Como criar senha forte em 2026 (e por que gerador é melhor que você inventar)

Por que humanos são péssimos em inventar senhas

Cérebro humano busca padrões. Toda senha 'inventada' tem padrões previsíveis: substituições óbvias (a→@, e→3, o→0), palavras conhecidas, datas significativas, sequências de teclado (qwerty, asdf).

Atacante moderno usa dictionary attack com regras: começa com listas de senhas comuns, aplica todas as variações de substituição/capitalização/sufixo. 'Senha123!' é quebrada em segundos. 'P@ssw0rd2024' também. 'CorrectHorseBatteryStaple' do XKCD precisa de mais tempo (8 chars × 4 palavras = ~44 bits de entropia) mas listas customizadas para frases comuns tornam isso vulnerável também.

Solução: NÃO INVENTE — gere randomicamente.

A matemática: entropia e tempo de quebra

Entropia (em bits) mede a 'imprevisibilidade' real da senha. Cada bit dobra o número de tentativas possíveis.

Fórmula simplificada: log₂(N^L), onde N é o número de caracteres possíveis e L é o comprimento.

Exemplos:

• 8 chars apenas minúsculos (26 chars possíveis): log₂(26^8) = ~37 bits — quebrado em segundos.
• 8 chars com maiúscula+minúscula+números (62 possíveis): log₂(62^8) = ~47 bits — minutos a horas.
• 12 chars com símbolos (95 possíveis): log₂(95^12) = ~78 bits — anos.
• 16 chars com símbolos: log₂(95^16) = ~105 bits — séculos com hardware atual.
• Diceware 5 palavras (lista 7776 palavras): log₂(7776^5) = ~64 bits — décadas.

Recomendações por contexto (2026)

Banco/financeiro: 16+ chars com símbolos (~100 bits). Habilite MFA OBRIGATÓRIO.

E-mail principal: 16+ chars. É a senha mais crítica — se invadida, atacante reseta todas as outras via 'esqueci minha senha'.

Trabalho corporativo: 14+ chars com símbolos. Siga política de segurança da empresa.

Sites secundários (forum, comércio esporádico): 12+ chars. Use gerenciador de senhas — não tente memorizar.

Senha mestra do gerenciador: 20+ chars OU 5+ palavras Diceware. É a única que você precisa decorar — invista tempo nela.

Web Crypto API: por que importa para gerador de senha

Geradores antigos usavam `Math.random()` — mas Math.random é PSEUDO-aleatório, não criptograficamente seguro. Atacante com seed pode prever a saída.

Web Crypto API (`crypto.getRandomValues()`) usa o gerador criptograficamente seguro do sistema operacional (CSPRNG). Mesmo padrão usado para gerar chaves SSL/TLS.

O Password Generator do Quorify usa Web Crypto API obrigatoriamente. Ferramentas de baixa qualidade ainda usam Math.random — sempre verifique.

Senhas memorizáveis: Diceware (passphrase)

Para senha mestra do gerenciador (única que você decora), Diceware é melhor que string aleatória curta:

1. Tenha lista Diceware (7776 palavras numeradas).
2. Role 5 dados de seis lados, anote o número.
3. Repita 5+ vezes para gerar 5 palavras.
4. Pegue a palavra correspondente em cada série.
5. Junte: 'cavalo correto bateria grampo seguro' (~64 bits — excelente para senha mestra). 6 palavras = ~78 bits, 7+ = paranoia (~90+ bits).

Use SEMPRE gerenciador de senhas

Memorizar 100 senhas únicas é impossível. Reciclar é insegurança. Solução: gerenciador.

Recomendados em 2026:

• Bitwarden — open-source, plano gratuito generoso, sincroniza tudo.
• 1Password — UX premium, foco em famílias e equipes.
• Apple Keychain / Google Password Manager — gratuito, integrado ao OS, mas locked-in no ecossistema.
• KeePass — open-source 100%, sem cloud (você gerencia o arquivo .kdbx). Para paranoicos técnicos.

MFA e Passkey: o futuro pós-senha

MFA (Multi-Factor Authentication): ative SEMPRE. Mesmo senha vazada, atacante precisa do segundo fator (TOTP via Authy/Google Authenticator > SMS que pode ser SIM-swappado).

Passkeys: padrão moderno baseado em criptografia assimétrica. Substitui senha por par chave-pública/privada armazenado no dispositivo. Em 2026, Apple, Google, Microsoft suportam — adote sempre que disponível.

Mesmo com Passkey/MFA, sites legados ainda exigem senha. Continue usando gerador para essas.

Erros que ainda cometem em 2026

Reaproveitar senha entre sites: vazamento de um site invadiu sua conta em 50 outros via credential stuffing.

Sequência prevista (Empresa@2026, Empresa@2027): atacante automatiza incremento de ano.

Compartilhar senha por WhatsApp/SMS (texto puro): logs ficam, screenshots vazam. Use compartilhamento seguro do gerenciador.

Salvar senha em planilha sem criptografia: planilha vaza, todas as senhas vão junto.

Não rotacionar após vazamento conhecido: receber e-mail 'sua senha vazou' e ignorar.

Senha mestra fraca no gerenciador: anula todo o ganho — gerenciador é tão seguro quanto sua senha mestra.

Conclusão

Senha forte em 2026 é gerada randomicamente com entropia ≥80 bits, armazenada em gerenciador, NUNCA reaproveitada entre sites, e protegida por MFA quando possível. Use o Password Generator do Quorify (Web Crypto API, processamento local) para gerar senhas fortes. Adote Bitwarden ou 1Password como gerenciador. Ative MFA em TODA conta sensível (banco, email, trabalho). Para projetos onde você implementa autenticação, NUNCA armazene SHA puro — leia MD5 vs SHA: qual hash usar quando para entender por quê. Para gerar IDs únicos não-secretos, use UUID Generator.