Todos precisamos de estar atentos à criação de palavras-passe matematicamente impenetráveis. E se é uma das centenas de milhares de pessoas que utilizam nomes e datas de nascimento nas suas palavras-passe(nova janela), então chegou definitivamente o momento de reforçar a segurança do seu início de sessão.
Neste artigo, explicamos como estimar e melhorar a entropia da sua palavra-passe, o que é ótimo para a sua segurança online. Mas há um revés: maximizar a entropia de uma palavra-passe significa, essencialmente, torná-la impossível de memorizar. Como sempre, há um cartoon da XKCD(nova janela) que resume o problema.
Considerando a quantidade de serviços online nos quais nos registamos (pelo menos dezenas), é quase impossível para a pessoa comum memorizar uma palavra-passe forte para cada um deles.
É por isso que a nossa recomendação é utilizar um gestor de palavras-passe como o Proton Pass, que pode gerar palavras-passe com uma entropia extremamente elevada. Este irá memorizá-las e efetuar o preenchimento automático por si.
Abaixo, explicamos o que significa a entropia da palavra-passe, como a pode calcular e como afeta a força da sua palavra-passe. Pode ajudá-lo a selecionar as definições mais seguras no seu gestor de palavras-passe (ou a evitar inícios de sessão em serviços que exijam palavras-passe com uma entropia muito baixa).
O que significa “entropia da palavra-passe”?
A entropia de uma palavra-passe refere-se ao quão imprevisível é a sua palavra-passe ou frase, medida em bits. Normalmente, quanto mais bits de entropia houver, mais complexa é a palavra-passe e mais difícil é de decifrar através de ataques de força bruta.
Os atacantes de força bruta utilizam o método de tentativa e erro para adivinhar combinações de carateres em credenciais de início de sessão, palavras-passe e dados de encriptação.
Por exemplo, muitos hackers utilizam scripts e máquinas complexos para automatizar milhares de tentativas de adivinhação de palavras-passe em poucos minutos. Num dos casos mais surpreendentes, os investigadores processaram até 350 mil milhões de tentativas de adivinhação de palavras-passe(nova janela) por segundo.
Os atacantes utilizam ataques de força bruta para expor palavras-passe fracas rapidamente. Ao medir e priorizar a entropia das suas palavras-passe, pode ajudar a evitar que estes dados caiam nas mãos erradas.
Como é que a entropia da palavra-passe afeta a força da palavra-passe?
Vários fatores afetam a entropia de uma palavra-passe e, por sua vez, a sua força. Terá de considerar o seguinte em relação à sua palavra-passe:
- Comprimento (em carateres)
- Utilização de letras maiúsculas e minúsculas
- Utilização de carateres numéricos
- Utilização de símbolos especiais
De todos os elementos aqui listados, o comprimento da palavra-passe é o mais importante. Uma frase-passe suficientemente longa irá derrotar quase qualquer ataque de força bruta. E pode aumentar ainda mais a entropia utilizando letras maiúsculas aleatórias, símbolos especiais e números.
No entanto, a entropia não se resume apenas ao quão comprida ou complexa a sua palavra-passe parece. Também pode depender da forma como foi criada. Uma cadeia de carateres verdadeiramente aleatória tem uma entropia muito superior à de uma palavra ou frase comum, mesmo que ambas tenham o mesmo comprimento.
Os hackers podem utilizar ataques de dicionário para adivinhar as suas credenciais se utilizar uma palavra reconhecível ou uma frase comum na sua palavra-passe.
Um atacante de dicionário automatiza tentativas de força bruta de cada palavra de um dicionário que possa ser utilizada numa palavra-passe.
Portanto, independentemente da entropia da sua palavra-passe, continua a correr o risco de ser pirateado se utilizar nomes de animais de estimação, equipas desportivas ou outras palavras-passe comuns (por exemplo, nunca utilize “palavra-passe”) nos seus detalhes de início de sessão.
Como calcular a entropia da palavra-passe
Explicamos como calcular a entropia da palavra-passe, mas é importante notar que isto é apenas uma demonstração. Não pode estimar com segurança a entropia de uma palavra-passe com base na sua aparência. As palavras-passe geradas por humanos — mesmo as longas — são frequentemente muito previsíveis. A menos que tenha sido criada com um gerador aleatório, deve assumir que a entropia é inferior ao que pensa.
Assumindo que utiliza uma cadeia aleatória de carateres, a entropia da palavra-passe é medida em bits e depende de dois fatores principais:
- O número de carateres disponíveis no intervalo de carateres escolhido para a palavra-passe
- O número de carateres na palavra-passe
Portanto, a entropia da palavra-passe aumenta quanto mais longa for a sua palavra-passe e mais amplo for o seu intervalo de carateres possível. Uma palavra-passe longa que utilize letras maiúsculas, letras minúsculas, símbolos e números, como kmXz2=zs[m%7?y4A, terá uma entropia muito elevada.
