"Maria123" é quebrada em 0,5 segundo. "Maria@2026!" é quebrada em 4 horas. "Vqx7&pK!2nLm9$Bw" leva 200 milhões de anos. A diferença entre as três? Uma equação chamada entropia.
Este artigo mostra como criar senhas que resistem a 2026 — incluindo a única senha que você precisa decorar pra sempre: a chave mestra do seu cofre.
O que torna uma senha forte (matematicamente)
Força de senha = tamanho × variedade de caracteres × imprevisibilidade.
- Tamanho: cada caractere extra dobra (ou mais) o tempo de quebra. 12 caracteres é mínimo; 16+ é o recomendado em 2026.
- Variedade: misturar maiúsculas + minúsculas + números + símbolos amplia o alfabeto de ataque.
- Imprevisibilidade: senha gerada aleatoriamente vence senha "criativa" — porque criatividade humana é previsível.
3 estratégias que funcionam
Estratégia 1 — Senha aleatória de 16+ caracteres (a melhor)
Use o gerador do seu cofre. Exemplo: Vqx7&pK!2nLm9$Bw. Você não precisa decorar — o cofre preenche.
Quando usar: em todos os sites menos o cofre em si.
Estratégia 2 — Passphrase de 4-6 palavras (para a chave mestra)
4 palavras aleatórias têm mais entropia que 12 caracteres aleatórios e são memoráveis. Exemplo do método Diceware: azulejo-conveniente-marsupial-trovoada.
Para tornar mais forte, capitalize uma palavra e adicione um símbolo aleatório:
Azulejo-conveniente-Marsupial!7-trovoadaQuando usar: chave mestra do cofre, senha do dispositivo, conta de e-mail principal.
Estratégia 3 — Frase pessoal modificada
Pegue uma frase que só você sabe e modifique de forma sistemática. Exemplo:
- Frase: "Meu cachorro Rex nasceu em 2017 e mora em Porto"
- Pegando a primeira letra de cada palavra:
McRne2017emePorto - Adiciona símbolo:
McRne2017emePorto!
Cuidado: frases óbvias (letra de música popular, ditado, citação famosa) caem em ataques de dicionário. Use frase pessoal de fato — ninguém na internet sabe.
Sete erros que matam qualquer senha
- Reusar a mesma em vários sites. Um vazamento = todos comprometidos.
- Usar palavras de dicionário sem modificação. Quebrado em segundos.
- Trocar letras por números óbvios (a→@, e→3, o→0). Ataques sabem isso desde 1995.
- Datas, nomes próprios, time de futebol. Engenharia social acha em 5 minutos no Facebook.
- Padrões de teclado (qwerty, 123456, asdf). Estão no top 100 de toda lista de senhas vazadas.
- Trocar mensalmente (forçada). NIST mudou recomendação em 2017: troca obrigatória diminui segurança porque usuários fazem variações fracas.
- Anotar em planilha sem criptografia. Detalhamos isso em por que parar de usar planilha de senhas.
Quanto tempo leva pra quebrar a sua?
Estimativas baseadas em ataque offline com hardware atual (RTX 4090 — várias bilhões de hashes/seg):
| Senha | Tempo |
|---|---|
| 123456 | instantâneo |
| Maria123 | 0,5 segundo |
| Maria@2026! | ~4 horas |
| McRne2017emePorto! | ~50 mil anos |
| Vqx7&pK!2nLm9$Bw | ~200 milhões de anos |
| azulejo-Marsupial!7-trovoada | ~1 trilhão de anos |
Atenção: esses números caem drasticamente se o site usar hash fraco (MD5, SHA-1 sem salt). É por isso que escolher serviços que usam Argon2id/bcrypt importa.
A chave mestra do cofre é a senha mais importante da sua vida
Quando você usa um gerenciador, todas as outras senhas estão protegidas pela master password. Se ela cair, tudo cai. Por isso ela merece tratamento especial:
- Use passphrase de 5+ palavras aleatórias (não letra de música)
- Adicione 1 símbolo e 1 número fora do padrão "no fim"
- Anote em local físico seguro (cofre, gaveta trancada). Não no Drive, não no Notes, não no e-mail.
- Considere split-knowledge: parte da chave fica com cônjuge ou advogado
O Virtuault usa Argon2id com 64 MB de memória e 8 iterações para derivar a chave criptográfica da sua master password — é o padrão recomendado pelo OWASP em 2026.
2FA é tão importante quanto a senha forte
Mesmo a senha mais forte cai por phishing ou keylogger. 2FA por app autenticador (TOTP) é o seguro extra — bloqueia até quem tem sua senha.
Não use SMS sempre que possível: SIM swap é um ataque real e crescente no Brasil.
Pare de inventar senhas — gere
Crie sua conta no Virtuault e use o gerador para fazer senhas únicas de 16+ caracteres em 1 clique para cada site. Criar conta grátis →