Profissionais de segurança da informação reforçam que o comprimento da senha, e não a complexidade de caracteres, é o fator decisivo para dificultar ataques de força bruta. A orientação atual recomenda substituir combinações curtas com letras, números e símbolos por frases-senha formadas por três ou quatro palavras comuns e aleatórias.
Entropia que realmente importa
Quando invasores obtêm hashes de senhas em vazamentos, eles executam milhões de tentativas por segundo até encontrar a combinação correta. Um código “complexo” de oito caracteres, como P@ssw0rd!, oferece cerca de 218 trilhões de possibilidades, volume que placas gráficas modernas podem esgotar em poucos meses. Já uma sequência de 16 caracteres apenas em minúsculas gera 2616 combinações, bilhões de vezes mais difíceis de quebrar.
Em termos práticos, quatro palavras aleatórias — por exemplo, “tapete-estático-pretzel-invocar” — apresentam entropia superior a curtas misturas de símbolos, além de serem mais fáceis de memorizar.
Vantagens operacionais
A adoção de passphrases traz efeitos diretos:
- Redução de chamados de reset, já que usuários deixam de anotar senhas ou criar pequenas variações repetidas;
- Maior resistência a ataques, pois combinações de palavras aleatórias fogem dos padrões otimizados por criminosos (substituições como “@” por “a” ou “0” por “o”);
- Alinhamento às diretrizes atuais do NIST, que priorizam extensão em vez de regras de complexidade.
Regra única para criação
A recomendação é escolher três ou quatro palavras sem relação entre si, separadas por um caractere. Exemplo: “manga-geleira-notebook-fornalha”. Não é necessário impor letras maiúsculas, números ou símbolos obrigatórios — apenas evitar frases famosas, nomes próprios e reutilização entre contas.
Implantação gradual
Para minimizar resistências internas, especialistas sugerem:
- Programa piloto com 50 a 100 colaboradores de áreas distintas durante duas semanas, sem bloqueio automático;
- Fase de alertas (modo “aviso”) para toda a organização, observando se a política de comprimento mínimo é respeitada;
- Aplicação definitiva após medir indicadores como adoção de passphrases, queda em ressetes e incidência de senhas banidas.
Ajustes de política
Nos servidores de diretório (Active Directory), três ajustes são considerados essenciais:
Imagem: Internet
- Aumentar o tamanho mínimo de oito para pelo menos 14 caracteres, acomodando frases-senha;
- Eliminar verificações de complexidade obrigatória (maiúsculas, números, símbolos);
- Bloquear credenciais comprometidas, consultando bases de dados de vazamentos em tempo real.
Ferramentas como o Specops Password Policy reúnem essas funções, sincronizando políticas no Active Directory e no Azure AD, além de atualizar diariamente a lista de senhas vazadas.
Com uma exigência de 15 caracteres e sem regras de complexidade, um usuário pode criar “guarda-chuva-montanha-fonte-esboço”. Verificada contra bancos de dados de credenciais expostas, a frase permanece válida e fácil de lembrar, dispensando anotações ou gerenciadores externos.
No cenário atual, o uso de frases-senha não substitui a autenticação multifator ou a monitoração de credenciais vazadas, mas representa o ponto mais eficaz para reforçar políticas de senha: maior comprimento, regras simplificadas e checagem contra vazamentos.
Com informações de The Hacker News