Uma palavra-passe que apenas utilize letras minúsculas ou números, como dzormybs ou 119022833, terá uma entropia muito baixa.
As frases-passe são mais fáceis de memorizar, mas deve ter cuidado. Devem ser mais longas para criar níveis de entropia semelhantes. Por exemplo, uma frase-passe como HelpFidoSaveChocolate33! parece complexa, mas como utiliza quatro palavras comuns em inglês e uma combinação previsível de números e símbolos no final, a sua entropia real pode estar mais próxima de 50 bits. Isto é muito menos do que a entropia de kmXz2=zs[m%7?y4A, apesar de ser oito carateres mais curta.
O que são bits de entropia?
Os bits de entropia medem o quão difícil é decifrar uma palavra-passe. Por exemplo, uma palavra-passe já conhecida por si tem zero bits.
Utilizando uma fórmula, podemos calcular quantos bits de entropia existem numa palavra-passe e, com eles, de quantas tentativas o script ou máquina de um atacante precisaria para aceder.
No entanto, antes de podermos calcular a entropia da palavra-passe, precisamos de medir todos os diferentes intervalos de carateres possíveis.
Medir intervalos de carateres
A tabela seguinte demonstra como as suas opções de carateres aumentam ao adicionar carateres diferentes na sua palavra-passe se escrever em inglês. O número de letras e símbolos pode variar consoante o idioma que utiliza.
| Tipo de carateres | Exemplo(s) | Tamanho do intervalo |
| Números | 0, 1, 2, 3 | 10 |
| Letras latinas (minúsculas) | a, b, c, d | 26 |
| Letras latinas (maiúsculas) | A, B, C, D | 26 |
| Símbolos especiais | !, @, %, $ | 32 |
Quanto maior for a escolha de carateres potenciais que fornecer aos piratas informáticos potenciais, maior será a entropia da sua palavra-passe. Portanto, dê prioridade a um intervalo de carateres o mais amplo possível e utilize uma mistura de todos os quatro tipos.
Aqui estão alguns exemplos de palavras-passe e os respetivos intervalos de carateres totais:
| Exemplo | Intervalo total de carateres |
| 112233 | 10 |
| abcde | 26 |
| a1b2c3d4 | 36 |
| a1B2c3D4 | 62 |
| a1!B2%c3^D4 | 94 |
Lembre-se de que os dados acima mostram-lhe o tamanho potencial dos intervalos de carateres, não os bits de entropia. Precisamos de utilizar uma fórmula específica para calcular a entropia precisa de palavras-passe em bits.
Fórmula de entropia de palavra-passe
Pode medir a entropia de uma palavra-passe em bits utilizando a seguinte fórmula:
E = L × log2(R)
Nesta fórmula:
- E é a entropia da sua palavra-passe
- R é o intervalo possível de tipos de carateres na sua palavra-passe (as tabelas apresentadas acima)
- L é o número de carateres na sua palavra-passe (o seu comprimento)
- Log2 responde à pergunta “a que potência o número 2 deve ser elevado para ser igual a este número”
Utilizando esta fórmula, eis como algumas palavras-passe de exemplo se medem em bits:
| Exemplo | Intervalo de carateres | Comprimento da palavra-passe | Cálculo | Bits de entropia |
| fygwcbjnhsbh | 26 | 12 carateres. | E = 12 x 4,7 | 56,4 |
| HzgNhHkY1WQ8AM | 62 | 14 carateres. | E = 14 x 5,95 | 83,3 |
| kmXz2=zs[m%7?y4A | 94 | 16 carateres. | E = 16 x 6,55 | 104,8 |
A matemática mostra-nos que quanto mais longa e complexa for uma palavra-passe, mais bits de entropia terá.
Lembre-se de que estes cálculos apenas se aplicam a palavras-passe geradas aleatoriamente. As frases-passe que utilizam palavras comuns devem ser mais longas e utilizar palavras invulgares e não relacionadas (e, idealmente, números e símbolos) para gerar um nível de segurança semelhante.
E lembre-se de que estes cálculos servem mais para demonstração do que para utilização prática. Deve confiar em geradores de palavras-passe em vez de tentar calcular a força de uma palavra-passe por si próprio.
Pode utilizar o nosso gerador de palavras-passe gratuito para experimentar e ver quão fortes são as diferentes palavras-passe.
Mais uma vez, a entropia é apenas uma medida de força. Para evitar ataques de dicionário, evite palavras-passe ou frases comummente utilizadas. Também deve evitar utilizar informações pessoais, como a sua data de nascimento, o nome do animal de estimação ou o nome da rua para a sua palavra-passe, uma vez que os atacantes podem obter estas informações.
Quando é que uma palavra-passe é considerada forte?
Geralmente, uma palavra-passe forte ou com elevada entropia atinge pelo menos 75 bits. Qualquer palavra-passe com menos de 72 bits é razoavelmente fácil de decifrar para uma máquina.
