search

Found

info Visão geral

Comprimento, conjunto de caracteres, bits de força bruta, entropia Shannon e tempo de quebra de uma senha em três modelos de ataque.

📘 Como usar

  1. Digite a senha que deseja avaliar no campo de entrada
  2. Selecione um modelo de atacante (online, KDF offline ou GPU)
  3. Consulte o conjunto de caracteres, a entropia Shannon e o tempo estimado de quebra

Calculadora de entropia Shannon de senha

A entrada é processada localmente no seu navegador.

※ Entropia força bruta = comprimento × log2(tamanho do pool). Shannon mede a informação por caractere segundo a frequência observada.

※ Estes valores são aproximações e ignoram ataques de dicionário, vazamentos ou dados pessoais. Em produção, combine gerenciador de senhas e autenticação multifator.

Comprimento
0 car.
Conjunto de caracteres
0 símbolos
Entropia força bruta
0 bits
Shannon (por car.)
0.00 bits/car.
Shannon (total)
0 bits

Tempo estimado de quebra

Classes de caracteres detectadas

a-z A-Z 0-9 !@# U+

grid_view Relacionados

Article

Calculadora de entropia Shannon de senha | Conjunto de caracteres, bits Shannon e tempo de quebra por modelo

Calcule o comprimento, o conjunto de caracteres, a entropia de força bruta (bits) e a entropia Shannon (bits por caractere) de uma senha e veja o tempo estimado de quebra em três modelos de atacante numa única tela. Feita para expor a diferença entre o quanto uma senha parece complexa e o quanto ela é realmente difícil de adivinhar.

💡 Sobre esta ferramenta

A maioria dos medidores mostra uma barra colorida e para por aí. Isso quase nada diz sobre qual ameaça você está enfrentando. Uma senha que resiste séculos diante de um formulário de login com limite de tentativas pode cair em horas assim que um atacante rouba o hash e o processa numa GPU. Esta calculadora separa esses cenários em vez de reduzi-los a uma única pontuação.

Dois números fazem o trabalho. A entropia de força bruta é comprimento × log2(tamanho do pool): o teto teórico supondo que o atacante percorre todas as combinações do conjunto de caracteres. A entropia Shannon é calculada a partir das frequências reais dos caracteres digitados, de modo que repetições ou vieses a reduzem. Quando as duas divergem, essa lacuna indica que a senha parece mais densa do que de fato é (compare aaaa1111 com k7Qm9xZr).

Os três modelos de atacante diferem em ordens de grandeza de velocidade: online (~10^4/s) modela um endpoint com limite de taxa; KDF offline (~10^10/s) modela um hash roubado protegido por um KDF lento como bcrypt; e GPU offline (~10^12/s) modela um hash rápido de rodada única como SHA-256 quebrado em clusters GPU. Alternar entre eles mostra por que salgar os hashes e usar bcrypt não é folclore: a mesma senha pode passar de minutos a milênios.

🧐 Perguntas frequentes

Qual número importa de verdade, força bruta ou Shannon? Para um limiar prático, use a entropia de força bruta (bits totais). Abaixo de 60 bits é frágil; 128 ou mais é classificado aqui como muito forte. Leia a Shannon como uma verificação que detecta entradas pouco diversas.

Adicionar um símbolo realmente ajuda? Incluir qualquer símbolo ASCII soma 32 ao pool, o que aumenta o termo log2 uma vez. Aumentar o comprimento soma esse termo a cada caractere extra, então uma frase-senha mais longa quase sempre vence um ! solto.

Por que meu tempo de quebra aparece em séculos? É um limite superior que assume força bruta pura. Ele ignora ataques de dicionário, preenchimento de credenciais com listas vazadas e adivinhação de dados pessoais. Uma senha de alta entropia que já conste num vazamento é quebrada instantaneamente.

Como os caracteres Unicode são tratados? Qualquer ponto de código acima do ASCII imprimível soma 1000 ao pool como aproximação. Isso eleva a entropia teórica, mas o atrito dos métodos de entrada torna o comprimento a alavanca mais confiável.

Minha senha é enviada para algum lugar? Não. A detecção de caracteres, o cálculo de entropia e as estimativas de tempo rodam em JavaScript dentro do seu navegador. O valor digitado nunca é transmitido a um servidor.

📚 Curiosidades

Tudo remonta ao artigo de Claude Shannon de 1948, em que a entropia media a imprevisibilidade de uma mensagem em bits, muito antes de ser aplicada a senhas. As recomendações evoluíram desde então: o NIST SP 800-63B agora desaconselha trocas periódicas obrigatórias e regras arbitrárias de composição, recomendando em vez disso o comprimento e a checagem contra listas de vazamentos. O motivo é comportamental: exigir "uma maiúscula, um símbolo" empurra as pessoas para padrões previsíveis como Senha1!, que parecem entrópicos a um medidor, mas lideram qualquer dicionário de ataque.