O Que e uma Boa Politica de Senhas?
Uma politica de senhas define as regras minimas que uma senha deve atender para ser aceita em um sistema. A ciencia moderna mudou bastante nos ultimos anos - o que antes era boa pratica (expiracao a cada 90 dias, complexidade obrigatoria) hoje e considerado contraproducente.
Principios modernos (2026)
- Tamanho > complexidade - 16 caracteres minusculos e mais seguro que 8 com tudo
- Permita tudo - aceite todos os caracteres Unicode imprimiveis (emojis, espacos, acentos)
- Bloqueie senhas conhecidas - listas de vazamentos, dicionarios e variacoes comuns
- Nao force expiracao - so exija troca se houver suspeita de comprometimento
- MFA como padrao - senha sozinha nunca e suficiente
- Monitore autenticacoes anomalas - login de local novo, dispositivo novo
Padroes de Referencia
NIST SP 800-63B (EUA)
A diretriz de autenticacao digital do NIST (National Institute of Standards and Technology), revisao 3 de 2017 e atualizacoes de 2024. E considerada o padrao-ouro para politicas modernas.
- Minimo 8 caracteres (recomendado 16+)
- Nao exija complexidade (misturar maiusculas/numeros/simbolos)
- Nao exija expiracao periodica sem motivo
- Bloqueie senhas em listas de vazamentos
- Permita todos os caracteres imprimiveis, incluindo espacos e Unicode
- Limite tentativas de login (rate limiting)
ISO/IEC 27001 e 27002
Norma internacional de gestao de seguranca da informacao. Menos especifica que o NIST, mas exige politica formal de controle de acesso e gestao de credenciais (controle A.9.4.3). Referencia pratica comum: 12+ caracteres, complexidade misturada, alinhado a risco do ativo.
PCI-DSS 4.0
Padrao do setor de cartoes de pagamento. Requisito 8.3.6 exige senhas com minimo 12 caracteres contendo letras e numeros. Considera-se que MFA e obrigatorio para acesso administrativo e acesso remoto a ambientes de dados de cartao (CDE).
LGPD (Brasil)
A LGPD nao especifica regras tecnicas de senha, mas o Art. 46 exige adocao de medidas de seguranca aptas a proteger dados pessoais. Na pratica, ISMS (ISO 27001) e ANPD recomendam 12+ caracteres, MFA e proibicao de reuso. Para detalhes, veja nosso guia de implementacao tecnica da LGPD.
Cada caractere adicional multiplica o espaco de busca pelo tamanho do alfabeto. Em alfabeto de 62 chars (a-z,A-Z,0-9), cada char adicional multiplica por 62. De 8 para 9 chars: 62x mais combinacoes. Tamanho e de longe a variavel mais importante.
Entendendo Entropia
Entropia (em bits) mede quanto uma senha e imprevisivel. Calcula-se como:
entropia = tamanho * log2(tamanho_do_alfabeto)
Tabela de referencia
- < 40 bits - Fraca, quebrada em segundos por GPU moderna
- 40-60 bits - Regular, vulneravel a forca bruta em horas/dias
- 60-80 bits - Boa, resistente a brute force offline por meses
- 80-100 bits - Forte, resistente por anos mesmo com hardware avancado
- 100+ bits - Excelente, sem ataque conhecido em tempo razoavel
Pegadinha da entropia
O calculo acima assume senha aleatoria. Uma senha como Empresa@2026 tem teoricamente ~66 bits, mas na pratica tem <25 bits de entropia real porque segue padroes humanos previsiveis. Atacantes usam dicionarios e regras que priorizam esses padroes.
Erros Comuns em Politicas
- Forcar expiracao frequente - usuarios incrementam (Empresa@2025 → Empresa@2026), reduzindo qualidade
- Tamanho maximo baixo - bloquear senhas com mais de 16 chars impede uso de passphrases
- Regras complexas confusas - usuarios escrevem em post-it
- Lista de caracteres proibidos - sinaliza sistema armazenando em texto puro ou com SQL vulneravel
- Nao bloquear vazamentos conhecidos - atacantes comecam por ai (credential stuffing)
- Sem MFA - nenhuma politica de senha sozinha compensa ausencia de MFA
Recomendacoes Praticas
Para usuarios
- Use um gerenciador de senhas (Bitwarden, 1Password, KeePassXC)
- Senha unica para cada servico - jamais reutilize
- Use passphrases (5-7 palavras aleatorias) para o que precisa decorar
- Ative MFA (preferir TOTP ou passkeys sobre SMS)
- Troque senha apenas se suspeitar de vazamento
Para organizacoes
- Adote NIST SP 800-63B como baseline
- Minimo 12-16 caracteres conforme criticidade
- Implemente bloqueio de senhas vazadas (haveibeenpwned API, listas internas)
- MFA obrigatorio para admins e acesso remoto
- Treinamento de conscientizacao - veja nosso programa gratuito
- SSO + gerenciador corporativo para reduzir quantidade de senhas
Perguntas Frequentes
Foca em tamanho (12-16+ caracteres), diversidade, bloqueio de senhas comuns/vazadas, permite todos os caracteres e NAO forca trocas periodicas sem motivo. E a diretriz moderna do NIST SP 800-63B.
Abandonou praticas tradicionais: nao exige complexidade obrigatoria, nao exige expiracao, exige minimo 8 (recomendado 16+), bloqueio de listas de vazamento e permite Unicode. Foco mudou para tamanho e aleatoriedade.
Nao. Trocas arbitrarias diminuem qualidade (usuarios incrementam numero). Troque apenas se houver suspeita de comprometimento. Mitigue risco com MFA, deteccao de vazamentos e monitoramento.
Entropia (bits) mede imprevisibilidade. 8 chars minusculos = ~38 bits (fraca); 12 mistos = ~72 bits (boa); 16 mistos = ~95 bits (forte). Mire em 80+ bits para contas comuns.
Nao. Toda validacao acontece no navegador em JavaScript puro. Nenhuma senha e transmitida, salva ou registrada. Lista de senhas comuns embutida no codigo. Abra DevTools (F12) para auditar.
Outras Ferramentas Gratuitas
Gerador de Senhas
Gere senhas fortes ou passphrases com criptografia segura do navegador. Configuravel, 100% local.
Calculadora de Hash
Calcule MD5, SHA-1, SHA-256 e outros hashes - util para entender por que senhas em SHA puro sao inseguras.
Codificador Base64/URL/Hex
Converta texto entre Base64, URL e Hexadecimal. Util para pentest e analise de payloads.
Sua empresa precisa de politica de senhas alinhada a NIST/ISO/LGPD?
Implementamos politicas, controles tecnicos (AD/LDAP, SSO, MFA), conscientizacao e auditoria de conformidade.
Solicitar Proposta