Como Criar Senhas Fortes e Fáceis de Lembrar
Aprenda a criar senhas fortes usando frases-senha, técnica diceware e boas práticas. Veja exemplos práticos e entenda a entropia de senhas.
A maioria das pessoas sabe que precisa de senhas fortes, mas na prática continua usando "123456", o nome do cachorro ou a data de aniversário. Em 2025, 71% dos ataques cibernéticos globais exploraram credenciais fracas ou roubadas, segundo o IBM X-Force. No Brasil, com 315 bilhões de tentativas de ataque em seis meses, senhas fracas são praticamente um convite aberto para invasores.
A boa notícia é que criar senhas fortes não exige ser um especialista em segurança. Neste artigo, você vai aprender técnicas práticas para criar senhas que são ao mesmo tempo muito seguras e fáceis de lembrar. Vamos também desmistificar conceitos como entropia e mostrar por que algumas estratégias populares são menos eficazes do que parecem.
Anatomia de uma senha forte
Antes de criar senhas, é importante entender o que torna uma senha forte. Existem dois fatores principais: comprimento e imprevisibilidade.
Comprimento é mais importante que complexidade
Uma senha de 8 caracteres com letras maiúsculas, minúsculas, números e símbolos (como "P@ssw0rd") parece complexa, mas pode ser quebrada em poucas horas por um computador moderno. Uma senha de 20 caracteres usando apenas letras minúsculas (como "gatoverdecasachuvamar") levaria milhões de anos para ser quebrada por força bruta.
Isso acontece porque cada caractere adicional multiplica exponencialmente o número de combinações possíveis. Veja a diferença:
| Comprimento | Apenas minúsculas | Minúsc. + maiúsc. + números + símbolos | Tempo para quebrar (força bruta) |
|---|---|---|---|
| 6 caracteres | 309 milhões | 735 milhões | Segundos |
| 8 caracteres | 209 bilhões | 6 trilhões | Minutos a horas |
| 12 caracteres | 95 quatrilhões | 19 sextilhões | Séculos |
| 16 caracteres | 43 sextilhões | 120 octilhões | Milhões de anos |
| 20 caracteres | 20 octilhões | 630 decilhões | Bilhões de anos |
💡 Dica: foque primeiro no comprimento. Uma senha longa e simples é mais segura que uma senha curta e "complexa". O mínimo recomendado em 2026 é 14 caracteres.
Imprevisibilidade: o fator decisivo
Comprimento sem aleatoriedade não adianta. "aaaaaaaaaaaaaaa" tem 15 caracteres, mas é trivial de adivinhar. O mesmo vale para sequências como "123456789012345" ou frases conhecidas como "seráqueéumaboacombinação".
A imprevisibilidade vem de combinar elementos que não têm relação lógica entre si. Palavras aleatórias, combinações inusitadas e elementos que só fazem sentido para você.
A técnica de frases-senha (passphrases)
Frases-senha são a forma mais eficaz de criar senhas que são simultaneamente muito fortes e memorizáveis. Em vez de uma palavra modificada com números e símbolos, você usa uma combinação de palavras aleatórias.
Como criar uma frase-senha
- Escolha de 4 a 6 palavras completamente aleatórias
- Combine-as com um separador (hífen, ponto, espaço)
- Opcionalmente, adicione um número ou símbolo em algum ponto
Exemplos de frases-senha fortes:
- cadeira-azul-telescópio-manga-42
- elefante.nuvem.guitarra.cachoeira
- bicicleta vapor controle abacaxi neve
- martelo!chuva!relógio!planeta!futebol
Cada uma dessas senhas tem mais de 30 caracteres e uma entropia (medida de imprevisibilidade) altíssima, mas é relativamente fácil de memorizar porque forma uma imagem mental.
Por que funciona
O dicionário de português tem cerca de 300 mil palavras. Se você escolhe 5 palavras aleatórias, o número de combinações possíveis é 300.000^5, o que resulta em um número astronômico. Mesmo com ataques de dicionário (que testam palavras inteiras em vez de caracteres individuais), esse número é praticamente impossível de cobrir.
Dicas para memorização
Crie uma imagem mental absurda com as palavras escolhidas. Quanto mais estranha a imagem, mais fácil de lembrar. "cadeira azul telescópio manga" vira uma cena de uma cadeira azul olhando pelo telescópio enquanto come manga. Estranho? Sim. Memorável? Também.
O método Diceware
Diceware é a versão mais rigorosa das frases-senha. Em vez de escolher palavras "aleatoriamente" na sua cabeça (o que nunca é verdadeiramente aleatório), você usa dados físicos.
