Skip to content
Back to Blog
passwordspassphrasedicewarecomparison

Frase-senha vs Senha: Qual é Mais Segura?

Uma frase de quatro palavras que você realmente consegue lembrar pode ser tão forte quanto uma string aleatória de 15 caracteres, se gerada corretamente. Veja a matemática da entropia, o método Diceware, exemplos reais e onde cada uma vence.

SZ
Founder, Molixa
13 min read
Compartilhar
Frase-senha vs Senha: Qual é Mais Segura?
Table of contents9 sections

A resposta honesta para senha versus frase secreta é que nenhum formato é inerentemente mais seguro. O que torna um segredo forte é a entropia, a quantidade de aleatoriedade real contida nele, não se ele se parece com correct horse battery staple ou T9$kq!mZ2vLp. Uma frase secreta aleatória de quatro a seis palavras do Diceware e uma string aleatória de 15 caracteres podem ser exatamente tão difíceis de quebrar. O problema é a palavra "aleatório", e é aí que a maioria das pessoas erra.

Este guia fornece a parte que os artigos de opinião ignoram: a matemática real da entropia, a prova de que aproximadamente 6 palavras do Diceware equivalem a uma senha aleatória de 15 caracteres, por que uma frase secreta baseada em sua citação favorita é fraca e onde cada formato vence na vida real.

Senha vs Frase-senha: A Resposta Rápida#

Uma senha geralmente é uma sequência curta de caracteres mistos (Gx7!pQ). Uma frase-senha é uma sequência mais longa de palavras (âncora veludo selva ozônio). Ambas são apenas segredos, e ambas são medidas da mesma forma: em bits de entropia.

Aqui está a regra que resolve a maioria das discussões:

  • Uma senha verdadeiramente aleatória de 12 a 16 caracteres é forte.
  • Uma frase-senha verdadeiramente aleatória de 5 a 7 palavras de uma boa lista de palavras é forte e muito mais fácil de lembrar.
  • Uma "frase-senha" que você inventou a partir de uma letra de música ou de uma frase geralmente é fraca, não importa o tamanho.

O comprimento ajuda, mas apenas quando os caracteres ou palavras são escolhidos aleatoriamente. Comprimento aplicado a algo inventado por um humano (uma citação, um nome mais um ano, um padrão de teclado) não oferece quase nada contra um atacante real.

A razão se resume à entropia, então vamos quantificá-la em vez de divagar.

O que a Entropia Realmente Mede#

A entropia, medida em bits, é o número de possibilidades igualmente prováveis que um invasor precisa pesquisar. Cada bit dobra o trabalho de adivinhação. Um segredo com 40 bits de entropia tem cerca de um trilhão de possibilidades; um com 80 bits tem aproximadamente 1,2 seguido de 24 zeros.

Para um segredo gerado aleatoriamente, a fórmula é simples:

entropia (bits) = log2(tamanho do conjunto) x comprimento

O "tamanho do conjunto" é quantas opções existem em cada posição. Para uma senha, é o conjunto de caracteres. Para uma frase-senha, é o tamanho da lista de palavras.

Entropia por caractere (senha aleatória)#

Conjunto de caracteresTamanho do conjuntoBits por caractere
Apenas minúsculas (a-z)26~4,7
Minúsculas + maiúsculas (a-z, A-Z)52~5,7
Letras + dígitos62~5,95
Teclado completo (~95 imprimíveis)95~6,55

Assim, uma senha aleatória de 15 caracteres usando o conjunto completo do teclado carrega cerca de 15 x 6,55 = aproximadamente 98 bits de entropia. Remova os símbolos e use apenas letras e dígitos, e os mesmos 15 caracteres fornecem cerca de 89 bits.

Entropia por palavra (frase-senha Diceware)#

A longa lista Diceware da Electronic Frontier Foundation tem 7.776 palavras (isto é 6^5, uma palavra para cada cinco lançamentos de dados). Cada palavra escolhida aleatoriamente dessa lista adiciona:

log2(7.776) = ~12,9 bits por palavra

Esse único número é a chave para toda a comparação. Agora podemos provar a afirmação do título.

