Entropia (em bits) mede, de forma logarítmica, o espaço de busca que um atacante precisa explorar se tentar todos os candidatos igualmente prováveis. Senhas curtas com símbolos “estranhos” ainda podem ser fracas se forem previsíveis ou se o serviço não armazenar hash adequado.

Modelo simplificado

Se cada caractere vem de um alfabeto de N símbolos equiprováveis e há L posições, o espaço é N^L e a entropia aproximada é L * log2(N) bits — supondo aleatoriedade real.

Ataques offline versus online

  • Online: o servidor pode limitar tentativas; senhas medianas resistem.
  • Offline: vazamento de hash permite tentar milhões/bilhões por segundo na GPU — comprimento e aleatoriedade importam muito mais.

Passphrases

Quatro ou cinco palavras escolhidas de uma lista grande (ex.: 7.776 palavras) já produzem dezenas de bits de entropia com facilidade de digitação. Compare com senhas de 8 caracteres humanas (Senha2024!) que seguem padrões atacáveis por dicionário com regras.

Recomendações práticas

  1. Use gerenciador de senhas e senhas longas únicas por site.
  2. Ative 2FA onde disponível — senha forte não substitui segundo fator.
  3. Para PIN curto, dependa de canal com bloqueio (cartão chip, device lockout).

Ferramenta

Abrir gerador de senha no Cod3x Tools

Gere amostras com entropia estimada e exporte lotes apenas para ambientes controlados.