Como funciona
- Pegue uma lista de palavras Diceware (existem listas em português com 7.776 palavras)
- Jogue cinco dados (ou um dado cinco vezes) para cada palavra
- O resultado dos dados indica qual palavra da lista usar
- Repita para 5 ou 6 palavras
Por exemplo, se os dados mostrarem 3-4-2-1-5, você vai até a posição 34215 na lista e encontra uma palavra específica. Repita o processo para cada palavra da senha.
Por que dados? Porque seres humanos são péssimos geradores de aleatoriedade. Quando tentamos escolher palavras "aleatórias", tendemos a seguir padrões inconscientes. Dados físicos eliminam esse viés completamente.
Entropia do Diceware
Cada palavra Diceware adiciona ~12,9 bits de entropia (medida de imprevisibilidade). Uma frase de 5 palavras tem ~64,5 bits. Uma de 6 palavras tem ~77,5 bits. Para referência:
| Bits de entropia | Nível de segurança | Tempo para quebrar |
|---|---|---|
| 40 bits | Fraco | Horas a dias |
| 50 bits | Moderado | Semanas |
| 60 bits | Bom | Anos |
| 70 bits | Forte | Séculos |
| 80+ bits | Muito forte | Milhões de anos |
Recomendação: use pelo menos 5 palavras Diceware para contas comuns e 6 ou mais para senhas mestres de gerenciadores.
O que NÃO fazer ao criar senhas
Algumas práticas populares parecem seguras, mas oferecem pouca proteção real:
Substituições previsíveis
Trocar "a" por "@", "e" por "3", "o" por "0" (leet speak) parece esperto, mas os programas de quebra de senha já conhecem todas essas substituições. "P@ssw0rd" é quase tão fácil de quebrar quanto "Password".
Adicionar "123" ou "!" no final
Colocar números ou símbolos no final de uma palavra simples é uma das estratégias mais previsíveis. Programas de ataque testam essas variações automaticamente.
Usar informações pessoais
Nome do pet, data de nascimento, time de futebol, nome dos filhos, cidade natal. Todas essas informações podem ser descobertas em redes sociais ou engenharia social. Nunca use dados pessoais em senhas.
Reutilizar senhas entre serviços
Essa é a regra mais importante: cada conta precisa ter sua própria senha. Com 71% dos ataques explorando credenciais roubadas, reutilizar senhas é como usar a mesma chave para casa, carro, escritório e cofre do banco. Perdeu uma, perdeu todas.
Senhas de apenas uma palavra (mesmo longa)
Palavras que existem no dicionário, mesmo que longas como "paralelepípedo", são vulneráveis a ataques de dicionário. Esses ataques testam todas as palavras conhecidas antes de partir para força bruta.
⚠️ Atenção: as 10 senhas mais usadas no mundo em 2025 continuam sendo variações de "123456", "password", "qwerty" e sequências simples. Se sua senha está nessa lista, troque agora.
As senhas mais comuns (e por que evitá-las)
Veja as senhas mais encontradas em vazamentos de dados recentes:
| Posição | Senha | Tempo para quebrar |
|---|---|---|
| 1 | 123456 | Menos de 1 segundo |
| 2 | 123456789 | Menos de 1 segundo |
| 3 | password | Menos de 1 segundo |
| 4 | 12345678 | Menos de 1 segundo |
| 5 | qwerty123 | Menos de 1 segundo |
| 6 | 1234567890 | Menos de 1 segundo |
| 7 | 111111 | Menos de 1 segundo |
| 8 | abc123 | Menos de 1 segundo |
| 9 | senha123 | Menos de 1 segundo |
| 10 | brasil2025 | Segundos |
Se qualquer senha sua se parece com as da tabela acima, troque imediatamente. Use a técnica de frases-senha para criar algo forte e memorável.
Entropia explicada de forma simples
Entropia é a medida matemática de quão imprevisível uma senha é. Quanto maior a entropia, mais difícil de quebrar.
Pense assim: se você joga uma moeda, o resultado (cara ou coroa) tem 1 bit de entropia. Se joga dois dados, existem 36 combinações possíveis, o que dá cerca de 5,2 bits de entropia.
Para senhas, a entropia depende de dois fatores:
- Tamanho do conjunto de caracteres (26 letras, 10 números, símbolos, etc.)
