Descrição Overview Descripción
A primeira senha de computador foi criada em 1961 por Fernando Corbató no MIT para o CTSS (Compatible Time-Sharing System) — o primeiro sistema de tempo compartilhado da história. Cada usuário precisava de uma senha para acessar sua área privada, o que era uma novidade radical numa época em que computadores eram máquinas coletivas usadas por dezenas de pesquisadores ao mesmo tempo. O curioso é que a primeira brecha envolvendo senhas também aconteceu quase imediatamente: um pesquisador percebeu que podia imprimir o arquivo de senhas do sistema para usar credenciais alheias. Décadas depois, o mesmo padrão se repetiria em escala industrial com o vazamento do RockYou em 2009 — 32 milhões de senhas em texto plano, que deram origem à wordlist mais usada em testes de penetração até hoje.
A ciência por trás da força de senha mudou radicalmente em 2017, quando o NIST publicou as diretrizes SP 800-63B. O órgão que por décadas recomendava rotação periódica e regras de complexidade fez uma virada: agora recomenda contra rotação obrigatória (porque leva usuários a criar variações previsíveis como Senha1, Senha2, Senha3) e contra regras que resultam em substituições óbvias que só parecem complexas. O foco passou para comprimento e aleatoriedade genuína. Uma GPU RTX 4090 testa 100 bilhões de hashes MD5 por segundo — uma senha de 8 caracteres, mesmo com mistura de tipos, pode ser quebrada em segundos num ataque offline. Uma senha aleatória de 16 caracteres com charset completo tem aproximadamente 105 bits de entropia, tornando qualquer ataque de força bruta impossível com a tecnologia atual.
Esta ferramenta usa `crypto.getRandomValues`, o gerador de números aleatórios criptograficamente seguro do navegador, alimentado pela entropia do sistema operacional. Não usa `Math.random()`, que é um PRNG determinístico com seed previsível — inadequado para qualquer aplicação de segurança. A recomendação honesta, porém, vai além de gerar senhas fortes: use um gerenciador de senhas como Bitwarden, 1Password ou KeePass para nunca precisar memorizar nem reutilizar. Reutilização é o vetor por trás do credential stuffing — ataques onde senhas vazadas de um site são testadas automaticamente em outros. O banco de dados Have I Been Pwned de Troy Hunt tem mais de 10 bilhões de contas comprometidas catalogadas.
The first computer password was created in 1961 by Fernando Corbató at MIT for the CTSS (Compatible Time-Sharing System) — the first time-sharing system in history. Each user needed a password to access their private area, a radical concept at a time when computers were collective machines used by dozens of researchers simultaneously. Interestingly, the first password-related breach also happened almost immediately: a researcher realized he could print the system's password file and use other people's credentials. Decades later, the same pattern would repeat on an industrial scale with the RockYou breach in 2009 — 32 million passwords in plaintext, which gave rise to the most widely used wordlist in penetration testing to this day.
The science behind password strength changed dramatically in 2017 when NIST published the SP 800-63B guidelines. The agency that had spent decades recommending periodic rotation and complexity rules made a reversal: it now recommends against mandatory rotation (because it leads users to predictable variations like Password1, Password2, Password3) and against rules that produce only superficially complex results. The focus shifted to length and genuine randomness. A single RTX 4090 GPU tests 100 billion MD5 hashes per second — an 8-character password, even with mixed character types, can be cracked in seconds in an offline attack. A random 16-character password using a full charset has approximately 105 bits of entropy, making any brute-force attack impossible with current technology.
This tool uses `crypto.getRandomValues`, the browser's cryptographically secure random number generator seeded by operating system entropy. It does not use `Math.random()`, which is a deterministic PRNG with a predictable seed — unsuitable for any security application. The honest recommendation, though, goes beyond generating strong passwords: use a password manager like Bitwarden, 1Password, or KeePass so you never have to memorize or reuse passwords. Reuse is the vector behind credential stuffing — attacks where passwords leaked from one site are automatically tested against others. Troy Hunt's Have I Been Pwned database catalogs over 10 billion compromised accounts.
