Entropia de senhas explicada
A entropia é a forma honesta de medir quão forte é um segredo. Esta página explica o que ela significa, como é calculada, como se traduz em tempo de quebra e de quantos bits você realmente precisa.
O que a entropia realmente mede
A entropia é o número de possibilidades igualmente prováveis das quais um segredo foi escolhido, expresso em bits. Um bit significa duas possibilidades; dez bits significam 1.024; cada bit adicional dobra a contagem. Crucialmente, a entropia descreve o processo que criou o segredo, não os caracteres em si — um segredo só tem alta entropia se foi genuinamente escolhido ao acaso de um espaço grande.
Como a entropia é calculada
Para um segredo gerado aleatoriamente, a fórmula é simples: entropia em bits = comprimento × log2(número de opções por posição). Uma senha de comprimento L de um alfabeto de N caracteres tem L × log2(N) bits. Uma frase-senha de W palavras aleatórias de uma lista de P palavras tem W × log2(P) bits. Por exemplo, seis palavras de uma lista de 7.776 palavras dão 6 × log2(7776) ≈ 77 bits.
Por que segredos feitos por humanos têm menos entropia do que aparentam
A fórmula só vale quando cada escolha é independente e uniformemente aleatória. Uma senha que você mesmo inventa não é — ela segue padrões de linguagem, formatos de teclado e substituições comuns que os atacantes modelam. É por isso que uma senha “complexa” escolhida por você pode ser muito mais fraca do que o seu comprimento sugere, enquanto uma gerada por computador do mesmo comprimento é exatamente tão forte quanto a matemática diz.
Da entropia ao tempo de quebra
Cada bit dobra o número de tentativas necessárias no pior caso e, em média, um atacante encontra o segredo depois de tentar cerca de metade do espaço. Transformar isso em tempo exige pressupor uma taxa de tentativas, que varia enormemente: um login online limitado a algumas tentativas por segundo versus um ataque offline a um hash vazado executando bilhões por segundo. Como a taxa é uma suposição, trate os valores de tempo de quebra como comparações ilustrativas, não previsões precisas.
De quantos bits você precisa?
Como guia prático: cerca de 50 bits servem para logins de baixo valor e com limite de taxa; 70–80 bits são fortes para contas importantes e resistem à quebra offline; 100+ bits são adequados para senhas mestras e segredos de longa duração. O gerador deste site mostra a entropia exata conforme você ajusta as configurações, para que você escolha uma meta deliberadamente em vez de torcer para que um segredo “pareça forte o suficiente”.
Perguntas frequentes
Qual é uma boa entropia para uma senha?
Cerca de 70–80 bits são fortes para contas importantes e resistem à quebra offline. Use 100+ bits para senhas mestras e segredos de longa duração, e 50 bits são aceitáveis para logins de baixo valor e com limite de taxa.
Como a entropia é calculada?
Para um segredo aleatório, é comprimento × log2(opções por posição): caracteres × log2(tamanho do alfabeto) para uma senha, ou palavras × log2(tamanho da lista) para uma frase-senha.
Por que os medidores de força discordam da entropia?
Os medidores de força estimam por correspondência de padrões, o que subestima segredos verdadeiramente aleatórios e superestima os previsíveis. Quando um segredo é gerado aleatoriamente, a entropia exata é conhecida e mais confiável.
Um segredo mais longo sempre tem mais entropia?
Apenas se o comprimento adicional for aleatório. Acrescentar uma palavra previsível ou “1!” adiciona pouca entropia real; adicionar uma palavra aleatória ou caracteres aleatórios adiciona uma quantidade conhecida.
O tempo de quebra é um número exato?
Não. Ele depende de uma taxa de tentativas pressuposta que vai de algumas por segundo online a bilhões por segundo offline. Use os valores de tempo de quebra como comparações, não previsões precisas.