Exemplos de senhas fortes e como criá-las

Como criar uma senha segura

A melhor maneira de criar uma senha forte é usar passphrases, que são frases longas compostas por 5 a 7 palavras aleatórias. Você também pode usar um gerenciador de senhas confiável para sugerir sequências aleatórias de 15 caracteres com letras maiúsculas, números e caracteres especiais para proteger sua senha contra quebra e outras tentativas de invasão.

Identificamos três práticas recomendadas para dar a você ideias de senhas mais fortes:

Evite senhas simples

Não utilize senhas óbvias ou comuns. Aqui está uma pequena lista de tipos de senha que você deve evitar:

• Lista de números ou letras em sequência, como “abcde” ou “12345”.

• Senha com o nome do usuário completo ou parcial.

• Qualquer informação pessoal, como data de nascimento ou a cidade onde vive.

• Uma linha com caracteres repetidos, como “aaaaa” ou “0000”.

• As palavras “password” ou “senha”. Acredite ou não, sim, as pessoas ainda fazem isso.

Não coloque informações pessoais nas suas senhas. Graças às redes sociais, hackers podem coletar facilmente informações básicas que você compartilhou (ou compartilhou em excesso) online e usarão tudo o que encontrarem em suas tentativas de quebra de senha.

Crie uma senha à prova de força bruta

Ataques de força bruta executam inúmeras combinações de caracteres em sequência na tentativa de descobrirem a senha da conta selecionada. Veja como combater essa técnica:

• De 15 a 20 caracteres ou mais: de acordo com as diretrizes atualizadas publicadas pelo National Institute of Standards and Technology (NIST), o comprimento é sua melhor defesa. Cada caractere adicional em sua senha aumenta muito suas combinações potenciais, resultando em maior entropia da senha e prolongando o tempo necessário para um ataque de força bruta.

• Use vários tipos de caracteres: especialmente ao usar um gerenciador de senhas, é melhor gerar senhas aleatórias que usem letras maiúsculas e minúsculas, além de símbolos e números. Ao incluir todos os tipos de caracteres estrategicamente (ou seja, aleatoriamente), maximiza-se o número de possibilidades por caractere, dificultando ainda mais a quebra da senha. Não se esqueça de usar pelo menos 15 caracteres para ter a melhor defesa.

• Evite substituições comuns de caracteres: hackers programam seus softwares de quebra de senha para levar em conta trocas de caracteres comuns, ou “leetspeak” (l337 $p34k), como “0” em vez de “O”. “p4$$w0rd” é tão fácil de quebrar quanto “password”.

• Vá além do QWERTY: evite usar caminhos de teclado memoráveis como “qwerty” ou “asdf”. Eles não são mais difíceis de quebrar do que palavras comuns.

Use passphrases

Junte várias palavras para criar passphrases extralongas que sejam altamente resistentes a ataques de dicionário e tentativas padrão de força bruta. Você pode conectar as palavras com hífens, pontos ou sublinhados.

Um exemplo de uma senha insegura em comparação a uma passphrase segura.

As palavras da passphrase não devem ter uma conexão óbvia entre si, pois o software de quebra de senha pode adivinhar palavras relacionadas. Por exemplo, as senhas “esta-e-minha-senha” e “orgulho-e-preconceito-e-zumbis” não são tão seguras quanto palavras aleatórias unidas. Conecte palavras aleatórias, como “banana-oculos-pedreiro-bloco”, para despistar os hackers.

Os melhores métodos de senha (e boas ideias de senha)

Métodos de senha difíceis de quebrar incluem passphrases obscuras, mnemônicos e o método da sentença. Use-os para despistar hackers, seja atualizando suas credenciais de login online ou protegendo arquivos e pastas com senha em seu PC.

Aqui estão algumas das nossas maneiras favoritas de criar senhas fortes:

O método da frase senha obscura

Essa técnica usa a abordagem de passphrase e a eleva alguns níveis de segurança. Engane os hackers escolhendo palavras incomuns e aleatórias em sua passphrase, como nomes próprios, figuras históricas, palavras arcaicas ou até mesmo palavras em vários idiomas.

