O que o Gerador de Senhas produz
O Gerador de Senhas cria senhas fortes e aleatórias prontas para colocar em qualquer conta ou gerenciador de senhas. Aperte Gerar e você recebe algo como:
kT9$mB&pQ2zX5*nF · Wx7!hY#rL3eA8@cV · pN4?jM%bU6kQ$gZ
Cada senha tem 16 caracteres por padrão — longa o bastante para resistir a ataques de força bruta, curta o bastante para digitar se for preciso. Tamanho, classes de caractere (maiúsculas, minúsculas, dígitos, símbolos) e quantidade são todos ajustáveis. O gerador roda inteiramente no seu navegador; nada cruza a rede e nenhuma senha é armazenada.
Por que usar um gerador de senhas em vez de inventar uma
Humanos são previsivelmente ruins em aleatoriedade. Estudos de bases de senhas vazadas encontram repetidamente os mesmos padrões: anos de nascimento, nomes, sequências do teclado (qwerty, 12345), uma única palavra de dicionário com um dígito e ponto de exclamação adicionados. Escolha qualquer string "aleatória" sozinho e há alta chance de um atacante já ter visto o padrão.
Um gerador de senhas resolve três problemas de uma vez:
- Aleatoriedade real — a saída é gerada a partir de aleatoriedade criptográfica, não de algo que possa ser adivinhado sobre a fonte
- Conformidade com classes de caractere — a maioria das contas exige pelo menos uma letra maiúscula, um dígito e um símbolo; o gerador satisfaz isso automaticamente
- Velocidade — você produz uma senha nova em menos de um segundo e cola direto num gerenciador de senhas, sem a tentação de reutilizar
O problema da "reutilização" importa mais do que as pessoas percebem. Cerca de 65% dos usuários da internet admitem reutilizar a mesma senha em vários sites. Quando um site é invadido, atacantes rodam aquelas credenciais vazadas contra todo serviço importante — credential stuffing responde pela maior parte dos ataques automatizados de tomada de conta. Um gerador remove o atrito que torna a reutilização tentadora.
Como o gerador funciona
Por baixo dos panos, o Gerador de Senhas usa crypto.getRandomValues() — o gerador de números aleatórios criptograficamente seguro do seu navegador. Isso é significativamente diferente de Math.random(), que é determinístico e inadequado para segurança.
A saída de crypto.getRandomValues() é adequada para senhas reais de contas. A mesma API é usada para gerar tokens de sessão, chaves de criptografia e outros valores sensíveis em aplicações web de produção.
A geração acontece caractere por caractere: o gerador amostra o alfabeto escolhido uniformemente ao acaso, aplica qualquer restrição que você configurou (precisa incluir um símbolo, precisa incluir um dígito) e concatena o resultado. Se você pede uma senha nova, ele amostra de novo do zero — não há relação entre saídas consecutivas.
Um detalhe importante: o gerador vai, por padrão, garantir que sua senha contenha pelo menos um caractere de cada classe ativada. Sem essa garantia, uma senha de 16 caracteres do alfabeto ASCII completo de 94 caracteres pode ocasionalmente faltar um símbolo, o que então quebra exigências de complexidade impostas pelo site.
Customizando a saída
Os padrões funcionam na maioria dos casos, mas cada opção importa em cenários específicos:
| Opção | Padrão | Faixa | Quando mudar |
|---|---|---|---|
| Tamanho | 16 | 4–64 | Aumente para 20+ em carteiras cripto, senhas mestras, contas root |
| Maiúsculas A–Z | Ligado | Lig / Desl | Desligado só quando um site recusa maiúsculas (raro) |
| Minúsculas a–z | Ligado | Lig / Desl | Sempre deixe ligado |
| Dígitos 0–9 | Ligado | Lig / Desl | Sempre deixe ligado |
| Símbolos !@#$… | Ligado | Lig / Desl | Desligado quando um site rejeita; aumente o tamanho para 20 para compensar |
| Evitar ambíguos | Desl | Lig / Desl | Ligado quando você vai digitar a senha manualmente (exclui O, 0, I, l, 1) |
Para a maioria dos sites, 16 caracteres com as quatro classes de caractere é mais que suficiente. A matemática: 16 caracteres × ~94 símbolos possíveis por posição ≈ 1031 combinações possíveis. Uma fazenda de GPUs moderna fazendo ~100 bilhões de tentativas por segundo ainda levaria trilhões de anos para esgotar o espaço.
Para senhas mestras de gerenciador, frases-semente de carteiras cripto e credenciais de alto risco similares, esticar o tamanho para 20–24 é razoável. O custo de lembrar uma senha extra-longa (você só tem uma) é muito menor que o custo de alguém quebrar.
Boas práticas e considerações
Uma senha forte é necessária mas não suficiente. O Gerador de Senhas cuida da parte de "deixar aleatória e forte"; o quadro completo tem mais algumas peças:
- Uma senha única por site. Reutilizar é a causa #1 de contas comprometidas mesmo quando as senhas individuais são fortes.
- Use um gerenciador de senhas. 1Password, Bitwarden, KeePass — qualquer um. O ponto inteiro de um gerador é que você não precisa lembrar da saída; o gerenciador lembra.
- Ative autenticação em dois fatores. Mesmo uma senha vazada não dá acesso se o 2FA está ligado. Apps autenticadores batem SMS onde suportados.
