Password Strength Checker
Analise a força da sua palavra-passe e procure fugas através do HIBP. Inteiramente no seu navegador.
Como funciona esta ferramenta
Análise local
A entropia é calculada a partir do conjunto de carateres usado (maiúsculas, minúsculas, dígitos, símbolos) e do comprimento. Também são detetados padrões fracos: palavras comuns, sequências de teclado, repetições e anos.
Estimativa do tempo de quebra
Assumindo um ataque de força bruta a 10 mil milhões de tentativas/segundo (GPU moderna), o tempo é estimado a partir da entropia: 2^bits / 10^10 segundos. Acima de 60 bits, um ataque demora anos.
Verificação HIBP (opcional)
Ao clicar no botão, é calculado um hash SHA-1 do lado do cliente. Apenas os primeiros 5 carateres (prefixo) são enviados para a API do Have I Been Pwned. Os sufixos devolvidos são comparados localmente — a sua palavra-passe completa nunca sai do dispositivo.
A sua palavra-passe nunca sai do navegador
A análise de força é inteiramente local: nenhuma chamada de rede. Para a verificação de fugas, apenas 5 carateres do hash SHA-1 circulam (k-anonimato). O Have I Been Pwned recebe um prefixo genérico — não consegue deduzir a sua palavra-passe a partir dele. Abra o separador Rede das DevTools para confirmar você mesmo.
Criar e guardar palavras-passe fortes
Uma palavra-passe forte (pelo menos 16 carateres, maiúsculas + dígitos + símbolos) produz uma entropia superior a 80 bits, tornando os ataques de força bruta praticamente impossíveis mesmo com hardware especializado.
Depois de ter uma palavra-passe forte, guarde-a num gestor de palavras-passe. Encripta o seu cofre localmente antes de qualquer sincronização na cloud.
Guarde as suas palavras-passe em segurança
Uma palavra-passe forte guardada de forma insegura não tem valor. O Bitwarden, o Proton Pass e o NordPass são open source, auditáveis e gratuitos.
Perguntas frequentes
A minha palavra-passe é enviada pela internet?
Não. A análise de força é 100% local. Na verificação HIBP, apenas os primeiros 5 carateres do hash SHA-1 da sua palavra-passe são transmitidos (k-anonimato). Nem o hash completo nem a palavra-passe em texto simples saem alguma vez do navegador — o Have I Been Pwned não consegue deduzir a sua palavra-passe a partir do prefixo.
O que é o Have I Been Pwned?
O Have I Been Pwned (HIBP) é uma base de dados pública criada pelo investigador de segurança Troy Hunt, que reúne mais de 10 mil milhões de pares de credenciais de fugas de dados conhecidas. A sua API de verificação usa k-anonimato para que o hash completo da palavra-passe nunca seja exposto.
Como é calculada a entropia?
A entropia é calculada como L × log₂(N), em que L é o comprimento da palavra-passe e N o tamanho do conjunto de carateres (26 minúsculas, 26 maiúsculas, 10 dígitos, 32 símbolos). Por exemplo, uma palavra-passe de 16 carateres com todos os conjuntos dá 16 × log₂(94) ≈ 104 bits.
Que pontuação mínima recomendam?
Procure pelo menos 'Forte' (60+ bits). Para contas críticas (email principal, banco, gestor de palavras-passe), aponte para 'Muito forte' (80+ bits) — ou seja, 16+ carateres com maiúsculas, dígitos e símbolos.
O que devo fazer se a minha palavra-passe foi exposta?
Mude-a imediatamente em todos os serviços onde a usou. Ative a autenticação de dois fatores (2FA) nessas contas. Use um gestor de palavras-passe para criar e guardar palavras-passe únicas para cada serviço.