Para ajudar a lembrar sua nova passphrase, crie uma história memorável com as palavras escolhidas.

Exemplos

Considere a seguinte passphrase: SunTzu-transistor-xtudo-Natal-thanks. Talvez o grande estrategista militar Sun Tzu gostasse tanto de sanduíches que ganhou de Natal uma máquina de X-Tudo movida a transistor, pela qual ele agradeceu em inglês.

Para tornar sua senha ainda mais forte, adicione símbolos e caracteres entre as palavras ou no lugar de algumas letras. Por exemplo: Sun7zu>transis7or?xtud0-Natal-thank$.

Usar Leetspeak em uma passphrase pode funcionar bem, já que as passphrases geralmente são muito longas e usam palavras aleatórias.

A sentença

Criado por Bruce Schneier, especialista em cibersegurança, o método da sentença transforma frases em senhas utilizando uma determinada regra criada pelo dono da senha. Por exemplo, você pode pegar as duas primeiras letras de cada palavra da sua sentença e uni-las para formar a sua senha.

Exemplos

“Nebraska é indiscutivelmente meu álbum favorito do Bruce Springsteen” ficaria Neein-mealfadoBrSp. Veja como escolhemos uma sentença que inclui pontuação e diversas letras maiúsculas para garantir mais segurança.

Da mesma forma, “Maio é o quinto mês do ano” poderia se tornar MaEo5med0An e “Sexta-feira é dia de festar a noite toda!” poderia se tornar Se-fEDideF&ANOto!

Memória muscular

Memória muscular é quando você reforça as vias neurais através da repetição de movimentos. Simplificando, trata-se de digitar sua senha tantas vezes que seus músculos se lembram do que fazer sem pensar.

O Gerador de Senhas Aleatórias da Avast pode ajudar você a criar uma senha aleatória até encontrar uma com a qual se sinta confortável. Depois, pratique digitá-la até se tornar rotina. Na próxima vez que você fizer login, as teclas serão digitadas com facilidade. Apenas certifique-se de evitar o uso de uma senha muito fácil de lembrar. Se for fácil para você, provável será fácil para os outros adivinharem também.

Se você usa vários dispositivos para acessar suas contas online, é uma boa ideia testar sua senha em cada um deles, já que seus movimentos podem ser diferentes em um celular ou tablet em comparação com um computador.

O ideal é praticar apenas em um campo de login real para evitar salvar uma cópia da senha acidentalmente.

Exemplos

Se estiver usando o método da memória muscular, é importante encontrar um equilíbrio entre uma senha complexa e uma que você realmente consiga lembrar. Usar um gerador de senhas aleatórias significa que os exemplos serão todos extremamente variados, como !YRo]0caPRgW, Qk7b9jxbHn1ZV8f e p;0c0K)Tw2JP.

O método mnemônico

O método mnemônico consiste em atribuir uma palavra a cada caractere de uma senha para ajudar a memorizá-la. Por exemplo, os planetas do Sistema Solar (Mercúrio, Vênus, Terra, Marte, Júpiter, Saturno, Urano e Netuno) podem ser lembrados como “Minha Vó Tricota Meias Justas Sem Usar Novelos”.

Para criar um mnemônico, divida a senha em letras ou pedaços de 2 a 4 caracteres. Traduza cada pedaço em um som, imagem ou palavra. Adicione ritmo, aliteração ou rima para unir tudo.

Você pode usar maiúsculas/minúsculas, números e símbolos como gatilhos de memória, como:

• Letras maiúsculas podem ser usadas para indicar um nome próprio ou uma palavra gritada.

• Números podem ser usados no lugar de letras ou para rimas e associações, como 2=pois ou 4=pato.

• Símbolos podem ser usados como marcadores de palavras, como @ para “em”, ! para “bang” ou ( para “abrir”.

