Em 2026, uma senha deve ter pelo menos 15 caracteres, e mais longa para qualquer coisa sensível. As orientações modernas do NIST consideram o comprimento o fator mais importante, à frente de símbolos forçados e letras maiúsculas/minúsculas. Busque de 15 a 20 caracteres ou uma frase de quatro a cinco palavras para obter a entropia que derrota ataques de força bruta.
Por anos, as regras foram "use 8 caracteres com uma maiúscula, um número e um símbolo." Esse conselho está desatualizado e, em alguns lugares, ativamente contraproducente. O consenso atual de pesquisadores de segurança e do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) é mais simples e mais forte: torne-a longa. Este guia explica por que o comprimento supera a complexidade, os alvos de entropia que valem a pena atingir e aproximadamente quanto tempo diferentes senhas levam para ser quebradas.
Qual Deve Ser o Tamanho de uma Senha? A Resposta Curta#
O mínimo prático em 2026 é 15 caracteres. As diretrizes atuais de identidade digital do NIST recomendam que os sistemas permitam senhas de pelo menos 64 caracteres e verifiquem um mínimo de 8, mas as equipes de segurança tratam amplamente 15 como o mínimo real para uma senha forte, porque cada caractere extra multiplica o trabalho que um invasor precisa fazer.
Aqui está a forma em níveis de pensar sobre isso:
- Mínimo aceitável: 12 caracteres. Funciona, mas cada vez mais é o limite inferior.
- Padrão forte: 15 a 16 caracteres para contas do dia a dia.
- Contas sensíveis: 20+ caracteres para e-mail, banco, gerenciador de senhas e logins de administrador. Estas são as chaves para todo o resto.
O motivo pelo qual o tamanho vence é mecânico, não uma questão de opinião. Cada caractere que você adiciona multiplica o número de combinações possíveis que um invasor precisa testar. Vamos quantificar isso a seguir com entropia.
Por que o Comprimento Supera a Complexidade#
A regra antiga incentivava a complexidade: incluir uma letra maiúscula, um dígito e um símbolo. O problema é que os humanos satisfazem essas regras de maneiras previsíveis. "Senha" vira "Senha1!". O símbolo forçado quase não adiciona nada, pois os atacantes conhecem os padrões e, pior, as regras de complexidade levam as pessoas a criar strings curtas e difíceis de lembrar, que depois reutilizam em todos os lugares.
O NIST reverteu explicitamente essa abordagem. As diretrizes atuais dizem para parar de forçar regras arbitrárias de composição (sem mistura obrigatória de tipos de caracteres) e parar de forçar trocas periódicas de senha, a menos que haja evidência de comprometimento. Ambos os velhos hábitos tornavam as senhas mais difíceis para os humanos sem torná-las significativamente mais difíceis para os computadores.
O comprimento faz o oposto. Uma frase longa como cavalo-correto-bateria-grampo é fácil de lembrar e brutal para uma máquina adivinhar, pois sua força vem do número enorme de combinações, não de um $ que você esquecerá que adicionou.
A mudança em uma frase: uma frase memorável de 16 caracteres supera uma string enigmática de 8 caracteres em todos os aspectos que importam, tanto segurança quanto usabilidade.
Entropia: O Número Que Realmente Mede a Força#
"Força" soa vago até que você coloque um número nela. Esse número é a entropia, medida em bits. A entropia estima o quão imprevisível uma senha é, e dobra a cada bit adicional. A fórmula para uma senha gerada aleatoriamente é:
Entropia (bits) = comprimento x log2(tamanho do conjunto de caracteres)
O conjunto de caracteres é quantos símbolos cada posição pode ter:
- apenas letras minúsculas: 26
- minúsculas + maiúsculas + dígitos: 62
- adicionando símbolos comuns: cerca de 95
Coloque valores reais e o papel do comprimento fica evidente:
| Senha | Conjunto de caracteres | Entropia (bits) |
|---|---|---|
| 8 caracteres, letras + dígitos | 62 | ~48 bits |
| 12 caracteres, letras + dígitos | 62 | ~71 bits |
| 15 caracteres, letras + dígitos | 62 | ~89 bits |
| 16 caracteres, com símbolos | 95 | ~105 bits |
| Frase secreta aleatória de 4 palavras | 7.776 palavras | ~52 bits |
| Frase secreta aleatória de 5 palavras | 7.776 palavras | ~65 bits |
As metas a serem alcançadas:
- 60+ bits: um piso razoável para contas do dia a dia. Uma senha alfanumérica aleatória de 12 caracteres ultrapassa isso.