A Prova de Entropia Equivalente: 6 Palavras Diceware ≈ 15 Caracteres Aleatórios#

Aqui está a matemática que todo mundo debate, mas quase ninguém mostra. Alinhe os dois formatos pela entropia e eles se encontram no meio.

FormatoEntropia por unidadeUnidadesEntropia total
Senha aleatória de letras + dígitos~5,95 bits/caractere15 caracteres~89 bits
Frase-senha Diceware (lista EFF)~12,9 bits/palavra7 palavras~90 bits
Senha aleatória de teclado completo~6,55 bits/caractere14 caracteres~92 bits
Frase-senha Diceware~12,9 bits/palavra6 palavras~77 bits

Uma frase-senha Diceware de 6 palavras fica em torno de 77 bits. Uma de 7 palavras fica em torno de 90 bits, o que corresponde quase exatamente a uma senha alfanumérica aleatória de 15 caracteres. Portanto, a abreviação popular "6 palavras Diceware equivalem a 15 caracteres aleatórios" é aproximada: 6 palavras são um pouco mais leves, e 7 palavras empatam com uma string aleatória forte.

A conclusão prática:

  • 4 palavras (~52 bits): bom para logins de baixo risco, fraco para qualquer coisa sensível.
  • 5 palavras (~64 bits): um mínimo sólido para o dia a dia.
  • 6 palavras (~77 bits): forte, o ponto ideal para contas importantes.
  • 7 palavras (~90 bits): equivale a uma senha aleatória de 15 caracteres, use para a senha mestra do seu gerenciador de senhas.

Você escolhe o formato que realmente vai lembrar, porque com entropia equivalente, ambos são igualmente difíceis de quebrar. Esse é o ponto principal.

Tempo de Crack: O Que Esses Bits Significam no Mundo Real#

Bits são abstratos, então traduza-os em esforço do atacante. Considere um ataque offline onde um ladrão roubou um banco de dados de senhas com hash e está tentando adivinhar em uma taxa de hardware rápida. GPUs modernas podem tentar dezenas de bilhões de palpites por segundo contra um hash fraco, então trate esses como valores de pior caso para um hash rápido como um único SHA-256.

EntropiaPossibilidadesTempo aproximado de crack offline (10 bilhões/seg)
40 bits~1.1 trilhãomenos de 2 minutos
52 bits (4 palavras)~4.5 quatrilhões~5 dias
64 bits (5 palavras)~1.8 x 10^19~58 anos
77 bits (6 palavras)~1.5 x 10^23~470.000 anos
90 bits (7 palavras / 15 caracteres)~1.2 x 10^27bilhões de anos

Esses números assumem que o atacante conhece seu formato exato e lista de palavras e está atacando um hash rápido. Um hash de senha adequadamente lento (bcrypt, Argon2id) torna a adivinhação milhares de vezes mais lenta, e é por isso que a forma como um site armazena sua senha importa tanto quanto como você a escolhe.

A conclusão principal: uma vez que você ultrapassa aproximadamente 70 bits, você passou do ponto onde a força bruta é realista para qualquer um, incluindo um estado-nação, contra uma única conta. Mais comprimento além disso protege você contra hardware futuro e hashing ruim, não contra um ataque viável hoje. Para ver onde um de seus próprios segredos se encontra, execute-o em um verificador de força de senha antes de confiar nele.

Por que "Aleatório" é a Palavra que Quebra a Maioria das Frases-senha#

Esta é a parte que os artigos de opinião ignoram, e é a seção mais importante. A matemática de entropia acima só é válida se cada palavra (ou caractere) for escolhida aleatoriamente por uma máquina ou por dados. No momento em que um ser humano escolhe as palavras, a matemática desmorona.