Exemplos

A senha forte tJba@4dsc&cn_A! poderia ser lembrada como “Tio João bateu no pato, depois saiu correndo e caiu no chão. Ai!” Ou 4#so;mr!uV@P poderia ser “Quatro batidas ouvidas; minha rainha! Uma vitória em Portugal!”

O método do código ISO

Este método envolve usar o código ISO de vários países e misturá-los em uma longa sequência de caracteres. Um código ISO é um código internacional que representa um país e suas subdivisões. Por exemplo, o código ISO dos EUA é USA, enquanto o do Reino Unido é GBR.

Tente usar os códigos dos últimos cinco países que você visitou para criar sua senha memorável. Se você gostar desse método, poderá atualizar continuamente sua senha com base em novos lugares que você ou pessoas queridas visitaram, seja adicionando códigos ISO ou substituindo o país mais antigo pelo mais novo.

Como alternativa, você pode usar países que estão em sua lista de desejos, pelos quais você tem interesse ou que são escolhidos de forma totalmente aleatória.

Dica: países aleatórios são uma boa ideia se você compartilha atualizações de viagens frequentes nas mídias sociais, pois um hacker poderia descobrir facilmente seus destinos recentes.

Exemplos

Os últimos cinco países que visitei, por exemplo, foram Espanha, China, Austrália, Canadá e Egito. Usando os códigos ISO dessas nações, minha senha poderia ser: ESPCHNAUSCANEGY. Para torná-la mais segura, eu poderia usar letras maiúsculas e minúsculas e substituições de símbolos ou números, como E5PCHnAuSC^N3&Y.

Se eu viajar para a Noruega, posso substituir o país que visitei há mais tempo e atualizar para: NORCHnAuSC^N3&Y.

O método matemático

O método matemático usa equações para criar uma senha forte. Isso não significa inserir números e símbolos aleatórios, mas fazer com que a própria senha siga um resultado lógico.

Você também pode usar equações abstratas (lógica relacionada à matemática ou causa e efeito que você sabe que é verdade) para criar uma senha exclusiva e memorável, especialmente se estiver ligada a seus interesses ou sua vida.

Em outras palavras, a senha deve ser lida como uma equação, com entradas, um operador e um resultado:

• Entradas: os números, objetos ou conceitos que você combina.

• Operador: a ação entre eles (como +, -, x, / ou as formas de palavras).

• Resultado: a consequência.

Exemplos

Uma senha simples do método matemático poderia ser 539+98=seiscentos&trintaesete.

Alternativamente, você pode ser mais criativo com algo como timedefutebol+cartaovermelho=10. Isso funciona porque há 11 jogadores em um time de futebol, mas se um for expulso com um cartão vermelho, restarão apenas 10.

Como manter as senhas privadas

A melhor e mais fácil maneira de manter suas senhas privadas e proteger seus dados é usar uma senha complexa e exclusiva para cada conta e controlá-las com um gerenciador de senhas.

Aqui estão outras maneiras de proteger suas senhas:

Blinde seu e-mail

Seu primeiro passo é conferir se o seu e-mail não está envolvido em nenhum vazamento. Se alguém conseguir entrar em sua caixa de entrada, poderá redefinir suas senhas existentes clicando em “Esqueceu a senha?”. Tudo o que precisam fazer é esperar o link de redefinição chegar à caixa de entrada.

Use o Avast Hack Check para ver se alguma senha associada a seu endereço de e-mail foi vazada. Se tiverem sido, altere-as e a senha da sua conta de e-mail imediatamente.

Fonte: Relatório de Ameaças da Gen, 3º trimestre de 2025

Vazamentos de dados acontecem o tempo todo, muitas vezes com os dados roubados colocados à venda para outros cibercriminosos no mercado negro. O Avast Hack Check verifica vazamentos de dados públicos e monitora a dark web em busca de seu endereço de e-mail. No entanto, ele fornece apenas um panorama no momento em que você o executa. Para um monitoramento contínuo de vazamento de dados e dicas de segurança extras para ajudar a manter seus dados mais seguros, use uma ferramenta como o Avast BreachGuard.

