Todos precisamos de estar atentos à criação de palavras-passe matematicamente impenetráveis. E se é uma das centenas de milhares de pessoas que utilizam nomes e datas de nascimento nas suas palavras-passe(nova janela), então chegou definitivamente o momento de reforçar a segurança do seu início de sessão.

Neste artigo, explicamos como estimar e melhorar a entropia da sua palavra-passe, o que é ótimo para a sua segurança online. Mas há um revés: maximizar a entropia de uma palavra-passe significa, essencialmente, torná-la impossível de memorizar. Como sempre, há um cartoon da XKCD(nova janela) que resume o problema.

Considerando a quantidade de serviços online nos quais nos registamos (pelo menos dezenas), é quase impossível para a pessoa comum memorizar uma palavra-passe forte para cada um deles.

É por isso que a nossa recomendação é utilizar um gestor de palavras-passe como o Proton Pass, que pode gerar palavras-passe com uma entropia extremamente elevada. Este irá memorizá-las e efetuar o preenchimento automático por si.

Abaixo, explicamos o que significa a entropia da palavra-passe, como a pode calcular e como afeta a força da sua palavra-passe. Pode ajudá-lo a selecionar as definições mais seguras no seu gestor de palavras-passe (ou a evitar inícios de sessão em serviços que exijam palavras-passe com uma entropia muito baixa).

O que significa “entropia da palavra-passe”?

A entropia de uma palavra-passe refere-se ao quão imprevisível é a sua palavra-passe ou frase, medida em bits. Normalmente, quanto mais bits de entropia houver, mais complexa é a palavra-passe e mais difícil é de decifrar através de ataques de força bruta.

Os atacantes de força bruta utilizam o método de tentativa e erro para adivinhar combinações de carateres em credenciais de início de sessão, palavras-passe e dados de encriptação.

Por exemplo, muitos hackers utilizam scripts e máquinas complexos para automatizar milhares de tentativas de adivinhação de palavras-passe em poucos minutos. Num dos casos mais surpreendentes, os investigadores processaram até 350 mil milhões de tentativas de adivinhação de palavras-passe(nova janela) por segundo.

Os atacantes utilizam ataques de força bruta para expor palavras-passe fracas rapidamente. Ao medir e priorizar a entropia das suas palavras-passe, pode ajudar a evitar que estes dados caiam nas mãos erradas.

Como é que a entropia da palavra-passe afeta a força da palavra-passe?

Vários fatores afetam a entropia de uma palavra-passe e, por sua vez, a sua força. Terá de considerar o seguinte em relação à sua palavra-passe:

  • Comprimento (em carateres)
  • Utilização de letras maiúsculas e minúsculas
  • Utilização de carateres numéricos
  • Utilização de símbolos especiais

De todos os elementos aqui listados, o comprimento da palavra-passe é o mais importante. Uma frase-passe suficientemente longa irá derrotar quase qualquer ataque de força bruta. E pode aumentar ainda mais a entropia utilizando letras maiúsculas aleatórias, símbolos especiais e números.

No entanto, a entropia não se resume apenas ao quão comprida ou complexa a sua palavra-passe parece. Também pode depender da forma como foi criada. Uma cadeia de carateres verdadeiramente aleatória tem uma entropia muito superior à de uma palavra ou frase comum, mesmo que ambas tenham o mesmo comprimento.

Os hackers podem utilizar ataques de dicionário para adivinhar as suas credenciais se utilizar uma palavra reconhecível ou uma frase comum na sua palavra-passe.

Um atacante de dicionário automatiza tentativas de força bruta de cada palavra de um dicionário que possa ser utilizada numa palavra-passe.

Portanto, independentemente da entropia da sua palavra-passe, continua a correr o risco de ser pirateado se utilizar nomes de animais de estimação, equipas desportivas ou outras palavras-passe comuns (por exemplo, nunca utilize “palavra-passe”) nos seus detalhes de início de sessão.

Como calcular a entropia da palavra-passe

Explicamos como calcular a entropia da palavra-passe, mas é importante notar que isto é apenas uma demonstração. Não pode estimar com segurança a entropia de uma palavra-passe com base na sua aparência. As palavras-passe geradas por humanos — mesmo as longas — são frequentemente muito previsíveis. A menos que tenha sido criada com um gerador aleatório, deve assumir que a entropia é inferior ao que pensa.

Assumindo que utiliza uma cadeia aleatória de carateres, a entropia da palavra-passe é medida em bits e depende de dois fatores principais:

  1. O número de carateres disponíveis no intervalo de carateres escolhido para a palavra-passe
  2. O número de carateres na palavra-passe

Portanto, a entropia da palavra-passe aumenta quanto mais longa for a sua palavra-passe e mais amplo for o seu intervalo de carateres possível. Uma palavra-passe longa que utilize letras maiúsculas, letras minúsculas, símbolos e números, como kmXz2=zs[m%7?y4A, terá uma entropia muito elevada.