- 80+ bits: confortavelmente forte. Uma senha alfanumérica aleatória de 15 caracteres chega aqui.
- 128 bits: o padrão ouro para segredos de alto valor, o tipo de entropia usado em chaves criptográficas. Uma senha de 20 caracteres com conjunto misto se aproxima disso.
Observe as linhas de frases secretas. Uma frase secreta aleatória de quatro palavras (o método Diceware, onde as palavras são escolhidas por dados ou um gerador aleatório seguro de uma lista de 7.776 palavras) fica em torno de 52 bits, e adicionar uma quinta palavra ultrapassa 65. É por isso que uma frase secreta longa é memorável e forte, desde que as palavras sejam escolhidas aleatoriamente, não de uma letra de música.
Comprimento da Senha vs. Tempo de Quebra#
Entropia é abstrata, então aqui está o que ela significa em tempo real. Os números abaixo assumem um ataque offline contra uma máquina rápida com GPU, que tenta cerca de 100 bilhões de candidatos por segundo, um teto realista para quebrar um banco de dados vazado de senhas com hash fraco. (Ataques online contra um login ativo são muito mais lentos devido a limites de taxa.)
| Senha | Entropia | Tempo para quebrar (ataque offline rápido) |
|---|---|---|
| 8 caracteres, letras + dígitos | ~48 bits | Minutos |
| 12 caracteres, letras + dígitos | ~71 bits | Séculos |
| 15 caracteres, letras + dígitos | ~89 bits | Milhões de anos |
| 16 caracteres, com símbolos | ~105 bits | Efetivamente para sempre |
| Frase-senha aleatória de 4 palavras | ~52 bits | Horas |
| Frase-senha aleatória de 5 palavras | ~65 bits | Muitos anos |
Observe o salto de 8 para 15 caracteres. Adicionar sete caracteres leva o tempo de quebra de minutos para milhões de anos, no mesmo hardware. Essa é toda a argumentação pelo comprimento em uma linha. Uma senha de 8 caracteres, mesmo "complexa", não é mais segura contra um invasor que tem sua senha com hash offline.
Duas ressalvas mantêm isso honesto:
- Esses tempos assumem uma senha verdadeiramente aleatória. Uma senha de 15 caracteres construída a partir de uma palavra de dicionário mais um ano é muito mais fraca do que seu comprimento sugere, porque os invasores adivinham padrões primeiro, não strings aleatórias.
- Os números dependem de como o site armazenou sua senha. Um hash lento e salgado (bcrypt, Argon2) torna os ataques muito mais lentos do que o teto de hash rápido acima. Você não controla isso, o que é mais um motivo para apostar no comprimento.
Você pode ver entropia ao vivo e estimativas de tempo de quebra para qualquer candidato com um verificador de força de senha gratuito, que é a maneira mais rápida de sentir a diferença entre 8 e 16 caracteres.
Como Criar uma Senha Forte em 2026#
Você tem duas boas opções: uma string aleatória de um gerador (melhor, combinada com um gerenciador de senhas) ou uma frase aleatória (melhor quando você precisa memorizá-la). Aqui está o fluxo de trabalho de qualquer forma.
Passo 1: Escolha o comprimento antes de qualquer outra coisa#
Decida o comprimento primeiro com base no valor da conta: 15 a 16 caracteres para logins comuns, 20+ para seu e-mail, banco e gerenciador de senhas. O comprimento é a alavanca, então defina-o alto e deixe as outras escolhas seguirem.
Passo 2: Gere aleatoriamente, não invente#
Humanos são péssimos geradores de números aleatórios. Recorremos a nomes, datas e padrões de teclado que os atacantes testam primeiro. Use um gerador de senhas gratuito para produzir uma string verdadeiramente aleatória do comprimento escolhido. Para contas que você precisa digitar de memória, gere uma frase de várias palavras, no mínimo quatro palavras, cinco para logins sensíveis.
Passo 3: Torne cada senha única#
O comprimento só protege uma conta se a senha não for reutilizada. Quando um site é violado, os atacantes repetem exatamente aquele par de e-mail e senha contra bancos, e-mail e lojas, uma tática chamada credential stuffing. Uma senha única por site contém o dano a uma conta. Isso é impossível de fazer de memória em escala, o que é todo o caso para um gerenciador de senhas.