Tenha cuidado em quem você confia

Cada vez mais sites adotam a criptografia em suas senhas. Assim, mesmo que cibercriminosos consigam invadir seus bancos de dados, eles ainda terão que descriptografar as informações roubadas para utilizá-las. Qualquer site que ainda armazene senhas no formato texto não tem operações na internet hoje em dia.

Sinais de alerta para sites com segurança de senhas fracas incluem a senha aparecendo na tela após a confirmação ou a opção “esqueci minha senha” enviando uma cópia da senha em vez de um link para redefinição. Se você suspeitar que sua senha não é segura, exclua sua conta no site em questão e altere todas as suas senhas.

Você também não deve inserir credenciais de login ou informações pessoais confidenciais em um site que usa HTTP em vez de HTTPS. O HTTPS é o protocolo de criptografia de dados em trânsito mais seguro e atualizado.

Use a autenticação de dois fatores

Agora, como prática de segurança padrão, a autenticação de dois fatores (2FA) adiciona camadas de proteção ao login, exigindo mais do que apenas sua senha. Medidas de autenticação comuns incluem códigos enviados por SMS, aplicativo de autenticação móvel, leitura de impressão digital ou facial, além de um token físico.

Caso um cibercriminoso obtenha a sua senha, ele ainda terá que vencer mais um obstáculo para ganhar acesso à sua conta. Na verdade, de acordo com a Microsoft, habilitar a autenticação multifator (como a 2FA) em uma conta online bloqueia 99,9% dos ataques de comprometimento de conta.

Observe que a 2FA baseada em SMS é normalmente a opção menos segura, porque as mensagens de texto podem ser falsificadas ou interceptadas. O FBI fez alertas sobre a 2FA baseada em texto depois que o grupo de hackers Scattered Spider contornou a segurança de login adicionando novos dispositivos de 2FA às contas de usuário. Em vez disso, opte por um app de autenticação.

Chaves de segurança com certificação FIDO

Chaves de segurança físicas estão entre os métodos mais seguros de MFA. Elas estão disponíveis em USB, NFC e Bluetooth, garantindo acesso somente a quem carrega a chave. Dessa forma, elas são muito mais seguras do que a verificação por SMS, desde que você não perca sua chave.

As chaves de acesso são um método de login semelhante, que dispensa o uso de senhas, utilizando seu celular ou notebook como autenticador.

A FIDO Alliance é o grupo do setor que define e certifica os padrões abertos por trás das chaves de segurança e das chaves de acesso. Use serviços que oferecem suporte a chaves de acesso FIDO, como Google, PayPal e Amazon, para obter autenticação e proteção de alto nível.

Siga as melhores práticas de segurança de senha

• Use uma VPN em uma rede wi-fi não segura: usar uma VPN ao acessar uma rede wi-fi pública e gratuita, por exemplo, em um aeroporto ou café, adiciona uma camada extra de proteção contra redes maliciosas e bisbilhoteiros, ajudando a impedir que intrusos interceptem suas credenciais de login.

• Não compartilhe sua senha em texto simples: nunca envie sua senha por e-mail ou mensagem de texto para ninguém, pois elas podem ser facilmente interceptadas e deixar registros permanentes que os invasores podem explorar mais tarde.

• Escolha perguntas de segurança difíceis de adivinhar: há muita informação sobre você na internet. Se pedirem para você criar perguntas de verificação de segurança, não escolha as opções que possam ser facilmente respondidas com uma pesquisa rápida em suas contas de mídias sociais ou outras informações públicas.

• Use um programa antivírus forte: se o pior acontecer e um hacker obtiver sua senha, um ótimo software antivírus pode ajudar a manter sua segurança contra malware e outras ameaças, como golpes.

