Por que gerar as senhas localmente?
Um gerador no servidor já viu sua senha por definição. Este usa o gerador criptográfico do navegador, o mesmo dos sites de banco: a página funciona até offline.
O que torna uma senha forte na prática
- Comprimento supera a esperteza. Uma senha aleatória de 20 caracteres é astronomicamente mais forte do que uma "esperta" de 10. Cada caractere extra multiplica o trabalho de um atacante.
- Aleatoriedade supera memorabilidade. Humanos são péssimos geradores de aleatoriedade - padrões, datas e substituições (p@ssw0rd) são as primeiras coisas que ferramentas de cracking tentam.
- Unicidade supera tudo. O vetor de ataque mais comum é uma senha reutilizada. Use um gerenciador de senhas e uma senha aleatória diferente por site.
O que o número de entropia significa
A entropia (em bits) mede quantas tentativas um atacante precisa: cada bit adicional dobra o trabalho. Como regra geral, 80+ bits é forte para contas online e 100+ bits é praticamente impossível de quebrar com o hardware atual.
FAQ
Gerador de senhas: meus dados são enviados para um servidor?
- Não. Nenhuma solicitação de rede está envolvida na geração - você pode verificar observando a aba de rede nas ferramentas de desenvolvimento do navegador.
Math.random() é usado?
- Não - isso não é criptograficamente seguro. Esta ferramenta usa
crypto.getRandomValuescom rejection sampling para evitar vieses estatísticos. Devo excluir caracteres parecidos?
- Se você for ler ou digitar a senha manualmente alguma vez, sim. Se ela fica em um gerenciador de senhas, você pode incluí-los para um pool de caracteres ligeiramente maior.