Senha e Entropia: A ciência por trás da sua segurança

Wed, 03 Jun 2026 00:00:00 +0000

« Sua senha deve conter 8 caracteres, uma letra maiúscula, uma letra minúscula, um número e um caractere especial. »

Todos conhecemos essa regra. E, no entanto, na segurança cibernética, isso é o que chamamos de “teatro de segurança”. Uma senha como P@ssw0rd1! respeita todas essas regras, mas será quebrada em um piscar de olhos por qualquer software de hacking moderno.

A verdadeira segurança não se baseia em regras visuais arbitrárias, mas em uma realidade matemática implacável: a entropia.

A Entropia segundo Claude Shannon

Para entender a força de uma senha, devemos olhar para Claude Shannon, o pai da teoria da informação. A entropia mede o grau de incerteza ou imprevisibilidade de uma informação.

Aplicada a senhas, a entropia é calculada em bits. Quanto maior o número de bits, mais imprevisível é a senha para um computador. A fórmula simplificada para a entropia (E) de uma senha gerada aleatoriamente é:

E = L × log2(R)

L é o comprimento da senha.
R é o tamanho do conjunto (26 para minúsculas, 62 com maiúsculas e números, 94 com símbolos).

Aumentar o tamanho do conjunto (adicionando símbolos) aumenta a entropia, mas aumentar o comprimento (adicionando caracteres) aumenta-a de forma muito mais drástica. No entanto, o comprimento só vence a complexidade sob uma condição: a senha deve ser gerada de forma completamente aleatória.

Força Bruta vs. Ataque de Dicionário

Se você usar palavras ou estruturas previsíveis, a regra do comprimento puro entra em colapso.

O software de hacking não tenta todas as combinações de letras uma por uma (isso é chamado de Força Bruta). Eles usam bancos de dados massivos contendo bilhões de palavras existentes, frases comuns e vazamentos de dados passados. Este é o Ataque de Dicionário.

Se a sua senha for longa, mas for composta por palavras do dicionário ou substituições previsíveis, sua entropia real é dramaticamente menor do que a entropia matemática teórica.

Aqui estão os tempos de quebra estimados contra um cluster de placas gráficas (GPUs) modernas, destacando em negrito a rota mais rápida encontrada explorando as fraquezas estruturais:

Senha	Entropia Teórica	Contra Força Bruta	Contra um Dicionário
`password123`	~15 bits	Algumas horas	Instantâneo
`S3cr3t!99`	~40 bits	Alguns anos	Algumas horas / dias (via mutações)
`correct horse battery staple`	~130 bits	Bilhões de anos	Algumas horas / dias
`gL7!pQ9z#vX2`	~78 bits	~3.000 anos	Falha (Volta à força bruta)

A Ilusão do Leetspeak e as Regras de Mutação

Vejamos o exemplo S3cr3t!99. Visualmente, parece complexa e robusta. No entanto, é simplesmente a palavra do dicionário “secret”, onde os ’e’s foram substituídos por ‘3’s, à qual foi adicionado um sufixo muito comum (!99). Isso é chamado de leetspeak.

Contra um ataque de dicionário, esta senha resistirá apenas algumas horas, ou mesmo minutos. O software de cracking moderno (como Hashcat) não se contenta em testar listas de palavras estáticas; eles aplicam automaticamente regras de mutação. Eles vão pegar cada palavra do seu dicionário, testar todas as combinações possíveis de leetspeak, inverter as maiúsculas e adicionar anos ou símbolos. O Leetspeak proporciona uma falsa sensação de segurança.

O Truque da Mudança de Teclado (Keyboard Shift)

Para complicar uma frase memorável, alguns usam o truque da mudança de layout de teclado. Por exemplo, você memoriza uma frase como my-cat. Mas, no momento de digitá-la, você coloca os dedos em um teclado QWERTY físico enquanto configurou seu sistema operacional para AZERTY (francês).

A palavra pensada: my-cat
O resultado digitado: ,y)cqt (A tecla ’m’ torna-se ‘,’; o ‘-’ torna-se ‘)’; o ‘a’ torna-se ‘q’).

Isso é uma boa ideia em OPSEC? Não, este método não é suficiente se for usado sozinho. Assim como o leetspeak, softwares avançados de cracking integram regras de mutação de hardware que testam automaticamente as mudanças de teclado internacionais (QWERTY, AZERTY, QWERTZ, Dvorak). Em OPSEC, isso é segurança por obscuridade: atrasa um invasor amador, mas não impedirá um ataque direcionado e bem equipado.