- Comprimento da senha
A fórmula é: entropia = comprimento x log2(tamanho do conjunto)
Na prática, você não precisa fazer cálculos. Basta lembrar:
- Senha de 8 caracteres aleatórios (maiúsculas + minúsculas + números + símbolos) = ~52 bits = razoável
- Frase-senha de 4 palavras Diceware = ~52 bits = equivalente, mas mais fácil de lembrar
- Frase-senha de 5 palavras Diceware = ~65 bits = forte
- Frase-senha de 6 palavras Diceware = ~78 bits = muito forte
Testando a força da sua senha
Existem ferramentas que estimam quanto tempo levaria para quebrar sua senha. Use com cautela:
Ferramentas confiáveis:
- Indicador de força do Bitwarden (integrado ao gerador de senhas)
- zxcvbn (biblioteca usada por muitos sites, que reconhece padrões comuns)
Cuidados ao testar:
- Nunca digite sua senha real em sites desconhecidos de "teste de senha"
- Use variações similares (mesmo comprimento e estrutura) para ter uma ideia
- O melhor indicador de força é a técnica usada, não a ferramenta de teste
💡 Dica: se você usou a técnica de frases-senha com 5+ palavras verdadeiramente aleatórias, sua senha já é forte o suficiente para qualquer uso pessoal. Não precisa testar.
Quando trocar senhas
A recomendação antiga de trocar senhas a cada 90 dias está ultrapassada. O NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) atualizou suas diretrizes: senhas fortes e únicas não precisam ser trocadas periodicamente.
Troque sua senha apenas quando:
✅ O serviço sofreu um vazamento de dados (verifique no PassMonitor)
✅ Você suspeita que alguém teve acesso à sua conta
✅ Você compartilhou a senha com alguém e quer revogar o acesso
✅ A senha é fraca e precisa ser atualizada
✅ Faz mais de 1 ano sem trocar (como precaução geral)
Trocar senhas frequentemente sem necessidade costuma levar a senhas mais fracas (porque fica difícil memorizar tantas trocas) e reutilização.
Frases-senha vs. senhas aleatórias: qual usar quando
Ambas têm seu lugar. Veja quando usar cada uma:
| Cenário | Recomendação | Por quê |
|---|---|---|
| Senha mestre do gerenciador | Frase-senha (6+ palavras) | Precisa memorizar. Não pode anotar |
| Login do computador/celular | Frase-senha (4+ palavras) ou PIN longo | Digitada frequentemente |
| Contas online (redes sociais, e-mail) | Senha aleatória (16+ caracteres) | Gerenciador preenche automaticamente |
| Wi-Fi de casa | Frase-senha (5+ palavras) | Precisa compartilhar verbalmente com visitas |
| Contas de trabalho | Senha aleatória (16+ caracteres) | Gerenciador preenche, segurança máxima |
Para contas online comuns, a melhor estratégia é usar um gerenciador de senhas que gera e armazena senhas aleatórias de 16 a 20 caracteres. Você não precisa memorizar nenhuma delas.
Reserve as frases-senha para os poucos casos em que realmente precisa memorizar: a senha mestre do gerenciador, o PIN do celular e talvez o login do computador.
Guia rápido: criando sua primeira frase-senha
Siga este passo a passo agora:
- Pense em 5 palavras completamente sem relação entre si (ou use dados para escolher da lista Diceware)
- Combine as palavras com hífens: mesa-tigre-violino-praia-foguete
- Opcionalmente, adicione um número que faça sentido para você: mesa-tigre-violino-praia-foguete-73
- Crie uma imagem mental absurda: uma mesa com um tigre tocando violino na praia ao lado de um foguete
- Repita mentalmente algumas vezes para fixar
Pronto. Você criou uma senha com mais de 35 caracteres, entropia de mais de 65 bits e que vai lembrar amanhã.
Para proteger todas as suas outras contas, configure um gerenciador de senhas e use a autenticação em dois fatores como camada adicional. Veja como no nosso guia sobre autenticação em dois fatores.
🔐 Sua senha forte não adianta se já foi vazada. Antes de criar novas senhas, verifique no PassMonitor quais dos seus dados já foram expostos. Assim, você sabe exatamente quais contas precisam de atenção imediata.
Conclusão
Criar senhas fortes é mais simples do que parece quando você entende os princípios. Comprimento supera complexidade. Frases-senha vencem senhas curtas com símbolos. E um gerenciador de senhas elimina a necessidade de memorizar dezenas de combinações.
O custo médio de um vazamento de dados no Brasil em 2025 foi de R$ 7,19 milhões, e 40% dos brasileiros já foram alvo de fraude. Dedicar 10 minutos para fortalecer suas senhas pode evitar meses de problemas.
Comece agora: crie uma frase-senha forte para seu gerenciador e substitua progressivamente suas senhas antigas. Para um roteiro completo de proteção digital, acesse nosso guia pilar: Como Proteger Suas Senhas em 2026.
Verifique seus dados no PassMonitor e saiba onde sua segurança precisa de reforço.