Pega a senha Senha123!. Ela tem tudo que mandaram a vida inteira: letra maiúscula, número e símbolo. Parece forte. E quebra em cerca de 10 segundos se o banco do site vazar. A Password1! é pior ainda: cai instantaneamente. A real é meio constrangedora: a maioria das “regrinhas de senha” que a gente aprendeu não mede segurança nenhuma.
Eu queria ver isso com número na frente — e ter uma forma honesta de explicar pra cliente por que “a senha tem símbolo” não é argumento. Então construí o PassGuard.
Por que complexidade de senha não é o mesmo que segurança?
O que torna uma senha difícil de quebrar não é ter um ! no fim — é ser imprevisível. Isso se mede em bits de entropia. E aqui mora a primeira armadilha: a conta bruta de entropia também mente quando existe um padrão humano.
- O mito da complexidade.
Senha123!usa 4 tipos de caractere e 9 posições — na conta bruta dá quase 60 bits, “forte”. Mas um ataque real não testa caractere por caractere: testa palavras + sufixos primeiro. O espaço de busca real é muito menor. - Padrões que você nem percebe. Sequências (
abcd,1234), padrões de teclado (qwerty), repetição (aaaa), um ano no fim (2024) — cada um derruba a força de novo. - A mesma senha, dois destinos. Isso é o que quase ninguém conta: o tempo de quebra depende de como o site guarda a sua senha. Num login com bloqueio,
Senha123!dura “anos”. Mas se o banco vaza e a senha estava num hash rápido, cai em segundos. E isso está fora do seu controle.
A solução: o PassGuard, sem enrolação
O PassGuard mede a entropia de verdade e desconta os padrões humanos que encolhem o espaço de busca — então Senha123! cai de “quase forte” para Razoável (41 bits), e o medidor já avisa o padrão. E o pulo do gato: ele mostra o tempo de quebra em três cenários — e revela que essa mesma senha “razoável” cai em ~10 segundos num vazamento. É o número único que engana.
É grátis, sem cadastro, e roda 100% no navegador — a sua senha não é enviada a lugar nenhum e nada é salvo.
O que o PassGuard mede e mostra?
- Entropia em bits + um medidor honesto. A nota reflete a força real, já descontados os padrões.
- O que está fraco. Ele aponta o padrão: “palavra comum + sufixo”, “sequência”, “teclado”, “repetição”, “ano”.
- Três velocidades de ataque. A mesma senha: site com limite (~mil tentativas/s) · vazamento + GPU (hash rápido, ~100 bilhões/s) · hash forte/bcrypt (~dez mil/s). É aí que a diferença aparece.
- Dicas acionáveis. O que adicionar pra subir de nível, na hora.
Como ter senhas realmente fortes
O resumo que eu daria pra qualquer cliente:
- Comprimento > complexidade. Uma frase-senha longa (4–5 palavras aleatórias) vence
P@ssw0rd!de lavada — e é mais fácil de lembrar. - Um gerenciador de senhas. Uma senha única e gigante por site, sem decorar. Assim o vazamento de um site não derruba todos os outros.
- 2FA onde der. Mesmo que a senha vaze, o segundo fator segura a porta.
Segurança de senha é um pedaço de um quadro maior — se você cuida de um site, vale ver também o guia de segurança de sites.
Perguntas frequentes
Senha com número e símbolo não é forte? Nem sempre. O que importa é a imprevisibilidade, não as regrinhas — “Senha123!” tem símbolo e quebra em segundos.
Como ele calcula? Entropia de charset descontando padrões humanos (palavra+sufixo, sequência, teclado, repetição, ano) + tempo de quebra em 3 velocidades.
É seguro digitar minha senha? Sim, roda 100% no navegador (nada é enviado nem salvo); ainda assim, teste com uma senha parecida.
Melhor forma de ter senhas fortes? Frases-senha longas + gerenciador (uma por site) + 2FA. Comprimento vale mais que complexidade.