Frases-senha autoescolhidas são fracas#

Se você criar uma frase-senha a partir de um versículo bíblico, uma citação de filme, uma letra de música ou sua própria frase inteligente, você não criou 77 bits de entropia. Você escolheu de um pequeno conjunto de frases famosas e adivinháveis. Os atacantes sabem disso. Eles alimentam bancos de citações, letras, passagens de livros e modelos de frases comuns diretamente em suas ferramentas de cracking.

Considere estas duas "frases-senha":

  • MayTheForceBeWithYou1 (longa, com maiúsculas e minúsculas, tem um dígito). Quebrada em segundos, porque é uma citação famosa em toda lista de palavras.
  • tractor mellow button drift (quatro palavras Diceware aleatórias e sem graça, sem maiúsculas, sem dígitos). Muito mais forte, porque ninguém pode prever a combinação.

A primeira parece complexa e é trivialmente fraca. A segunda parece simples e é genuinamente forte. A aparência quase não tem relação com a segurança.

As quatro regras para uma frase-senha real#

  1. Use um gerador, não seu cérebro. Dados ou uma ferramenta criptograficamente segura, nunca uma frase que você compôs.
  2. Use uma lista de palavras conhecida e boa. A lista EFF Diceware é o padrão, com 7.776 palavras e sem pares confusos.
  3. Mantenha as palavras não relacionadas. A saída aleatória dá a você velvet anchor jungle ozone, não uma frase. Resista à tentação de "corrigi-la" para algo memorável, isso reintroduz previsibilidade.
  4. Escolha um comprimento de acordo com o risco. Mínimo de cinco palavras para contas reais, seis ou sete para seus segredos mais sensíveis.

Um gerador que faz Diceware adequado faz tudo isso por você. Nosso gerador de senhas gratuito produz tanto strings de caracteres aleatórios quanto frases-senha de palavras aleatórias, e escolhe cada palavra com uma fonte aleatória segura, em vez de permitir que você a ajuste para algo adivinhável.

Senha vs Frase-senha: Onde Cada Uma Vence#

Com a mesma entropia, ambas são igualmente seguras, então a decisão real é sobre como você usará e lembrará do segredo.

Caso de usoMelhor escolhaPor que
Algo que você precisa digitar com frequência de memóriaFrase-senhaPalavras são muito mais fáceis de lembrar e digitar do que símbolos aleatórios
Um segredo armazenado em um gerenciador de senhasSenha aleatóriaVocê nunca digita, então a memorabilidade é irrelevante; maximize a densidade
A senha mestra do seu gerenciador de senhasFrase-senha longa (6-7 palavras)Você precisa memorizá-la, e ela precisa ser muito forte
Um PIN de dispositivo ou login que você fala em voz altaFrase-senhaMais fácil de ditar sem erros
Um campo com limite estrito de caracteresSenha aleatóriaEmbalha mais entropia em menos caracteres
Um sistema que proíbe espaços ou entradas longasSenha aleatóriaAlguns formulários legados rejeitam o comprimento ou espaços da frase-senha

Uma estratégia limpa para a maioria das pessoas:

  • Use um gerenciador de senhas como cofre.
  • Proteja-o com uma frase-senha forte de 6 ou 7 palavras que você memorize.
  • Deixe o gerenciador gerar senhas aleatórias longas para cada site individual, já que você nunca as digita.

Isso lhe dá um segredo forte memorável e infinitos segredos de força máxima por trás dele. Se quiser comparar os formatos você mesmo, gere uma frase-senha e uma senha de 16 caracteres com o gerador de senhas, depois cole cada uma no verificador de força de senha e veja as estimativas de entropia se alinharem.

Mitos Comuns, Rapidamente Corrigidos#

Mito: "Adicionar símbolos sempre torna a senha mais forte." Só se o símbolo for aleatório. Trocar a por @ em uma palavra de dicionário (p@ssw0rd) é a primeira coisa que toda ferramenta de cracking tenta.

