iGotTools

Gerar senhas e tokens fortes

Um gerador de senhas fortes que roda no seu navegador. Crie senhas, frases-senha e tokens hex com Web Crypto e nunca envie o seu segredo para um servidor.

Uma senha que consegue lembrar costuma ser uma senha que alguém consegue adivinhar, e uma senha reutilizada entre sites é uma fuga à espera de acontecer. A solução é deixar um gerador produzir segredos longos e aleatórios por si e guardá-los num gerenciador, para nunca ter de os memorizar. O gerador de senhas e tokens constrói senhas, frases-senha e tokens hex localmente com Web Crypto, pelo que o valor nasce no seu dispositivo e nunca passa por um servidor.

TL;DR

Pode produzir segredos fortes e aleatórios sem os confiar a nenhum site.

  • Três modos numa só ferramenta — senhas, frases-senha memoráveis e tokens hex para chaves de API.
  • Nada é enviado — a geração roda integralmente no seu navegador através da API Web Crypto.
  • A força à vista — cada valor recebe uma leitura de Força baseada em entropia (Fraca / Boa / Forte).

O que torna uma senha forte

A força vem de duas coisas em conjunto: comprimento e imprevisibilidade. Dessas, o comprimento importa muito mais do que salpicar símbolos.

  • O comprimento é o fator dominante. Cada caractere extra multiplica as combinações que um atacante tem de procurar. Uma senha aleatória de 16 caracteres é astronomicamente mais difícil de partir do que uma de 8 caracteres habilmente escolhida. A orientação NIST aponta para segredos mais longos; 15 ou mais caracteres é um mínimo razoável para contas importantes.
  • A aleatoriedade vence a escolha humana. As pessoas “acrescentam um número e um símbolo” em lugares previsíveis (Password1!), e os atacantes sabem disso. A verdadeira aleatoriedade — cada caractere tirado de forma independente — é o que torna um valor difícil de adivinhar.
  • A entropia mede isso. A entropia, em bits, é cerca de log2(tamanho do conjunto) × comprimento. A ferramenta calcula-a por si e mapeia-a em Fraca / Boa / Forte. Mais caracteres e um conjunto maior elevam a entropia.

A regra prática: faça-a longa, faça-a aleatória, faça-a única por site e deixe um gerenciador lembrar-se do resto.

Senha vs frase-senha vs token

O gerador oferece três modos, e cada um serve para um trabalho diferente:

  • Senha — uma cadeia de caracteres aleatórios (minúsculas, maiúsculas, números, símbolos). Melhor quando uma máquina a guarda por si. Longa e densa equivale a forte; o inconveniente é que não se consegue digitar, o que não importa porque a vai colar.
  • Frase-senha — várias palavras aleatórias unidas por um separador (por omissão -, p. ex. canyon-ember-river-quartz). Quatro ou mais palavras aleatórias são memoráveis e fortes, porque a lista de palavras é grande e cada palavra acrescenta entropia significativa. É a melhor escolha para uma senha mestra ou para algo que tenha de digitar e lembrar.
  • Token — uma cadeia hexadecimal em minúsculas (os caracteres 0-9 e a-f). Os tokens servem para segredos entre máquinas: chaves de API, segredos de cliente, identificadores de sessão. Não se destinam a ser digitados por humanos, mas a ser copiados para um arquivo de configuração.

Escolha senha para contas do dia a dia, frase-senha para algo que vai manter na cabeça, e token para credenciais de programa.

Passo a passo: gerar um segredo

Abra o gerador de senhas e tokens e siga este fluxo.

