Tools Blog

Como gerar senhas indecifráveis ​​(e por que os geradores on-line são arriscados)

Secure Password Generation

Todos conhecemos as regras: use uma mistura de letras maiúsculas, números e símbolos. Não use "senha123". Mas à medida que o poder computacional aumenta e os ataques de força bruta impulsionados pela IA se tornam mais sofisticados, as regras para o que constitui uma palavra-passe “segura” estão a mudar.

O poder da entropia

Na criptografia, a força da senha é medida em entropia. Ele calcula quantas combinações possíveis um invasor teria que adivinhar para quebrar a senha. Os dois fatores que definem a entropia são o comprimento da senha e o conjunto de caracteres usados.

Uma senha de 16 caracteres feita inteiramente de letras minúsculas é, na verdade, exponencialmente mais difícil de decifrar do que uma senha de 8 caracteres repleta de números e símbolos. O comprimento supera a complexidade.

Gere senhas seguras com segurança

Crie senhas criptograficamente fortes offline. Nosso gerador do lado do cliente garante que sua nova senha nunca saia do seu dispositivo.

Abra o gerador de senha offline

O perigo oculto dos geradores de senhas na nuvem

Se você pesquisar "gerador de senha" no Google, encontrará centenas de sites que oferecem a criação de uma string segura para você. No entanto, há uma falha fundamental na maioria deles: eles geram a senha no servidor back-end e a enviam para o seu navegador.

Por que isso é ruim?

  • Logs do servidor: o servidor que gera a senha pode estar registrando-a. Se esse banco de dados for hackeado, sua senha “segura” será exposta antes mesmo de você usá-la.
  • Interceptação de rede: mesmo por HTTPS, o envio de senhas em texto simples pela Internet apresenta riscos desnecessários.
  • Rastreamento: sites maliciosos podem vincular a senha gerada ao seu endereço IP e ao site específico que você está tentando acessar.

A solução do lado do cliente

A única maneira verdadeiramente segura de usar um gerador de senhas baseado na Web é se ele operar 100% no lado do cliente. Isso significa usar a API crypto.getRandomValues() do JavaScript diretamente no seu navegador.

Quando você gera uma senha no lado do cliente, nenhum dado é enviado pela rede. A senha nasce na sua máquina e permanece na sua máquina, garantindo absoluta privacidade criptográfica.