PwdFortress

Gerador de palavras-passe

Gerada no seu navegador através de crypto.getRandomValues. Nunca enviada para um servidor.

100% local · crypto.getRandomValues
20
864

Como funciona esta ferramenta

01

crypto.getRandomValues

Cada caráter é sorteado através da API criptográfica nativa do navegador (CSPRNG), em conformidade com a NIST SP 800-90A. Não é carregada qualquer biblioteca externa.

02

Cálculo de entropia

A entropia é calculada como L × log₂(N), em que L é o comprimento da palavra-passe e N o tamanho do conjunto de carateres. Acima de 70 bits, os ataques de força bruta modernos demoram séculos, mesmo com hardware especializado.

03

Indicador de força

Os limiares (fraca < 30 bits, razoável < 50 bits, forte < 70 bits, muito forte < 90 bits, excelente ≥ 90 bits) seguem as recomendações da OWASP para a força das palavras-passe.

Porquê 100% do lado do cliente?

A sua palavra-passe nunca sai do seu dispositivo. Ao contrário dos geradores no servidor, que enviam o pedido (e por vezes o resultado) através de uma rede, esta ferramenta não faz qualquer chamada de rede relacionada com a geração. Verifique o separador Rede do seu navegador para confirmar.

Como usar uma palavra-passe forte

Gerar uma palavra-passe forte é o primeiro passo. O passo seguinte é guardá-la de forma segura — não a escreva num ficheiro de texto ou num Google Doc.

Um gestor de palavras-passe encripta o seu cofre localmente antes da sincronização. Nem o fornecedor nem um eventual atacante consegue ler as suas palavras-passe sem a sua palavra-passe mestra.

Leia o nosso guia: criar uma palavra-passe forte →

Guarde as palavras-passe geradas

Uma palavra-passe forte guardada de forma insegura é inútil. O Bitwarden e o Proton Pass são open source, auditáveis e gratuitos.

Experimentar o Bitwarden (grátis)Experimentar o Proton Pass (grátis)

Perguntas frequentes

Este gerador guarda as minhas palavras-passe?

Não. Nenhuma palavra-passe gerada é guardada, transmitida ou analisada. Tudo permanece na memória do separador e desaparece quando fecha a página.

Que comprimento recomendam?

Mínimo de 16 carateres para contas comuns, 20+ para contas críticas (email, banco, gestor de palavras-passe). Acima de 20 carateres com maiúsculas + dígitos + símbolos, a entropia ultrapassa os 100 bits.

Porquê excluir os carateres ambíguos?

Os carateres I, l, 1, O e 0 são visualmente semelhantes consoante o tipo de letra. Se tiver de escrever uma palavra-passe manualmente, excluí-los evita erros de digitação.

O crypto.getRandomValues é mesmo seguro?

Sim. É a API criptográfica padrão dos navegadores modernos, alimentada pelo CSPRNG do sistema operativo (Windows CryptGenRandom, Linux /dev/urandom, macOS SecRandomCopyBytes). É a mesma fonte usada pelas extensões de navegador dos gestores de palavras-passe.

Qual é a diferença entre uma palavra-passe e uma frase-passe?

Uma frase-passe é uma série de palavras aleatórias (ex.: 'correto-cavalo-bateria-agrafo'). É mais longa, fácil de memorizar e pode atingir uma entropia elevada. Uma palavra-passe aleatória atinge a mesma entropia com menos carateres, mas é mais difícil de memorizar.