Mito: "Frases-senha são inseguras porque usam palavras reais." Falso quando as palavras são aleatórias. Um ataque de dicionário adivinha palavras únicas e combinações comuns, não sequências aleatórias de quatro a sete palavras de 7.776 opções.

Mito: "Mais longo sempre vence mais curto." Só com igual aleatoriedade. Uma senha aleatória de 12 caracteres vence uma letra de música de 40 caracteres toda vez.

Para uma análise mais profunda de como comprimento e entropia interagem, veja nosso guia sobre qual deve ser o tamanho de uma senha em 2026.

A Conclusão sobre Frase Secreta vs Senha#

No debate entre frase secreta e senha, o formato é um empate e a aleatoriedade é tudo. Uma frase secreta aleatória de 7 palavras do Diceware carrega aproximadamente os mesmos 90 bits de entropia que uma senha aleatória de 15 caracteres, e ambas são praticamente inquebráveis hoje. Escolha uma frase secreta quando precisar lembrar e digitar o segredo, e uma senha longa e aleatória quando um gerenciador a armazenar para você.

O único erro a evitar é inventar a frase secreta você mesmo. No instante em que um humano escolhe as palavras, a matemática da entropia para de proteger você. Deixe uma ferramenta rolar os dados, escolha um comprimento que corresponda aos riscos, e você terá um segredo que é forte e fácil de lembrar.

Perguntas Frequentes#

Uma frase secreta é mais segura que uma senha? Não inerentemente. Com entropia igual, uma frase secreta e uma senha são igualmente seguras. Uma frase secreta gerada aleatoriamente geralmente acaba sendo mais forte na prática porque as pessoas escolhem frases mais longas e as acham mais fáceis de lembrar, mas uma senha aleatória com entropia equivalente é igualmente difícil de quebrar. O fator decisivo é a verdadeira aleatoriedade, não o formato.

Quantas palavras uma frase secreta deve ter? Use pelo menos cinco palavras escolhidas aleatoriamente de uma boa lista como a EFF Diceware para qualquer conta real (cerca de 64 bits de entropia). Use seis ou sete palavras (cerca de 77 a 90 bits) para contas sensíveis e para a chave mestra do seu gerenciador de senhas. Quatro palavras é aceitável apenas para logins de baixo risco.

"cavalo bateria clipe correto" é uma senha segura para usar? Não, não mais. É o exemplo de frase secreta mais famoso da internet, então está em todas as listas de palavras de atacantes e seria quebrado instantaneamente. A tirinha do xkcd que a popularizou estava ensinando o método, não distribuindo uma senha. Gere suas próprias palavras aleatórias e nunca reutilize um exemplo publicado.

Por que uma frase secreta baseada na minha citação favorita é fraca? Porque você não criou aleatoriedade real. Citações, letras de música e frases famosas estão em dicionários de cracking, então um atacante as adivinha muito antes de combinações aleatórias de palavras. A matemática de entropia que torna as frases secretas fortes só se aplica quando cada palavra é escolhida por dados ou um gerador seguro, não pela sua memória.

Uma frase secreta pode substituir a autenticação de dois fatores? Não. Uma frase secreta forte protege contra adivinhação e força bruta, mas não faz nada se o segredo for phishing, vazado em uma violação ou roubado por malware. A autenticação de dois fatores defende contra essas ameaças separadas. Use uma frase secreta ou senha forte e única junto com 2FA, já que cobrem diferentes caminhos de ataque.

Qual é a maneira mais segura de gerar uma frase secreta? Use dados físicos com a lista de palavras EFF Diceware, ou uma ferramenta que use uma fonte criptograficamente segura de aleatoriedade. Evite qualquer coisa que permita que você escolha ou edite as palavras manualmente, pois isso reintroduz previsibilidade humana. Um gerador adequado seleciona cada palavra de forma independente e aleatória, que é exatamente o que a estimativa de entropia assume.

passwordspassphrasedicewarecomparison

More from Molixa

Try Molixa Tools

50+ free AI tools for content creation, SEO, coding, and more. No signup, no watermark.

Explore all tools