- Pule as "perguntas de complexidade". Frases-senha memoráveis mas obscuras (quatro palavras aleatórias de um dicionário, ~25 caracteres) servem para as poucas contas que você precisa digitar mesmo — login do notebook, senha do celular. Strings aleatórias geradas são para todo o resto.
- Não anote senhas em arquivos de texto puro, post-its ou apps de notas sem criptografia. O gerenciador de senhas existe para isso.
Sobre tamanho vs complexidade: uma senha de 20 caracteres só com minúsculas é mais difícil de quebrar que uma de 12 caracteres com todos os símbolos. Tamanho vence. Se um site limita os dois, priorize chegar a 16+ caracteres antes de se preocupar com variedade.
Mais uma coisa: não confie em medidores de força de senha em páginas de cadastro. A maioria é grosseira — eles recompensam "P@ssw0rd!" porque tem as classes pedidas, mas é uma das senhas mais quebradas que existem. Uma senha realmente forte é longa e imprevisível, e um medidor só consegue verificar a primeira metade. A saída do Gerador de Senhas é imprevisível por construção, então qualquer senha que ele produz vai passar fácil em qualquer medidor.
Vale conhecer as frases-senha: uma string de quatro ou cinco palavras aleatórias em português (correto-cavalo-bateria-grampo é o exemplo famoso) pode ser memorável e segura, com cerca de 50–70 bits de entropia. São úteis para o pequeno conjunto de senhas que você de fato precisa digitar de memória — sua senha mestra do gerenciador, login do notebook, senha do celular. Para o resto, strings aleatórias do Gerador de Senhas são mais curtas, mais compatíveis com exigências de site e igualmente fortes. Use os dois: frases-senha para as poucas que você lembra, strings geradas para as centenas que você não lembra.
Geradores relacionados
Montando um kit de segurança ou fixture de teste? Alguns geradores relacionados do Microapp completam:
- Gerador de UUID — para identificadores únicos em bancos, requisições de API e rastreio de sessão. Random v4 por padrão; criptograficamente adequado.
- Gerador de Número Aleatório — quando você precisa de números aleatórios limitados (rolagens de dado, sorteios, tamanhos de amostra) em vez de strings.
- Gerador de Hash MD5 e Gerador SHA-256 — para fazer hash de senhas, arquivos ou strings (nota: não armazene senhas de usuário como MD5/SHA-256 puros; use bcrypt ou argon2 no servidor).
- Gerador de E-mail — endereços placeholder para teste. Use os endereços gerados com a saída do gerador de senha para fixtures de teste completas.
Perguntas frequentes
Essas senhas são de fato seguras para contas reais?
Sim. O gerador usa crypto.getRandomValues(), que é o mesmo RNG seguro usado para gerar tokens de sessão e chaves de criptografia em apps de produção. Uma senha de 16 caracteres deste gerador tem cerca de 1031 valores possíveis — muito além do que o hardware atual consegue quebrar por força bruta. Para contas do dia a dia, senhas mestras em gerenciadores e frases-senha de carteiras cripto, a saída é adequada.
A senha gerada é enviada para algum servidor?
Não. A geração roda inteiramente no seu navegador usando JavaScript. Nada cruza a rede. O servidor do Microapp não tem registro de nenhuma senha gerada.
Se eu gerar com as mesmas opções duas vezes, vou pegar a mesma senha?
Não — esse é o ponto. Cada clique produz uma amostra aleatória nova. Não há relação entre saídas consecutivas, mesmo com configurações idênticas.
Devo usar a mesma senha gerada em várias contas?
Nunca. Reutilizar senhas entre sites é a principal causa de ataques de credential stuffing (onde credenciais vazadas de uma invasão são testadas contra outros serviços). Gere uma por conta e guarde num gerenciador de senhas.
Qual é a configuração mais forte?
Para contas típicas, 16 caracteres com as quatro classes de caractere é mais que suficiente. Para senhas mestras, chaves de criptografia ou qualquer coisa que você considera catastrófico se for comprometido, vá para 20–24 caracteres com todas as classes ativadas. Além disso o ganho marginal de segurança diminui.
Por que meu banco rejeita a senha gerada?
Alguns sites têm restrições antigas de conjunto de caractere — eles rejeitam símbolos específicos (frequentemente $, %, &) ou limitam tamanho a 12. Desligue os símbolos e aumente o tamanho para 20+ para compensar. Isso dá força aproximadamente equivalente usando só letras e dígitos.
E sobre "frases-senha" — quatro palavras aleatórias?
Frases-senha (estilo correto-cavalo-bateria-grampo) são ótimas para as poucas senhas que você precisa digitar de memória: login do notebook, senha mestra do gerenciador, senha do celular. Para todo o resto, uma string aleatória deste gerador é mais curta, mais compatível com exigências de site e igualmente forte. Use os dois — a ferramenta certa para o trabalho certo.
Por que algumas senhas geradas são mais fáceis de digitar que outras?
Pura sorte. O gerador amostra uniformemente do alfabeto escolhido, então uma senha individual pode acabar misturando caracteres parecidos (muitos Os e 0s) ou alternando casos de forma desajeitada. Se você vai digitar a senha manualmente em vez de copiar e colar, gere algumas e escolha uma que pareça boa — ou ative a opção "evitar caracteres ambíguos" para filtrar as combinações mais traiçoeiras.