Verificador de Força de Senha

Entropia estimada e tempo de quebra para qualquer senha.

Nada do que você digita é enviado ao servidor — tudo roda no seu navegador.

Entropia
Tempo de ataque offline
Classificação

    O que torna uma senha forte

    A força é medida em bits de entropia — grosso modo, quantos palpites um atacante precisa para quebrar a senha por força bruta. Cada bit extra dobra os palpites. Qualquer coisa abaixo de 40 bits é fraca; 60+ é segura contra ataques offline; 80+ é exagero para a maioria das finalidades.

    Comprimento vence complexidade. 'correct horse battery staple' — quatro palavras comuns aleatórias — tem mais entropia e é mais fácil de lembrar do que 'P@ssw0rd!' Esta última atende toda regra de 'misturar símbolos', mas está em todo dicionário de quebra. Melhor: use um gerenciador de senhas para gerar strings aleatórias únicas de 20 caracteres para cada conta. Você só precisa lembrar a senha mestra do gerenciador.

    Frequently asked questions

    Como a força da senha é medida?
    Entropia em bits. Cada bit adicional dobra o número de palpites necessários. Uma senha com 40 bits de entropia leva cerca de um trilhão de tentativas para ser quebrada por força bruta. Abaixo de 30 bits é fraca; 60+ é forte; 80+ é exagero para a maioria dos propósitos de consumidor. A entropia depende do comprimento e da variedade do conjunto de caracteres.
    'P@ssw0rd!' é uma senha forte?
    Não. Tem entropia decente no papel, mas está em todo dicionário de quebra de senhas — o padrão 'adicionar números e pontuação a palavras comuns' é a primeira coisa que os atacantes tentam. A aleatoriedade verdadeira importa mais do que a mistura do conjunto de caracteres. Uma passphrase aleatória de 6 palavras (usando diceware ou similar) supera facilmente.
    O que realmente quebra senhas?
    Três ataques, em ordem aproximada: (1) credential stuffing — atacantes reutilizam senhas vazadas em outros sites, por isso senhas nunca reutilizadas importam mais do que senhas fortes; (2) phishing — te enganando para que você digite em algum lugar; (3) força bruta — só relevante para senhas fracas ou ataques offline em hashes roubados. Um gerenciador de senhas mais 2FA derrota 1 e 2.
    Devo usar um gerenciador de senhas?
    Sim, sem ambiguidade. Os gratuitos (Bitwarden, KeePass) são excelentes. Um gerenciador de senhas permite usar senhas aleatórias únicas de 20 caracteres em todo lugar sem precisar lembrar nenhuma delas. Combinado com 2FA por hardware (YubiKey) ou TOTP (Authy/Google Authenticator), isso derrota >99% dos ataques do mundo real.

    Quitar Cartão de Crédito

    Meses para quitar e juros totais, de duas formas.

    Salário Líquido

    Salário líquido após impostos federais, FICA e estaduais.

    Refinanciamento

    Quando a economia mensal cobrirá os custos de fechamento?