Calculamos o número máximo de tentativas potenciais utilizando o cálculo 2 ^ (número de bits). É o número de vezes que o número 2 duplica para atingir o número total de bits.
Por exemplo, uma palavra-passe com 10 bits de entropia, utilizando 2 ^ 10, precisaria de um máximo de 1024 tentativas para ser decifrada. Isso é tipicamente uma palavra-passe numérica de três carateres, como 456.
Procure obter uma entropia de mais de 100 bits para criar uma palavra-passe forte, apontando para o valor mais elevado possível. Quanto maior for a entropia, mais tempo as máquinas demorarão a descobrir a palavra-passe correta por força bruta.
As regras para criar uma palavra-passe com elevada entropia diferem bastante consoante o especialista em segurança com quem falar, mas existem algumas regras gerais com as quais todos concordamos:
- A sua palavra-passe deve ter pelo menos 14 carateres de comprimento e utilizar uma mistura de carateres (não apenas letras minúsculas do alfabeto latino básico)
- Deve evitar utilizar quaisquer frases ou termos que sejam significativos para si (e que, por isso, sejam fáceis de adivinhar)
- Uma palavra-passe forte não se liga ao seu nome de utilizador (trate sempre as duas como entidades separadas)
- Existe uma mistura de, pelo menos, uma letra minúscula, uma letra maiúscula, um número e um caráter especial (por exemplo, %, ^, *, &, @, ~, etc.)
Também recomendamos a utilização de uma lista de bloqueio de palavras-passe para ajudar a evitar a utilização de palavras ou frases popularmente escolhidas na web. Por exemplo, o projeto Bad Passwords do NIST(nova janela) é uma ferramenta de código aberto popular para criar frases de elevada entropia.
Se procura criar uma palavra-passe de administrador segura para o seu gestor de palavras-passe, considere as seguintes diretrizes
Para recapitular, uma palavra-passe verdadeiramente segura contém, por exemplo:
- Pelo menos uma letra maiúscula
- Pelo menos uma letra minúscula
- Pelo menos um símbolo especial
- Pelo menos um dígito
- Pelo menos 14 carateres (ou pelo menos 30 para frases-passe, partindo do princípio de que as palavras são invulgares e não relacionadas)
O exemplo acima, kmXz2=zs[m%7?y4A, cumpre todos estes requisitos e cria uma palavra-passe com cerca de 105 bits de entropia, o que levaria um tempo impossivelmente longo a ser quebrada por força bruta.
Gere palavras-passe fortes com o Proton Pass
A única forma de gerar e memorizar palavras-passe fortes em número suficiente para todas as suas contas online é utilizar um gestor de palavras-passe. O Proton Pass gera frases seguras para si com um clique. Pode utilizá-lo para criar frases-passe de 10 palavras ou palavras-passe aleatórias de 64 carateres, e dá-lhe controlo sobre se cada palavra-passe utiliza números, letras maiúsculas e carateres especiais, caso queira maximizar a entropia das suas palavras-passe.
Com o Proton Pass, as suas palavras-passe não são apenas difíceis de quebrar — estão armazenadas com encriptação ponto a ponto e têm cópia de segurança assegurada por uma autenticação de dois fatores segura através do gestor de palavras-passe gratuito mais seguro do mundo. Leia o modelo de segurança do Proton Pass para saber mais.
Se a entropia das palavras-passe o deixa confuso, registe-se e subscreva o Proton Pass. Iremos ajudá-lo a gerar, armazenar e proteger palavras-passe para resistir a ataques maliciosos.
Atualização de 18 de novembro de 2025: Este artigo foi atualizado para explicar de forma mais clara os problemas ao tentar calcular a entropia de frases-passe e palavras-passe em geral. A complexidade das palavras-passe é fácil de sobrestimar, a menos que sejam verdadeiramente geradas de forma aleatória.
Perguntas frequentes
A complexidade de uma palavra-passe refere-se normalmente ao seu intervalo potencial de carateres, ao passo que a entropia da palavra-passe se refere à matemática por trás de quão difícil é adivinhá-la. A entropia é medida em bits, o que, por sua vez, lhe diz quantas tentativas de força bruta serão necessárias para quebrar uma palavra-passe.
Depende de como as palavras foram selecionadas. Se foram escolhidas aleatoriamente (por exemplo, utilizando uma lista Diceware), cada palavra adiciona cerca de 12–13 bits de entropia. Assim, uma frase-passe aleatória de quatro palavras teria cerca de 50–52 bits de entropia. Mas se as palavras forem escolhidas por um ser humano, a entropia pode ser muito inferior.
128 bits de entropia significa que a sua palavra-passe exigiria 2¹²⁸ tentativas para ser quebrada por força bruta — isso é mais do que o número de átomos no universo. Para fins práticos, qualquer valor acima de 100 bits é seguro. Mesmo as palavras-passe com 75–80 bits são hoje em dia consideradas resistentes a todos os ataques de força bruta conhecidos.