La primera contraseña de computadora fue creada en 1961 por Fernando Corbató en el MIT para el CTSS (Compatible Time-Sharing System) — el primer sistema de tiempo compartido de la historia. Cada usuario necesitaba una contraseña para acceder a su área privada, un concepto radical en una época en que los computadores eran máquinas colectivas usadas por decenas de investigadores simultáneamente. Lo curioso es que la primera brecha relacionada con contraseñas también ocurrió casi de inmediato: un investigador se dio cuenta de que podía imprimir el archivo de contraseñas del sistema para usar las credenciales ajenas. Décadas después, el mismo patrón se repetiría a escala industrial con la filtración de RockYou en 2009 — 32 millones de contraseñas en texto plano, que dieron origen a la wordlist más utilizada en pruebas de penetración hasta hoy.
La ciencia detrás de la fortaleza de contraseñas cambió radicalmente en 2017, cuando el NIST publicó las directrices SP 800-63B. El organismo que durante décadas recomendaba rotación periódica y reglas de complejidad dio un giro: ahora recomienda en contra de la rotación obligatoria (porque lleva a los usuarios a crear variaciones predecibles como Clave1, Clave2, Clave3) y en contra de reglas que solo producen resultados superficialmente complejos. El foco pasó a la longitud y la aleatoriedad genuina. Una GPU RTX 4090 prueba 100 mil millones de hashes MD5 por segundo — una contraseña de 8 caracteres, incluso con mezcla de tipos, puede romperse en segundos en un ataque offline. Una contraseña aleatoria de 16 caracteres con charset completo tiene aproximadamente 105 bits de entropía, lo que hace imposible cualquier ataque de fuerza bruta con la tecnología actual.
Esta herramienta usa `crypto.getRandomValues`, el generador de números aleatorios criptográficamente seguro del navegador, alimentado por la entropía del sistema operativo. No usa `Math.random()`, que es un PRNG determinístico con semilla predecible — inadecuado para cualquier aplicación de seguridad. La recomendación honesta, sin embargo, va más allá de generar contraseñas fuertes: usa un gestor de contraseñas como Bitwarden, 1Password o KeePass para no tener que memorizar ni reutilizar ninguna. La reutilización es el vector detrás del credential stuffing — ataques donde contraseñas filtradas de un sitio se prueban automáticamente en otros. La base de datos Have I Been Pwned de Troy Hunt cataloga más de 10 mil millones de cuentas comprometidas.
Detalhamento técnico
Pontos frequentes
- A senha fica salva no site?: Não há envio ao servidor; a senha existe só na memória da aba até você copiar ou recarregar.
- Para que serve esta ferramenta?: Ela roda 100% no seu navegador: útil para validar, formatar ou converter dados no dia a dia de desenvolvimento.
- Meus dados são enviados a algum servidor?: O processamento é feito localmente via JavaScript. Não armazenamos o conteúdo que você cola nas caixas de texto.
- Posso usar em produção ou para dados reais?: Use por sua conta e risco. Para segredos (senhas, tokens), prefira ambientes controlados e políticas da sua empresa. E lembre sempre de revisar os conteúdos gerados. Nunca confie cegamente nas coisas que vê na internet.
Trecho para testar
- Há também o bloco "Exemplo de Código" com o trecho completo; use esse texto rápido para colar nos campos e validar: Boas práticas — Comprimento ≥ 16, misturar maiúsculas, minúsculas, números e símbolos.
Technical deep dive
Common questions summarized
- Is the password stored on the site?: Nothing is sent to the server; the password exists only in the tab until you Copy or reload.
- What is this tool for?: It runs fully in your browser: useful to validate, format, or convert data in everyday development.
- Are my inputs sent to a server?: Processing happens locally with JavaScript. We do not store what you paste into the text areas.
- Can I use this for real production data?: Use at your own risk. For secrets (passwords, tokens), prefer controlled environments and your company policies. And always review the generated contents. Never trust blindly things you see on the internet.
Sample payload to try
- See also the larger "Code Snippets" sample; paste this excerpt to try locally: Good practices — Comprimento ≥ 16, misturar maiúsculas, minúsculas, números e símbolos.
Detalle técnico
Ideas claras antes de usar la herramienta
- ¿Se guarda la contraseña en el sitio?: No se envía al servidor; la contraseña solo vive en la pestaña hasta que copies o recargues.
- ¿Para qué sirve esta herramienta?: Funciona por completo en tu navegador: sirve para validar, formatear o convertir datos en el día a día.