  1. Escolha um modo. No topo selecione Senha, Token ou Frase-senha. Os controlos abaixo mudam para condizer.
  2. Defina a forma.
    • No modo Senha, arraste o cursor Comprimento (4-128, padrão 16) e ative os conjuntos de caracteres — Minusculas, Maiusculas, Numeros, Simbolos e Excluir caracteres ambiguos (que descarta semelhantes como 0/O e 1/l).
    • No modo Token, defina o Comprimento (4-128, padrão 32). Os tokens são sempre hex em minúsculas; não há opções de conjunto nem de formato.
    • No modo Frase-senha, defina Palavras (3-12, padrão 4) e escreva um Separador (até 4 caracteres, padrão -).
  3. Defina a Quantidade (1-50) se quiser vários valores de uma vez.
  4. Prima Gerar. Os resultados aparecem numa lista. Cada valor mostra um rótulo de Força — Fraca, Boa ou Forte — conforme a sua entropia.
  5. Copie o que precisar. Use Copiar por linha para um valor, Gerar novamente para refazer uma só linha, Copiar tudo para tudo, ou Limpar para recomeçar.

Se o seu navegador não tiver Web Crypto (raro, mas possível em contextos inseguros), a ferramenta desativa a geração com um aviso em vez de recorrer a uma fonte aleatória fraca.

Porque é que a geração local importa

Gerar uma senha “online” costuma significar que o servidor do site a produz e lha devolve — o que quer dizer que o servidor a viu. Mesmo sites honestos registam pedidos; os comprometidos ou maliciosos podem gravar cada valor que geram. Essa cópia, algures num registo, anula todo o propósito de uma senha forte.

A API Web Crypto (crypto.getRandomValues) inverte isto: a aleatoriedade é produzida dentro do seu navegador e o valor acabado vai direto para a sua área de transferência. Não há pedido que transporte o segredo, nenhum servidor que alguma vez o veja, nem entrada de registo que possa vazar. Para algo a que confia uma conta, essa é exatamente a propriedade que quer.

Limites e honestidade

Algumas restrições a conhecer, para que a ferramenta seja o que espera:

  • O modo Token é só hex. Os tokens são sempre hexadecimal em minúsculas (0123456789abcdef). Não há opções de maiúsculas, chaves nem formato com hífens; se precisar de outro formato, transforme o hex depois de copiar.
  • As palavras da frase-senha vêm de uma lista fixa. A lista de 24 palavras é curta de propósito (palavras memoráveis), por isso a entropia da frase-senha vem sobretudo da quantidade, não de um vocabulário enorme. Use 4 ou mais palavras para algo sensível.
  • Intervalos limitados. A quantidade chega até 50 por geração, e o comprimento de senha/token vai de 4 a 128. Isso cobre usos realistas; a ferramenta não é uma fábrica de segredos em massa.

Perguntas frequentes

É seguro gerar senhas online?

Depende inteiramente de onde a geração acontece. Se um servidor constrói a senha e a devolve, esse servidor viu o seu segredo e está a confiar que não a regista nem a divulga. Esta ferramenta gera localmente no seu navegador com Web Crypto, pelo que o valor nasce no seu dispositivo e nunca é transmitido. Para credenciais, a geração local é o padrão seguro.

Devo usar uma frase-senha ou uma senha?

Use uma frase-senha quando precisa de a lembrar e digitar você mesmo — uma senha mestra, uma frase para cifrar o disco, um início de sessão de dispositivo. Quatro ou mais palavras aleatórias são memoráveis e fortes. Use uma senha (caracteres aleatórios densos) quando um gerenciador a armazena e só a vai colar, já que maximiza a entropia por caractere mas é impossível de memorizar.

O que é um token face a uma senha?

Um token aqui é uma cadeia hexadecimal em minúsculas destinada a máquinas — uma chave de API, um segredo de cliente, um identificador de sessão que cola num arquivo de configuração. Uma senha é uma cadeia de caracteres mistos destinada (originalmente) a que os humanos se autentiquem. Os tokens são hex uniforme precisamente porque não precisam de ser digitados nem memorizados, apenas copiados.

Quão forte é suficientemente forte?

Para contas importantes, aponte para a faixa Forte — cerca de 80 bits de entropia ou mais, o que uma senha de 16 caracteres com conjunto completo ou uma frase-senha de 5 a 6 palavras ultrapassa com folga. Para inícios de sessão de baixo risco, Boa é aceitável. Evite Fraca para tudo o que lhe importe; normalmente significa que o valor é demasiado curto ou o conjunto de caracteres demasiado estreito.

iGotTools

Comece com esta ferramenta

Começar agora