• Use um gerenciador de senhas: armazenar suas senhas com segurança em um gerenciador de senhas confiável facilita o uso de combinações de caracteres exclusivas e complexas.

• Use um navegador seguro: Baixe um navegador de privacidade confiável para uma camada extra de proteção ao navegar na web. Os navegadores de privacidade ajudam a bloquear rastreadores e anúncios ou sites arriscados.

Alterar senhas regularmente costumava ser comum, mas não é mais recomendado. O NIST agora aconselha os provedores de contas a forçar uma alteração de senha apenas quando houver evidências de que o autenticador foi comprometido. Embora a documentação do NIST seja direcionada a organizações que trabalham com sistemas de informação do governo, ela é amplamente utilizada como um padrão do setor.

Alternativas a senhas fortes

Em vez de usar senhas tradicionais para acessar suas contas, algumas organizações ou administradores de sites usam alternativas como o Login único (SSO) o e a autenticação sem senha.

Login único (SSO)

O SSO é uma tecnologia que permite que um provedor de identidade (IdP) verifique você uma vez e emita tokens de login para outros apps aprovados. Em muitas empresas, o Microsoft Entra ID é o IdP e permite que os usuários façam login sem problemas no Teams, SharePoint e apps de terceiros, como o Salesforce, sem pedir que você insira as credenciais novamente. O SSO não elimina a necessidade de senhas ótimas, mas pode ajudar a proteger indiretamente uma boa senha, porque você não precisará se lembrar dela toda vez que fizer login.

Autenticação sem senha

Refere-se a qualquer método que permite acessar suas contas sem inserir uma senha, geralmente algo que você é ou tem. Algo que você “é” se refere à autenticação biométrica, como o Face ID em iPhones ou o Touch ID em MacBooks. Algo que você “tem” se refere a apps de autenticação, cartões inteligentes ou chaves inteligentes baseadas em dispositivo.

Como uma senha é violada?

Um cibercriminoso pode obter sua senha usando software de quebra especializado, enviando mensagens de phishing ou vasculhando suas publicações em mídias sociais em busca de pistas. Mas, muitas vezes, eles simplesmente compram suas senhas na dark web.

O hackeamento de senhas é uma atividade lucrativa. Assim, caso você use a mesma senha por anos em diferentes sites, é muito provável que ela já tenha sido comprometida. Cibercriminosos roubam credenciais de contas expostas em violações de dados, reúnem essas informações em um lista gigantesca, vendem a outros bandidos que, por fim, utilizam esses dados em seus esquemas ilegais.

Aqui estão os principais métodos de quebra de senha usados por cibercriminosos:

Ataque de força bruta

Um ataque de força bruta ocorre quando hackers tentam uma senha após a outra até finalmente acertarem a sua. Eles geralmente usam softwares poderosos para automatizar a tarefa. Programas de força bruta têm a capacidade de testar diferentes combinações para descobrir uma senha o mais rapidamente possível.

Em 2025, a SC Media relatou um ataque de força bruta que usou quase 2,8 milhões de endereços IP diariamente para adivinhar credenciais de VPN de redes corporativas como SonicWall e Palo Alto Networks.

Em 2012, o especialista em segurança Jeremi Gosney demonstrou um computador personalizado chamado cluster de 25 GPUs que era capaz de gerar 350 bilhões de tentativas de senha por segundo. O software levou seis horas ou menos para quebrar qualquer senha do Windows de 8 caracteres composta por letras maiúsculas e minúsculas, números e símbolos. Com ele, Gosney conseguiu obter as senhas de mais de 90% da base de usuários do LinkedIn na época.

Desde então, houve uma crescente adoção por senhas mais longas. Cada caractere adicional multiplica o número total de possibilidades exponencialmente (novamente: maior entropia de senha), tornando os ataques de força bruta mais difíceis de serem bem-sucedidos. Na verdade, senhas verdadeiramente aleatórias de 15 ou mais caracteres podem levar centenas ou milhares de anos para serem quebradas.

