xQ...) é a mais densa em segurança por caractere — perfeita para contas guardadas num gerenciador de senhas, onde você nunca digita nada de cabeça. A frase-senha (tipo Tigre-Nuvem-42-Prata-Vidro) é feita para ser memorizada e digitada: ideal para a senha-mestra do gerenciador, o login do computador e o e-mail principal. Com palavras suficientes, a frase-senha alcança a mesma força da aleatória — cada palavra desta lista de 250 acrescenta cerca de 8 bits, então 6 a 8 palavras já entram na faixa forte.

É seguro gerar senhas online?

Depende de onde a senha é gerada. Aqui, tudo acontece localmente no seu navegador com a API Web Crypto (crypto.getRandomValues), um gerador criptograficamente seguro — a senha nunca sai da sua máquina, não passa por servidor e não é armazenada. Você pode verificar: abra o DevTools (F12), vá na aba Network (Rede) e clique em Gerar novamente — nenhuma requisição é disparada. Desconfie de geradores que processam no servidor ou exigem cadastro: se a senha viajou pela rede, ela deixou de ser um segredo só seu.

Quantos caracteres devo usar em 2026?

Para contas comuns guardadas num gerenciador, 16 caracteres aleatórios (cerca de 103 bits) são um piso confortável e 20 ou mais custam zero esforço extra. Para as contas-raiz — e-mail principal, gerenciador de senhas, banco — prefira 20+ caracteres ou uma frase-senha de 6 a 8 palavras. As diretrizes atuais do NIST e da OWASP apontam na mesma direção: priorize comprimento, aceite senhas longas (64+), não exija trocas periódicas sem indício de vazamento e não force regras de composição arbitrárias. Se um site limitar o tamanho, use o máximo que ele aceitar.

Por que não devo reutilizar senhas?

Por causa do credential stuffing: quando um site vaza, sua combinação de e-mail e senha entra em listas públicas, e robôs testam essas combinações automaticamente em centenas de outros serviços — banco, e-mail, redes sociais, lojas. Ou seja, a senha reutilizada tem a segurança do site mais fraco em que você a usou. Uma senha vazada em um fórum qualquer de 2019 pode abrir seu e-mail hoje. Com senhas únicas por serviço, um vazamento fica contido em uma única conta — e é exatamente isso que um gerenciador de senhas torna viável.

O que é entropia em bits?

É a medida de quantas tentativas um atacante precisaria fazer: n bits de entropia significam 2 elevado a n combinações igualmente prováveis. Cada bit a mais dobra o trabalho do atacante. Nesta página, a senha aleatória tem entropia igual a tamanho × log2(tamanho do pool de caracteres), e a frase-senha, palavras × log2(250). Como régua prática, o medidor classifica: abaixo de 45 bits é fraca, de 45 a 59 razoável, de 60 a 79 forte e 80 ou mais excelente — assumindo um ataque offline a 10 bilhões de tentativas por segundo. Importante: a entropia vem do processo de sorteio, não da aparência da senha.

## outras ferramentas