Uma palavra-passe que apenas utilize letras minúsculas ou números, como dzormybs ou 119022833, terá uma entropia muito baixa.

As frases-passe são mais fáceis de memorizar, mas deve ter cuidado. Devem ser mais longas para criar níveis de entropia semelhantes. Por exemplo, uma frase-passe como HelpFidoSaveChocolate33! parece complexa, mas como utiliza quatro palavras comuns em inglês e uma combinação previsível de números e símbolos no final, a sua entropia real pode estar mais próxima de 50 bits. Isto é muito menos do que a entropia de kmXz2=zs[m%7?y4A, apesar de ser oito carateres mais curta.

O que são bits de entropia?

Os bits de entropia medem o quão difícil é decifrar uma palavra-passe. Por exemplo, uma palavra-passe já conhecida por si tem zero bits.

Utilizando uma fórmula, podemos calcular quantos bits de entropia existem numa palavra-passe e, com eles, de quantas tentativas o script ou máquina de um atacante precisaria para aceder.

No entanto, antes de podermos calcular a entropia da palavra-passe, precisamos de medir todos os diferentes intervalos de carateres possíveis.

Medir intervalos de carateres

A tabela seguinte demonstra como as suas opções de carateres aumentam ao adicionar carateres diferentes na sua palavra-passe se escrever em inglês. O número de letras e símbolos pode variar consoante o idioma que utiliza.

Tipo de carateresExemplo(s)Tamanho do intervalo
Números0, 1, 2, 310
Letras latinas (minúsculas)a, b, c, d26
Letras latinas (maiúsculas)A, B, C, D26
Símbolos especiais!, @, %, $32

Quanto maior for a escolha de carateres potenciais que fornecer aos piratas informáticos potenciais, maior será a entropia da sua palavra-passe. Portanto, dê prioridade a um intervalo de carateres o mais amplo possível e utilize uma mistura de todos os quatro tipos.

Aqui estão alguns exemplos de palavras-passe e os respetivos intervalos de carateres totais:

ExemploIntervalo total de carateres
11223310
abcde26
a1b2c3d436
a1B2c3D462
a1!B2%c3^D494

Lembre-se de que os dados acima mostram-lhe o tamanho potencial dos intervalos de carateres, não os bits de entropia. Precisamos de utilizar uma fórmula específica para calcular a entropia precisa de palavras-passe em bits.

Fórmula de entropia de palavra-passe

Pode medir a entropia de uma palavra-passe em bits utilizando a seguinte fórmula:

E = L × log2(R)

Nesta fórmula:

  • E é a entropia da sua palavra-passe
  • R é o intervalo possível de tipos de carateres na sua palavra-passe (as tabelas apresentadas acima)
  • L é o número de carateres na sua palavra-passe (o seu comprimento)
  • Log2 responde à pergunta “a que potência o número 2 deve ser elevado para ser igual a este número”

Utilizando esta fórmula, eis como algumas palavras-passe de exemplo se medem em bits:

ExemploIntervalo de carateresComprimento da palavra-passeCálculoBits de entropia
fygwcbjnhsbh2612 carateres.E = 12 x 4,756,4
HzgNhHkY1WQ8AM6214 carateres.E = 14 x 5,9583,3
kmXz2=zs[m%7?y4A9416 carateres.E = 16 x 6,55104,8

A matemática mostra-nos que quanto mais longa e complexa for uma palavra-passe, mais bits de entropia terá.

Lembre-se de que estes cálculos apenas se aplicam a palavras-passe geradas aleatoriamente. As frases-passe que utilizam palavras comuns devem ser mais longas e utilizar palavras invulgares e não relacionadas (e, idealmente, números e símbolos) para gerar um nível de segurança semelhante.

E lembre-se de que estes cálculos servem mais para demonstração do que para utilização prática. Deve confiar em geradores de palavras-passe em vez de tentar calcular a força de uma palavra-passe por si próprio.

Pode utilizar o nosso gerador de palavras-passe gratuito para experimentar e ver quão fortes são as diferentes palavras-passe.

Mais uma vez, a entropia é apenas uma medida de força. Para evitar ataques de dicionário, evite palavras-passe ou frases comummente utilizadas. Também deve evitar utilizar informações pessoais, como a sua data de nascimento, o nome do animal de estimação ou o nome da rua para a sua palavra-passe, uma vez que os atacantes podem obter estas informações.

Quando é que uma palavra-passe é considerada forte?

Geralmente, uma palavra-passe forte ou com elevada entropia atinge pelo menos 75 bits. Qualquer palavra-passe com menos de 72 bits é razoavelmente fácil de decifrar para uma máquina.

Calculamos o número máximo de tentativas potenciais utilizando o cálculo 2 ^ (número de bits). É o número de vezes que o número 2 duplica para atingir o número total de bits.

