Strong password generator

A primeira senha de computador foi criada em 1961 por Fernando Corbató no MIT para o CTSS (Compatible Time-Sharing System) — o primeiro sistema de tempo compartilhado da história. Cada usuário precisava de uma senha para acessar sua área privada, o que era uma novidade radical numa época em que computadores eram máquinas coletivas usadas por dezenas de pesquisadores ao mesmo tempo. O curioso é que a primeira brecha envolvendo senhas também aconteceu quase imediatamente: um pesquisador percebeu que podia imprimir o arquivo de senhas do sistema para usar credenciais alheias. Décadas depois, o mesmo padrão se repetiria em escala industrial com o vazamento do RockYou em 2009 — 32 milhões de senhas em texto plano, que deram origem à wordlist mais usada em testes de penetração até hoje.

A ciência por trás da força de senha mudou radicalmente em 2017, quando o NIST publicou as diretrizes SP 800-63B. O órgão que por décadas recomendava rotação periódica e regras de complexidade fez uma virada: agora recomenda contra rotação obrigatória (porque leva usuários a criar variações previsíveis como Senha1, Senha2, Senha3) e contra regras que resultam em substituições óbvias que só parecem complexas. O foco passou para comprimento e aleatoriedade genuína. Uma GPU RTX 4090 testa 100 bilhões de hashes MD5 por segundo — uma senha de 8 caracteres, mesmo com mistura de tipos, pode ser quebrada em segundos num ataque offline. Uma senha aleatória de 16 caracteres com charset completo tem aproximadamente 105 bits de entropia, tornando qualquer ataque de força bruta impossível com a tecnologia atual.

Esta ferramenta usa `crypto.getRandomValues`, o gerador de números aleatórios criptograficamente seguro do navegador, alimentado pela entropia do sistema operacional. Não usa `Math.random()`, que é um PRNG determinístico com seed previsível — inadequado para qualquer aplicação de segurança. A recomendação honesta, porém, vai além de gerar senhas fortes: use um gerenciador de senhas como Bitwarden, 1Password ou KeePass para nunca precisar memorizar nem reutilizar. Reutilização é o vetor por trás do credential stuffing — ataques onde senhas vazadas de um site são testadas automaticamente em outros. O banco de dados Have I Been Pwned de Troy Hunt tem mais de 10 bilhões de contas comprometidas catalogadas.

The first computer password was created in 1961 by Fernando Corbató at MIT for the CTSS (Compatible Time-Sharing System) — the first time-sharing system in history. Each user needed a password to access their private area, a radical concept at a time when computers were collective machines used by dozens of researchers simultaneously. Interestingly, the first password-related breach also happened almost immediately: a researcher realized he could print the system's password file and use other people's credentials. Decades later, the same pattern would repeat on an industrial scale with the RockYou breach in 2009 — 32 million passwords in plaintext, which gave rise to the most widely used wordlist in penetration testing to this day.

The science behind password strength changed dramatically in 2017 when NIST published the SP 800-63B guidelines. The agency that had spent decades recommending periodic rotation and complexity rules made a reversal: it now recommends against mandatory rotation (because it leads users to predictable variations like Password1, Password2, Password3) and against rules that produce only superficially complex results. The focus shifted to length and genuine randomness. A single RTX 4090 GPU tests 100 billion MD5 hashes per second — an 8-character password, even with mixed character types, can be cracked in seconds in an offline attack. A random 16-character password using a full charset has approximately 105 bits of entropy, making any brute-force attack impossible with current technology.

This tool uses `crypto.getRandomValues`, the browser's cryptographically secure random number generator seeded by operating system entropy. It does not use `Math.random()`, which is a deterministic PRNG with a predictable seed — unsuitable for any security application. The honest recommendation, though, goes beyond generating strong passwords: use a password manager like Bitwarden, 1Password, or KeePass so you never have to memorize or reuse passwords. Reuse is the vector behind credential stuffing — attacks where passwords leaked from one site are automatically tested against others. Troy Hunt's Have I Been Pwned database catalogs over 10 billion compromised accounts.

La primera contraseña de computadora fue creada en 1961 por Fernando Corbató en el MIT para el CTSS (Compatible Time-Sharing System) — el primer sistema de tiempo compartido de la historia. Cada usuario necesitaba una contraseña para acceder a su área privada, un concepto radical en una época en que los computadores eran máquinas colectivas usadas por decenas de investigadores simultáneamente. Lo curioso es que la primera brecha relacionada con contraseñas también ocurrió casi de inmediato: un investigador se dio cuenta de que podía imprimir el archivo de contraseñas del sistema para usar las credenciales ajenas. Décadas después, el mismo patrón se repetiría a escala industrial con la filtración de RockYou en 2009 — 32 millones de contraseñas en texto plano, que dieron origen a la wordlist más utilizada en pruebas de penetración hasta hoy.

La ciencia detrás de la fortaleza de contraseñas cambió radicalmente en 2017, cuando el NIST publicó las directrices SP 800-63B. El organismo que durante décadas recomendaba rotación periódica y reglas de complejidad dio un giro: ahora recomienda en contra de la rotación obligatoria (porque lleva a los usuarios a crear variaciones predecibles como Clave1, Clave2, Clave3) y en contra de reglas que solo producen resultados superficialmente complejos. El foco pasó a la longitud y la aleatoriedad genuina. Una GPU RTX 4090 prueba 100 mil millones de hashes MD5 por segundo — una contraseña de 8 caracteres, incluso con mezcla de tipos, puede romperse en segundos en un ataque offline. Una contraseña aleatoria de 16 caracteres con charset completo tiene aproximadamente 105 bits de entropía, lo que hace imposible cualquier ataque de fuerza bruta con la tecnología actual.

Esta herramienta usa `crypto.getRandomValues`, el generador de números aleatorios criptográficamente seguro del navegador, alimentado por la entropía del sistema operativo. No usa `Math.random()`, que es un PRNG determinístico con semilla predecible — inadecuado para cualquier aplicación de seguridad. La recomendación honesta, sin embargo, va más allá de generar contraseñas fuertes: usa un gestor de contraseñas como Bitwarden, 1Password o KeePass para no tener que memorizar ni reutilizar ninguna. La reutilización es el vector detrás del credential stuffing — ataques donde contraseñas filtradas de un sitio se prueban automáticamente en otros. La base de datos Have I Been Pwned de Troy Hunt cataloga más de 10 mil millones de cuentas comprometidas.