- ¿Se envían mis datos a algún servidor?: El procesamiento es local con JavaScript. No almacenamos lo que pegas en los campos de texto.
- ¿Puedo usarlo con datos reales en producción?: Úsalo bajo tu responsabilidad. Para secretos (contraseñas, tokens), prefiere entornos controlados y políticas internas. Recuerda de revisar los contenidos generados. Nunca confies ciegamente en cosas que ves en internet.
Fragmento corto para probar
- Debajo aparece también el ejemplo largo en "Fragmentos de Código"; pega esta versión corta: Buenas prácticas — Comprimento ≥ 16, misturar maiúsculas, minúsculas, números e símbolos.
Guia da ferramenta Tool guide Guía de la herramienta
-
O que é uma senha forte Segredo longo, imprevisível, com variedade de caracteres; idealmente único por site e combinado com MFA.
-
O que a ferramenta faz Gera cadeias aleatórias com tamanho e tipos de caracteres configuráveis usando API criptográfica do navegador.
-
Por que usar Criar senhas para cadastros de teste ou novas contas; ainda assim, gerenciadores de senha são a melhor prática para o dia a dia.
-
What a strong password is A long, unpredictable secret with diverse characters; ideally unique per site plus MFA.
-
What the tool does Generates random strings with configurable length and character sets using the browser crypto API.
-
Why use it Passwords for test signups or new accounts; password managers remain best practice day to day.
-
Qué es una contraseña fuerte Secreto largo e impredecible con diversidad de caracteres; idealmente único por sitio más MFA.
-
Qué hace la herramienta Genera cadenas aleatorias con longitud y conjuntos de caracteres configurables usando la API crypto del navegador.
-
Por qué usarla Contraseñas para registros de prueba o cuentas nuevas; los gestores de contraseñas siguen siendo la mejor práctica diaria.
Exemplo de Código Code Snippets Fragmentos de Código
Comprimento ≥ 16, misturar maiúsculas, minúsculas, números e símbolos.Comprimento ≥ 16, misturar maiúsculas, minúsculas, números e símbolos.Comprimento ≥ 16, misturar maiúsculas, minúsculas, números e símbolos.Boas práticas Good practices Buenas prácticas
Comprimento ≥ 16, misturar maiúsculas, minúsculas, números e símbolos.Perguntas frequentes FAQ Preguntas frecuentes
A senha fica salva no site?
Is the password stored on the site?
¿Se guarda la contraseña en el sitio?
Não há envio ao servidor; a senha existe só na memória da aba até você copiar ou recarregar.
Nothing is sent to the server; the password exists only in the tab until you Copy or reload.
No se envía al servidor; la contraseña solo vive en la pestaña hasta que copies o recargues.
Para que serve esta ferramenta?
What is this tool for?
¿Para qué sirve esta herramienta?
Ela roda 100% no seu navegador: útil para validar, formatar ou converter dados no dia a dia de desenvolvimento.
It runs fully in your browser: useful to validate, format, or convert data in everyday development.
Funciona por completo en tu navegador: sirve para validar, formatear o convertir datos en el día a día.
Meus dados são enviados a algum servidor?
Are my inputs sent to a server?
¿Se envían mis datos a algún servidor?
O processamento é feito localmente via JavaScript. Não armazenamos o conteúdo que você cola nas caixas de texto.
Processing happens locally with JavaScript. We do not store what you paste into the text areas.
El procesamiento es local con JavaScript. No almacenamos lo que pegas en los campos de texto.
Posso usar em produção ou para dados reais?
Can I use this for real production data?
¿Puedo usarlo con datos reales en producción?
Use por sua conta e risco. Para segredos (senhas, tokens), prefira ambientes controlados e políticas da sua empresa. E lembre sempre de revisar os conteúdos gerados. Nunca confie cegamente nas coisas que vê na internet.
Use at your own risk. For secrets (passwords, tokens), prefer controlled environments and your company policies. And always review the generated contents. Never trust blindly things you see on the internet.
Úsalo bajo tu responsabilidad. Para secretos (contraseñas, tokens), prefiere entornos controlados y políticas internas. Recuerda de revisar los contenidos generados. Nunca confies ciegamente en cosas que ves en internet.