Passo 4: Armazene-as em um gerenciador e ative a 2FA#
Um gerenciador de senhas gera, armazena e preenche automaticamente senhas longas e únicas, para que você memorize apenas uma frase mestra forte. Em seguida, adicione autenticação de dois fatores (um aplicativo autenticador ou chave de hardware, não SMS quando possível) em suas contas importantes. Mesmo uma senha perfeita é mais forte com um segundo fator por trás dela.
Passo 5: Verifique suas contas contra violações conhecidas#
Uma senha longa não adianta se já foi exposta em uma violação passada e agora está em uma wordlist. Verifique seus endereços de e-mail em um serviço como Have I Been Pwned e altere qualquer senha que aparecer. Daqui para frente, só troque senhas quando houver um motivo, não em um ciclo arbitrário de 90 dias que o NIST não recomenda mais.
Frase-senha vs Senha: Qual Usar?#
Ambas podem ser fortes. A escolha certa depende se uma máquina ou seu cérebro precisa lembrá-la.
- String de caracteres aleatórios (ex.:
7vQ!pL2m@Rk9zXw4): entropia máxima por caractere, ideal para tudo que seu gerenciador de senhas preenche para você. Você nunca digita, então não precisa ser memorável. - Frase-senha aleatória (ex.:
veludo-ancora-quebra-cabeca-pederneira): entropia ligeiramente menor por caractere, mas muito mais fácil de memorizar, ideal para os poucos segredos que você precisa digitar manualmente, como a senha mestra do seu gerenciador de senhas ou o login do seu notebook.
O pior cenário é o meio-termo: uma senha curta e "inteligente" que não é aleatória o suficiente para ser forte nem longa o suficiente para compensar. Seja qual for o estilo escolhido, gere-o com um gerador de senhas gratuito em vez de inventá-lo, para que o resultado seja genuinamente aleatório e não um padrão humano adivinhável. Para mais dicas sobre como criar credenciais difíceis de quebrar, veja nosso guia sobre o gerador de senhas para senhas à prova de hackers, e se você também trabalha com hashing, nosso gerador de hash cobre o lado dos algoritmos.
Perguntas Frequentes#
Qual deve ser o tamanho de uma senha em 2026? Pelo menos 15 caracteres para uma senha forte do dia a dia, e 20 ou mais para contas sensíveis como e-mail, banco e seu gerenciador de senhas. O NIST trata o comprimento como o fator mais importante e não recomenda mais regras forçadas de complexidade ou expiração periódica de senhas.
Uma senha de 12 caracteres ainda é segura? Uma senha de 12 caracteres verdadeiramente aleatória é viável, com cerca de 71 bits de entropia que resiste à maioria dos ataques. Mas 15 caracteres é o padrão mais seguro em 2026, porque cada caractere extra multiplica o trabalho do atacante, levando o tempo de quebra de séculos para milhões de anos contra hardware offline rápido.
Comprimento ou complexidade é mais importante para uma senha? Comprimento. Adicionar caracteres aumenta o número de combinações possíveis muito mais rápido do que adicionar um único símbolo, e regras forçadas de complexidade levam as pessoas a senhas curtas, previsíveis e reutilizadas. Uma frase secreta longa e aleatória supera uma string curta e enigmática tanto em segurança quanto em memorabilidade.
O que é uma frase secreta e ela é mais forte que uma senha? Uma frase secreta são várias palavras aleatórias unidas, como quatro ou cinco palavras escolhidas pelo método Diceware. Pode ser muito forte, cerca de 52 bits para quatro palavras e 65 ou mais para cinco, sendo muito mais fácil de lembrar do que uma string de caracteres aleatórios. A força vem das palavras serem aleatórias, não de uma citação familiar.
Como a força da senha é realmente medida? Pela entropia, em bits, calculada como o comprimento multiplicado pelo logaritmo na base 2 do tamanho do conjunto de caracteres. Mais bits significam mais imprevisibilidade e um tempo de quebra maior. Busque 60 bits ou mais para contas comuns e 128 bits para segredos de alto valor. Um verificador de força de senha mostra a estimativa em tempo real.
Quanto tempo leva para quebrar uma senha? Depende do comprimento, aleatoriedade e como o site a armazenou. Contra um ataque offline rápido, uma senha de 8 caracteres cai em minutos, enquanto uma aleatória de 15 caracteres levaria milhões de anos. Senhas baseadas em dicionário caem muito mais rápido do que seu comprimento sugere, porque os atacantes testam padrões comuns primeiro.