No entanto, se esta técnica for combinada com uma senha que já é forte na base (como uma frase de senha muito longa e fácil de memorizar), ela aumenta significativamente a entropia introduzindo caracteres especiais inesperados dentro de uma estrutura já robusta.

A Construção da Senha Ideal (~250 bits)

Se as listas de palavras, o leetspeak e os truques de digitação têm seus limites, como construímos a senha mestra perfeita? Para alcançar a segurança ideal e resistir às ferramentas de computação de próxima geração, a meta atual é atingir cerca de 250 bits de entropia.

Existem duas maneiras de conseguir isso, dependendo de suas necessidades:

1. A Opção Puramente Aleatória (Ideal para um gerenciador de senhas)

Uma sequência de caracteres gerada de forma totalmente aleatória, tornando-a extremamente difícil para uma máquina adivinhar: k9$Yz2!pL#8vQx5@mN7*jW4&hC1%bF3^tR9(dZ6 39 caracteres aleatórios usando todo o conjunto de símbolos.

2. A Opção de Frase de Senha Híbrida (Ideal para uma senha mestra memorável)

Uma sequência de palavras de dicionário geradas aleatoriamente, combinada estritamente com números e símbolos: Sovereign_Crypto_99_Privacy_Zero_Knowledge_Secure_2026_Key_Lock_Cloud_Act_Grover Esse método permite que um ser humano memorize uma estrutura visualmente ou muscularmente, mantendo uma barreira matemática gigante.

A Ameaça Quântica: O Algoritmo de Grover

Por que apontar para 250 bits quando 128 bits já bloqueiam os supercomputadores de hoje? A resposta está no advento da computação quântica.

Na criptografia, o algoritmo de Grover permite que um computador quântico pesquise em um banco de dados não classificado muito mais rápido que um computador clássico. Na prática, Grover reduz efetivamente pela metade o nível de segurança de uma chave simétrica ou de uma senha.

Contra um computador quântico que executa o algoritmo de Grover, uma senha com entropia de 128 bits oferecerá apenas uma resistência equivalente a 64 bits (o que se torna quebrável).

Consequentemente, para manter a verdadeira segurança de 128 bits num mundo pós-quântico, é necessário duplicar a entropia inicial. Este é um dos pilares do conceito Harvest Now, Decrypt Later (HNDL): os atacantes estatais aspiram dados criptografados hoje para quebrá-los amanhã. Visar 250 bits de entropia é o padrão mínimo para proteger suas chaves mestras a longo prazo.

Arpokrat Password Generator: Teste você mesmo

Não deixe a segurança dos seus acessos ao acaso. Desenvolvemos uma ferramenta interna que permite gerar senhas criptograficamente robustas (incluindo pós-quânticas) e, acima de tudo, avaliar a verdadeira entropia das suas próprias senhas.

👉 Arpokrat Password Generator

Teste as suas senhas atuais para ver se elas resistiriam ao poder de computação moderno. A ferramenta funciona 100% localmente no seu navegador, nenhum dado circula na rede.

O Último Elo Fraco: Reciclagem e Gestão de Acessos

A entropia matemática não protege contra o erro humano. Uma senha de 250 bits é inútil se for reutilizada em vários sites (um ataque chamado Credential Stuffing) ou se não for protegida por um segundo fator de autenticação (2FA).

A regra de ouro da higiene digital é só ter que memorizar uma única senha: a sua senha mestra de 250 bits (na forma de uma frase de senha híbrida). Todos os seus outros acessos (bancos, redes sociais, servidores) devem usar senhas exclusivas de 250 bits de pura entropia (as sequências de caracteres aleatórios) geradas especificamente para eles.

Para armazenar e gerenciar esse volume de chaves impossíveis de lembrar de cabeça, o uso de um gerenciador de senhas Zero-Knowledge é essencial. Um dos melhores padrões atuais é o Proton Pass. Com sede na Suíça, de código aberto e criptografado de ponta a ponta, ele garante que nem mesmo seus próprios engenheiros possam ler o conteúdo do seu cofre. É o companheiro ideal para armazenar as chaves ultrapotentes geradas pelo Arpokrat, trancando toda a sua vida digital atrás de uma verdadeira barreira matemática.

Guias de Privacidade on Arpokrat