A Matemática da Força das Senhas

A força de uma senha é um número. Claude Shannon formalizou isto em 1948 como entropia da informação, medida em bits. Cada bit duplica o número de combinações possíveis que um atacante precisa tentar. Uma senha gerada aleatoriamente a partir de 76 caracteres (maiúsculas, minúsculas, dígitos e 14 símbolos) carrega aproximadamente 6,25 bits de entropia por caractere. Uma senha de 16 caracteres contém, portanto, cerca de 100 bits de entropia: 2¹⁰⁰ combinações possíveis, um número com 31 dígitos.

A consequência prática é exponencial. Uma senha de 20 caracteres deste gerador contém aproximadamente 125 bits de entropia, o que significa que um atacante precisaria tentar cerca de 10³⁷ combinações para garantir encontrá-la. A um trilhão de tentativas por segundo, o tempo esperado de busca excede a idade atual do universo por um fator de bilhões. O comprimento é a variável dominante. Adicionar quatro caracteres faz mais pela segurança do que mudar de alfabético para alfanumérico.

O Comprimento Vence Exponencialmente

Adicionar um caractere a uma senha aleatória multiplica o espaço de busca por 76. Adicionar quatro caracteres multiplica por 76⁴, que é aproximadamente 33 milhões. Essa escala exponencial é o motivo pelo qual o comprimento importa muito mais do que substituições engenhosas. Substituir "a" por "@" numa senha escolhida por humanos adiciona praticamente zero de entropia porque os atacantes já incluem essa substituição nos seus dicionários. Adicionar quatro caracteres verdadeiramente aleatórios adiciona 25 bits de entropia. Vinte e cinco bits significam que o atacante precisa de 33 milhões de vezes mais tempo para percorrer o espaço.

A Publicação Especial 800-63B do NIST de 2024 recomenda priorizar o comprimento da senha em vez de regras de complexidade. A pesquisa por trás dessa diretriz descobriu que requisitos de complexidade (uma maiúscula, um dígito, um símbolo) produzem padrões previsíveis: Password1! satisfaz todas as regras enquanto aparece em milhões de bases de dados de credenciais vazadas. Uma sequência puramente aleatória de 16 caracteres não satisfaz nenhum padrão humano porque não tem nenhum a satisfazer. Este gerador garante todas as quatro classes de caracteres em cada senha e depois embaralha as posições com a mesma fonte criptográfica aleatória para que nenhuma posição seja previsível.

A Fonte Criptográfica

Cada caractere da sua senha origina-se de crypto.getRandomValues(), a API Web Cryptography especificada pelo W3C. Esta função extrai entropia de fontes de nível de hardware no seu dispositivo: ruído térmico, jitter de temporização elétrica e outros processos físicos enraizados na incerteza quântica. A saída passa por suítes rigorosas de testes estatísticos, incluindo NIST SP 800-22 e TestU01.

A garantia vai além do algoritmo. Esta é a mesma fonte de entropia que gera as chaves de sessão que protegem o seu banco online, as chaves efémeras em cada conexão HTTPS e os vetores de inicialização em mensagens encriptadas. Os fornecedores de navegadores auditam esta implementação incessantemente porque uma fraqueza aqui comprometeria todas as conexões seguras na web. A sua senha herda toda essa cadeia de garantia.

O Fator Humano

Investigadores da Carnegie Mellon analisaram milhões de senhas reais de bases de dados de vazamentos e encontraram um padrão impressionante. Senhas escolhidas por humanos concentram-se fortemente em torno de alguns milhares de estruturas comuns: nomes seguidos de anos, palavras de dicionário com substituições previsíveis, sequências de teclado como qwerty123. Esses padrões reduzem a entropia efetiva para 20-40 bits independentemente do comprimento nominal, porque os atacantes constroem dicionários exatamente a partir desses padrões.

Uma senha gerada por máquina elimina completamente o fator humano. Cada posição de caractere é extraída independentemente do conjunto completo de caracteres com probabilidade uniforme. Não há padrão a explorar, nenhum dicionário a consultar, nenhuma tendência psicológica a prever. O único ataque restante é a busca exaustiva em todo o espaço de chaves, e a matemática do crescimento exponencial torna essa busca inviável para qualquer comprimento razoável de senha.

Aritmética de Força Bruta

O painel de análise de força acima exibe estimativas de quebra em tempo real a três velocidades de ataque. O cenário de ataque online (1.000 tentativas por segundo) representa um serviço web com limitação de taxa. O cenário de hardware rápido (10 bilhões por segundo) representa um cluster de GPUs otimizado quebrando hashes offline. O cenário estatal (1 trilhão por segundo) representa um máximo teórico com infraestrutura dedicada. Com 100 bits de entropia, mesmo o cenário estatal requer aproximadamente 4 × 10¹⁸ anos. O sol esgotará o seu combustível de hidrogénio em cerca de 5 bilhões de anos. A sua senha sobrevive ao sistema solar.

Na Sala de Aula

A entropia de senhas oferece uma porta de entrada acessível para a teoria da informação. Peça aos alunos para visitarem /password/8 e anotarem a entropia, depois visitarem /password/16 e observarem que a entropia duplica exatamente. Cada caractere adicionado contribui com um número fixo de bits. Esta relação linear entre comprimento e entropia produz uma relação exponencial entre comprimento e segurança, um conceito que os alunos podem verificar comparando as estimativas de tempo de quebra em diferentes comprimentos.

Para um exercício mais aprofundado, compare senhas do dice83 com frases-passe diceware. Uma frase-passe de seis palavras carrega cerca de 77 bits de entropia. Uma senha aleatória de 12 caracteres carrega cerca de 75 bits. Ambas alcançam segurança semelhante através de mecanismos inteiramente diferentes: a frase-passe usa um conjunto grande (7.776 palavras) com poucas seleções; a senha usa um conjunto menor (76 caracteres) com mais seleções. O compromisso é memorabilidade versus força bruta, e compreender esse compromisso ensina aos alunos como a entropia realmente funciona. A ferramenta funciona inteiramente no navegador, não requer contas e não armazena dados dos alunos.

Privada por Arquitetura

Cada senha gerada nesta página existe apenas dentro do seu navegador. O servidor entrega o HTML, CSS e JavaScript que compõem a ferramenta. O seu dispositivo executa a geração. Em nenhum momento qualquer senha, senha parcial ou dado relacionado a senhas trafega por qualquer conexão de rede. O único registo persistente de uma senha está onde quer que você escolha colá-la após copiar.

Partilhar o URL da ferramenta é inerentemente seguro. Enviar a alguém o link /password/20 dá-lhe o mesmo gerador com a mesma configuração. O navegador dessa pessoa cria senhas inteiramente independentes a partir da sua própria fonte de entropia. O URL carrega a especificação da ferramenta. O seu dispositivo carrega o segredo.