Generate Password To Me - Secure Password Generator Logo
  • Gerador
  • Guias
  • VPN
  • Contato
  • Política de Privacidade
  • Termos de Serviço
Navigation menu toggle
  1. Início
  2. /Guias
  3. /Regras de senhas NIST 800-63B: resumo prático 2026
Políticas

Regras de senhas NIST 800-63B: resumo prático 2026

Regras de senhas NIST 800-63B: resumo prático 2026 — Políticas

Resumo em linguagem simples das diretrizes NIST SP 800-63B. O que mudou, por que as regras de complexidade foram eliminadas e como implementar políticas conformes.

Leitura essencial

alinhe-se aos padrões modernos da NIST

2 min de leituraAtualizado: 15/04/2026Autor: GeneratePasswordTo Editorial Team

O que é NIST SP 800-63B?

O NIST SP 800-63B faz parte das Diretrizes de Identidade Digital emitidas pelo National Institute of Standards and Technology. Embora obrigatórias para agências federais dos EUA, tornaram-se referência global.

A revisão mais recente mudou fundamentalmente como a comunidade de segurança pensa sobre senhas, rejeitando décadas de sabedoria convencional.

Compreender essas diretrizes é essencial para desenvolvedores, administradores de TI e usuários individuais.

Orientação relacionada

compare PCI com NIST

alinhe sua resposta ao NIST

As mudanças principais: o que o NIST acertou

Eliminar regras de complexidade obrigatórias. NIST recomenda explicitamente não exigir maiúsculas, dígitos ou caracteres especiais. A complexidade forçada leva a padrões previsíveis.

Parar de exigir mudanças periódicas. NIST agora recomenda mudar apenas quando há evidência de comprometimento.

Verificar contra listas de senhas vazadas. A API HIBP usa k-anonimato para verificar mais de 900 milhões de senhas.

Permitir senhas longas. Os sistemas devem aceitar até pelo menos 64 caracteres.

Requisitos de comprimento mínimo

NIST estabelece mínimo absoluto de 8 caracteres para senhas escolhidas e 6 para PINs aleatórios. 12 caracteres é o mínimo prático recomendado, 15+ o ideal.

Para ativos de alto valor, 16+ caracteres ou frases de 5+ palavras são recomendados.

Sistemas não devem impor máximo menor que 64 caracteres.

  • 8 caracteres: mínimo absoluto NIST
  • 12 caracteres: mínimo prático recomendado
  • 15+ caracteres: recomendado para contas importantes
  • 64 caracteres: máximo mínimo suportado
  • 6 dígitos: mínimo para PINs aleatórios

Listas de senhas proibidas e verificações de dicionário

NIST exige verificação de novas senhas contra listas de senhas comuns, esperadas ou comprometidas.

O sistema deve fornecer explicação clara na rejeição.

A API HIBP usa k-anonimato: apenas os primeiros 5 caracteres do hash SHA-1 são enviados.

Armazenamento de senhas: requisitos de hashing

NIST exige funções de derivação de chaves com uso intensivo de memória. Recomendados: Argon2id, bcrypt (fator mínimo 10), PBKDF2-HMAC-SHA256 (mínimo 600.000 iterações).

Argon2id é a escolha preferida para novas implementações.

Nunca use funções hash simples (MD5, SHA-1, SHA-256) para senhas.

Sempre use um salt aleatório único por senha (mínimo 128 bits).

Autenticação multifator

NIST recomenda fortemente MFA para qualquer sistema com dados sensíveis. Os três fatores: algo que você sabe, tem, é.

NIST classifica autenticadores em três níveis (AAL1-3). AAL2 é adequado para a maioria das aplicações empresariais.

Códigos SMS são classificados como autenticador "restrito". Apps TOTP ou chaves FIDO2 são preferidas.

Com MFA, NIST permite relaxar alguns requisitos, mas senhas fracas continuam sendo risco.

Checklist de implementação

Remova requisitos de complexidade. Comprimento mínimo 12, máximo pelo menos 64. Implemente verificação HIBP.

Atualize o armazenamento para Argon2id, bcrypt ou PBKDF2.

Elimine mudanças periódicas. Implemente detecção de vazamentos e limitação de tentativas.

Habilite MFA priorizando FIDO2/WebAuthn ou TOTP.

  • Remover mandatos de complexidade
  • Comprimento min 12, max 64+
  • Verificar contra listas vazadas (HIBP)
  • Usar Argon2id / bcrypt / PBKDF2
  • Eliminar rotação periódica
  • Limitar tentativas de login
  • Implantar MFA (FIDO2 > TOTP > SMS)
  • Mensagens claras na rejeição

Próximos passos

gerador de senhas

navegue pela coleção completa de guias

O que fazer com uma senha forte?

Uma senha forte é apenas o primeiro passo. Para proteger de verdade suas contas, você precisa de um gerenciador de senhas confiável que armazena, preenche automaticamente e sincroniza suas credenciais em todos os dispositivos.

Comparamos os gerenciadores de senhas mais populares de 2026 para ajudá-lo a fazer a escolha certa.

O NordPass se destaca com criptografia XChaCha20 de conhecimento zero, suporte nativo a passkeys e a interface mais intuitiva entre os gerenciadores premium.

RecursoNordPass1PasswordBitwarden Free
Preço/mês$1.49/mo$2.99/mo$0
DispositivosIlimitadoIlimitadoIlimitado
PasskeysSimSimNão
Scanner de vazamentosSimSimNão
2FA integradoSimSimSim
Compartilhamento seguroSimSimLimitado
Preenchimento autoSimSimSim
Testar NordPass PremiumTestar NordPass Family

Este é um link de afiliado. Se você fizer uma compra, posso receber uma comissão — isso ajuda a manter o site gratuito.

Artigos de guia

  • Frase vs. senha: entropia e diferenças de segurança
  • Requisitos de Senhas PCI DSS: Diretrizes de Conformidade
  • Modelo de Política de Senhas para Equipe: Guia para Empresas
  • Guia do Gerador de Senhas Seguras: Configurações e Boas Práticas

Legal

  • Política de Privacidade
  • Termos de Serviço
  • Contato
Generate Password To Me - Secure Password Generator Logo
Direitos autorais © GeneratePasswordTo.Me 2026
GitHubMapa do site

TL;DR

generatepasswordto.me - gerador de senhas, senha segura. gerar senhas online, segurança de senhas. NIST 800-63B, PCI DSS. senhas criptograficamente seguras.