Guia de segurança

Entropia de senhas e como funciona a quebra

A entropia é a medida de quão imprevisível é uma senha e ajuda a estimar a dificuldade de um ataque.

O que é entropia

A entropia expressa o número de senhas possíveis em escala logarítmica de base 2 (bits). Por exemplo, 40 bits equivalem a cerca de 1 trilhão de possibilidades, e 60 bits, a cerca de 1 quintilhão.

A entropia é calculada aproximadamente por 'comprimento × log2(tamanho do conjunto de caracteres)'. Aumentar o comprimento é a forma mais certeira de elevar a entropia.

Força bruta vs. ataque de dicionário

A força bruta tenta todas as combinações possíveis, uma a uma, então, quanto maior a entropia, mais irrealisticamente demorado ela se torna.

O ataque de dicionário tenta primeiro senhas comuns, palavras e listas de vazamentos. Por isso, mesmo uma senha longa cai num instante se for uma palavra ou padrão comum. É por isso que a aleatoriedade importa.

Hash e vazamentos

Sites bem feitos armazenam senhas como hash, e não em texto puro. Mas, se os dados vazarem, o invasor pode fazer bilhões de tentativas por segundo, offline.

Nessa situação, uma senha longa e aleatória torna o custo de quebra inviável e, na prática, ela permanece segura.

Quão forte é preciso ser

Um critério prático é o seguinte.

  • Menos de 28 bits: muito fraca (quebrada na hora)
  • 40–60 bits: razoável (contas sem importância)
  • 60–100 bits: forte (suficiente para a maioria das contas)
  • Mais de 100 bits: muito forte (segurança de longo prazo)
Voltar à lista de guias