Ataques de dicionário

Ataques de dicionário são um tipo de ataque de força bruta superotimizado. Em vez de atingir você com sequências aleatórias de caracteres, o invasor gera senhas feitas a partir de um conjunto predefinido de palavras. Caso a sua senha seja formada por uma única palavra, então você corre mais risco de ser vítima de um ataque de dicionário.

Se você é do tipo que gosta de utilizar palavras em suas senhas, então forme uma passphrase. Com essa técnica, você pode criar senhas indecifráveis por muitos ataques de dicionário. As palavas em uma passphrase devem ser completamente aleatórias, caso contrário corre-se o risco de serem descobertas .

Sua passphrase deve incluir palavras aleatórias e não relacionadas, ou o software de quebra de senha poderá adivinhá-la rapidamente.

Adivinhadores de senha com IA

As ferramentas de IA obscura se proliferaram nos últimos anos, à medida que a tecnologia entrou na vida pública em ritmo acelerado. Um aplicativo perigoso de IA que os hackers têm usado são os quebradores de senha.

Esses quebradores de senha com IA percorrem milhares de combinações de senhas em potencial em alta velocidade para invadir uma conta específica.

Em 2023, pesquisadores forneceram a um adivinhador de senhas com IA 15,6 milhões de exemplos de senhas e descobriram que ele foi capaz de quebrar 51% das senhas em menos de um minuto. No entanto, eles também descobriram que uma senha de 18 caracteres com números, letras (maiúsculas e minúsculas) e símbolos é quase inquebrável.

Phishing

Geralmente enviados por e-mail, ataques phishing são mensagens supostamente enviadas por fontes confiáveis, como bancos, sites conhecidos ou até um funcionário sênior de uma organização onde você trabalha. Você pode ser solicitado a inserir seus dados de login em um site de pharming que se parece muito com o real (uma nova tática de phishing chamada de VibeScam porque o site falso “passa na verificação de vibe”), entregando sua senha aos cibercriminosos.

Esses ataques usam técnicas de engenharia social que manipulam você para agir sem pensar. Infelizmente, muitas vítimas de phishing não têm ideia de que algo deu errado até que seja tarde demais.

Mas e-mails não são os únicos vetores de ataques phishing. Ligações telefônicas (e ligações spoofing) ainda são formas de golpe bastante comuns, assim como mensagens de texto e redes sociais. Muitas robocalls, principalmente se passando por administradoras de cartões de crédito e contas bancárias, são na verdade a primeira etapa de golpes phishing.

Ataque de preenchimento de credenciais

Um ataque de preenchimento de credenciais é quando um hacker usa suas credenciais de login de uma conta para obter acesso a outras contas suas. Enquanto os ataques de força bruta dependem de tentativa e erro de senha, o preenchimento de credenciais reutiliza uma senha conhecida em várias contas.

Ataques de preenchimento de credenciais são uma técnica de hacking altamente eficaz contra vítimas que reutilizam os mesmos detalhes de login para várias contas. É por isso que é importante ter senhas exclusivas para cada conta. Se um hacker tiver acesso a uma conta, ele poderá ter acesso a todas.

Os invasores podem ter obtido uma das senhas de sua conta em um mercado da dark web, por meio de um golpe de phishing anterior, ou com malware como um keylogger, que registra o que você digita.

Proteja suas contas com o Avast BreachGuard

Senhas fortes não podem ajudar se um site vazar seus dados, mas podem ser a diferença entre uma conta ser invadida ou não. Cibercriminosos negociam logins na dark web, mas o Avast BreachGuard monitora continuamente a web para detectar seus dados e alerta você quando seus logins de conta aparecem, permitindo que você tome medidas rápidas para proteger o restante de suas contas online.

Baixe o BreachGuard para ver sua pontuação de privacidade exclusiva com dicas práticas para melhorá-la, solicitar automaticamente a remoção de seus dados por corretores de dados e obter aconselhamento especializado caso suas informações sejam expostas.