Por exemplo, uma palavra-passe com 10 bits de entropia, utilizando 2 ^ 10, precisaria de um máximo de 1024 tentativas para ser decifrada. Isso é tipicamente uma palavra-passe numérica de três carateres, como 456.

Procure obter uma entropia de mais de 100 bits para criar uma palavra-passe forte, apontando para o valor mais elevado possível. Quanto maior for a entropia, mais tempo as máquinas demorarão a descobrir a palavra-passe correta por força bruta.

As regras para criar uma palavra-passe com elevada entropia diferem bastante consoante o especialista em segurança com quem falar, mas existem algumas regras gerais com as quais todos concordamos:

  1. A sua palavra-passe deve ter pelo menos 14 carateres de comprimento e utilizar uma mistura de carateres (não apenas letras minúsculas do alfabeto latino básico)
  2. Deve evitar utilizar quaisquer frases ou termos que sejam significativos para si (e que, por isso, sejam fáceis de adivinhar)
  3. Uma palavra-passe forte não se liga ao seu nome de utilizador (trate sempre as duas como entidades separadas)
  4. Existe uma mistura de, pelo menos, uma letra minúscula, uma letra maiúscula, um número e um caráter especial (por exemplo, %, ^, *, &, @, ~, etc.)

Também recomendamos a utilização de uma lista de bloqueio de palavras-passe para ajudar a evitar a utilização de palavras ou frases popularmente escolhidas na web. Por exemplo, o projeto Bad Passwords do NIST(nova janela) é uma ferramenta de código aberto popular para criar frases de elevada entropia.

Se procura criar uma palavra-passe de administrador segura para o seu gestor de palavras-passe, considere as seguintes diretrizes

Para recapitular, uma palavra-passe verdadeiramente segura contém, por exemplo:

  • Pelo menos uma letra maiúscula
  • Pelo menos uma letra minúscula
  • Pelo menos um símbolo especial
  • Pelo menos um dígito
  • Pelo menos 14 carateres (ou pelo menos 30 para frases-passe, partindo do princípio de que as palavras são invulgares e não relacionadas)

O exemplo acima, kmXz2=zs[m%7?y4A, cumpre todos estes requisitos e cria uma palavra-passe com cerca de 105 bits de entropia, o que levaria um tempo impossivelmente longo a ser quebrada por força bruta.

Gere palavras-passe fortes com o Proton Pass

A única forma de gerar e memorizar palavras-passe fortes em número suficiente para todas as suas contas online é utilizar um gestor de palavras-passe. O Proton Pass gera frases seguras para si com um clique. Pode utilizá-lo para criar frases-passe de 10 palavras ou palavras-passe aleatórias de 64 carateres, e dá-lhe controlo sobre se cada palavra-passe utiliza números, letras maiúsculas e carateres especiais, caso queira maximizar a entropia das suas palavras-passe.

Com o Proton Pass, as suas palavras-passe não são apenas difíceis de quebrar — estão armazenadas com encriptação ponto a ponto e têm cópia de segurança assegurada por uma autenticação de dois fatores segura através do gestor de palavras-passe gratuito mais seguro do mundo. Leia o modelo de segurança do Proton Pass para saber mais.

Se a entropia das palavras-passe o deixa confuso, registe-se e subscreva o Proton Pass. Iremos ajudá-lo a gerar, armazenar e proteger palavras-passe para resistir a ataques maliciosos.

Atualização de 18 de novembro de 2025: Este artigo foi atualizado para explicar de forma mais clara os problemas ao tentar calcular a entropia de frases-passe e palavras-passe em geral. A complexidade das palavras-passe é fácil de sobrestimar, a menos que sejam verdadeiramente geradas de forma aleatória.

Perguntas frequentes

Qual é a diferença entre a complexidade e a entropia da palavra-passe?

A complexidade de uma palavra-passe refere-se normalmente ao seu intervalo potencial de carateres, ao passo que a entropia da palavra-passe se refere à matemática por trás de quão difícil é adivinhá-la. A entropia é medida em bits, o que, por sua vez, lhe diz quantas tentativas de força bruta serão necessárias para quebrar uma palavra-passe.

Qual é a entropia de uma palavra-passe de quatro palavras?

Depende de como as palavras foram selecionadas. Se foram escolhidas aleatoriamente (por exemplo, utilizando uma lista Diceware), cada palavra adiciona cerca de 12–13 bits de entropia. Assim, uma frase-passe aleatória de quatro palavras teria cerca de 50–52 bits de entropia. Mas se as palavras forem escolhidas por um ser humano, a entropia pode ser muito inferior.

O que significa 128 bits de entropia?

128 bits de entropia significa que a sua palavra-passe exigiria 2¹²⁸ tentativas para ser quebrada por força bruta — isso é mais do que o número de átomos no universo. Para fins práticos, qualquer valor acima de 100 bits é seguro. Mesmo as palavras-passe com 75–80 bits são hoje em dia consideradas resistentes a todos os ataques de força bruta conhecidos.