A Tabela de Senhas do Hive Systems de 2025 mostra qual tipo de senhas é fácil ou difícil para os hackers quebrarem. O Hive Systems lançou sua primeira tabela de senhas em 2020, usando dados do howsecureismypassword.net, e continuou a cada ano, utilizando o bcrypt com configurações mais fortes com um hardware de 12× RTX 5090. Quando você cria uma senha, os sites usam uma função de hash para armazená-la em vez de texto simples, e é formada uma sequência de letras chamada hash. Por exemplo, quando fazemos o hash da palavra ‘senha’, ela se transforma em, por exemplo: 5f4dcc3b5aa765d61d8327deb882cf99. Mas o hash é um processo unidirecional, significando que não é possível descriptografar uma senha.
Quando um hacker rouba uma senha, ele obtém versões de hash dela, mas essas versões ainda podem ser quebradas ao adivinhar todas as senhas possíveis que podem ser criadas a partir delas, e esse processo é chamado de ataques de dicionário ou força bruta. As placas gráficas (GPUs) também podem ser usadas para adivinhar milhares de senhas através de ferramentas como Hashcat. As GPUs podem fazer milhões a bilhões de cálculos por segundo, e quanto mais poderosas forem as GPUs, mais rapidamente elas quebram senhas.
As GPUs são muito importantes quando se trata de quebrar senhas, e elas podem até mesmo burlar proteções de senha fortes como o bcrypt, que é configurado para o fator 10. Elas podem invadir uma senha de 8 caracteres em meses, mas se os orçamentos forem comuns, isso pode levar centenas de anos. O MD5 é o hash mais comum se observarmos os dados anteriores, mas o bcrypt agora lidera a forma como as senhas são armazenadas em grandes violações. Mesmo que o NIST recomende o PBKDF2 com SHA-256, muitos grandes serviços como MyFitnessPal, Dropbox, DataCamp e Ethereum usam o bcrypt, o que torna difícil para os hackers quebrarem senhas. Portanto, a configuração para a tabela de senhas de 2025 foi bcrypt (fator de trabalho 10) para o método de hash e 12× RTX 5090 GPUs para hardware.
Automatize a indexação de páginas no Google, monitore status e erros, e melhore seu SEO.
Solução perfeita para criar assinaturas de e-mail profissionais e personalizadas.
Gere vídeos de marketing a partir de qualquer prompt de texto, script ou postagem de blog usando IA.
Identifique visitantes anônimos do site, qualifique-os e converta-os em leads.
Crie fotos, arte e imagens com a mais recente tecnologia de IA.
O serviço de validação de e-mail mais preciso que limpa endereços de e-mail inválidos.
Crie sua própria ferramenta de IA sem código! Ganhe dinheiro com assinaturas.
Crie conteúdo de alta qualidade com relevância para SEO com esta poderosa ferramenta de IA.
O bcrypt é um método confiável de hash de senhas que pode ser tornada mais lenta aumentando seu fator de trabalho, o que significa que quanto maior o número, mais tempo leva para quebrar a senha. Diferentes ferramentas e plataformas o utilizam, como o OpenBSD, que usa o fator de trabalho 10, o Laravel usa o fator de trabalho 12 e o SuperTokens usa o fator de trabalho 11. O melhor fator de trabalho para o bcrypt é o 10, o que torna mais difícil para os hackers quebrarem senhas. Também utiliza o salting, que significa que adiciona dados aleatórios às senhas antes de fazer o hash, para impedir que os hackers usem listas pré-computadas.
Se sua senha é fraca, reutilizada em várias plataformas ou uma palavra comum, é um alvo fácil para os hackers e pode ser quebrada por meio de atalhos usados pelos hackers, como tabelas arco-íris e ataques de dicionário. Se os atacantes estiverem usando hardware de alta qualidade, isso também torna a quebra mais rápida, especialmente se as senhas forem reutilizadas ou mais curtas. Em 2022, o LastPass (um gerenciador de senhas popular) foi hackeado, e os hackers usaram essa violação para realizar um roubo de criptomoedas de $150 milhões em 2025, o que significa que as senhas foram quebradas em apenas 2,5 anos, o que é alarmante. O LastPass estava usando o PBKDF2 com SHA-256 para fazer o hash das senhas, mas a configuração padrão deles era apenas 5000 iterações, o que é considerado muito baixo, e eles começaram a recomendar 600.000 iterações após a violação.