Gere uma senha forte e aleatória com um clique. Ajuste o comprimento e as classes de caracteres para corresponder à política do site de destino. A aleatoriedade vem da API Web Crypto do navegador — sua senha nunca sai da sua máquina.
Humanos são ruins em criar aleatoriedade. Escolher sua própria senha quase sempre resulta em algo previsível — um nome, uma data, um padrão de teclado. Um gerador extrai entropia real da fonte aleatória segura do sistema operacional, o que torna o resultado impossível de adivinhar para um atacante exceto por busca exaustiva.
Comprimento importa mais que complexidade. Uma senha de 20 caracteres apenas em minúsculas (~94 bits) é mais difícil de quebrar que uma de 8 caracteres usando as quatro classes (~52 bits). Mire em pelo menos 80 bits de entropia para contas gerais e 120+ bits para qualquer coisa que proteja suas outras senhas (senha mestra, chave de recuperação).
Não. A geração usa crypto.getRandomValues() no seu navegador. A senha é mantida apenas em memória e nunca transmitida. Fechar a aba a descarta.
É uma medida de quão imprevisível uma senha é. Cada bit dobra o espaço de busca para um atacante. 80 bits de entropia significam que um atacante precisaria tentar na ordem de 2^80 (~1,2 quatrilhões de bilhões) senhas para forçá-la — inviável com hardware atual.
Caracteres como a letra 'I' e o dígito '1', ou a letra 'O' e o dígito '0', parecem idênticos em muitas fontes. Excluí-los facilita a leitura e digitação manual se necessário. A contrapartida é uma pequena redução de entropia.
Para credenciais que você tem que digitar (login do laptop, senha mestre de um cofre), uma frase-senha de 5-7 palavras de uma lista longa atinge ~70-90 bits de entropia e é muito mais fácil de lembrar que uma string aleatória da mesma força. Para todo o resto — logins de sites, chaves de API — deixe seu gerenciador de senhas gerar e armazenar uma aleatória de 16+ caracteres que você nunca digita.
A orientação moderna (NIST SP 800-63B) é trocar apenas em caso de suspeita de comprometimento, não em cronograma fixo. A rotação periódica forçada empurra as pessoas para variações previsíveis (Primavera2026!, Verão2026!) mais fracas que a original. Em vez disso: escolha uma senha forte e única por site, guarde num gerenciador, e só troque se o site notificar uma violação ou você notar atividade suspeita.
Quando você realmente precisa de uma nova senha forte.
Gere uma senha aleatória de 16 caracteres, cole uma vez no formulário de cadastro e guarde no seu gerenciador. Você nunca mais a digita.
Se um site que você usa aparece no haveibeenpwned, gere aqui uma nova senha e atualize tanto o site quanto seu gerenciador — nunca reutilize uma vazada.
Precisa de um segredo JWT, chave de API ou chave de cookie de sessão para um projeto pessoal? Gere uma string mista de 32 caracteres e cole no seu .env.
Precisa de um código de desbloqueio memorável mas forte? Mude para apenas dígitos, escolha 6-8 caracteres e evite sequências óbvias (1234, seu ano de nascimento).
Hábitos que transformam uma senha gerada em uma que de fato te protege.
Uma senha aleatória de 20 caracteres é inútil se está num post-it. 1Password, Bitwarden ou o cofre embutido do navegador funcionam — escolha um e use em cada site.
20 letras minúsculas têm mais entropia que 12 caracteres com mixed-case-symbol. Se um site rejeita sua senha por ser longa demais, é uma red flag de como ele a armazena.
Excluir 1/I e 0/O sacrifica um pouco de entropia. Faça isso só se você precisa de fato ler a senha na tela — para fluxos só de colar, mantenha-os.
Uma senha gerada única protege contra credential stuffing. Adicionar TOTP ou passkey em cima protege também contra phishing e vazamentos. Ative 2FA onde for oferecido.