A senha é um dos dispositivos de segurança mais antigos da história humana. Na Roma antiga, as sentinelas exigiam uma "tessera" — uma senha gravada em uma tabuleta de madeira — para autorizar a passagem dos soldados à noite. O historiador grego Políbio (século II a.C.) descreve em suas Histórias como a "palavra de ordem" era distribuída toda noite pelo tribuno militar, passada de guarda em guarda por todo o acampamento. A Bíblia menciona um uso semelhante no Livro dos Juízes (12:5-6): os gileaditas identificavam os efraimitas pedindo que pronunciassem "Shiboleth" — aqueles que diziam "Siboleth" eram desmascarados. Essa "senha linguística" tornou-se um conceito fundamental na segurança da informação.
Na Idade Média, castelos fortificados e cidades muradas usavam senhas para controlar o acesso aos portões. As guildas medievais, especialmente os maçons livres, desenvolveram sistemas elaborados de palavras, sinais e apertos de mão para reconhecer seus membros. A "Palavra do Maçom", transmitida oralmente durante a iniciação, servia para comprovar o pertencimento à irmandade. Durante a Guerra dos Cem Anos (1337-1453), os exércitos ingleses e franceses usavam senhas diárias para distinguir aliados de inimigos nos combates noturnos. O cronista Jean Froissart relata que a confusão com as senhas na Batalha de Crécy (1346) causou a morte de muitos soldados por fogo amigo.
A era da informática das senhas começa em 1961 no MIT, quando Fernando Corbató implementou o primeiro sistema de autenticação por senha para o Compatible Time-Sharing System (CTSS). Esse sistema permitia que vários usuários compartilhassem um mesmo computador IBM 7094, protegendo os arquivos de cada um. Já em 1962, Allan Scherr, um doutorando do MIT, realizou o primeiro "ataque" conhecido: encontrou o arquivo mestre contendo todas as senhas em texto puro e as imprimiu, obtendo assim tempo de computação extra. Essa anedota ilustra a vulnerabilidade fundamental do armazenamento em texto puro.
A ciência das senhas sofreu uma virada decisiva em 1976, quando Robert Morris Sr., pesquisador nos Bell Labs, inventou o hashing de senhas no Unix com a função crypt(), baseada no algoritmo DES. Pela primeira vez, as senhas não eram mais armazenadas em texto puro, mas como um "hash" irreversível. Em 1979, Morris adicionou o conceito de "sal" (salt) — um valor aleatório adicionado antes do hashing para impedir ataques com tabelas pré-calculadas. A entropia, conceito emprestado da teoria da informação de Claude Shannon (1948), tornou-se a medida padrão: E = L × log₂(N), onde L é o comprimento e N o número de caracteres possíveis. Uma senha de 12 caracteres mistos atinge aproximadamente 79 bits de entropia, suficiente para resistir à força bruta por milênios.
A psicologia das senhas revela paradoxos fascinantes. Em 2003, Bill Burr, do National Institute of Standards and Technology (NIST), publicou o anexo A do documento SP 800-63, recomendando senhas complexas com maiúsculas, números e caracteres especiais. Em 2017, em uma entrevista ao Wall Street Journal, ele reconheceu que essa recomendação era "em grande parte equivocada": os usuários contornam a complexidade com substituições previsíveis ("P@ssw0rd!") e as trocas frequentes levam a padrões fracos. O psicólogo Jeff Yan, da Universidade de Cambridge, demonstrou em 2004 que senhas baseadas em frases mnemônicas são ao mesmo tempo mais fortes e mais fáceis de lembrar do que as baseadas em complexidade pura.
A indústria contemporânea vive uma transformação profunda. O NIST revisou suas diretrizes em 2017 (SP 800-63B), privilegiando o comprimento sobre a complexidade e abandonando a expiração periódica obrigatória. A Microsoft seguiu em 2019, removendo a rotação de senhas de suas baselines de segurança. O vazamento de dados da RockYou em 2009 — 32 milhões de senhas em texto puro expostas — revelou que "123456" liderava o ranking, seguida de "12345" e "password". Em 2023, o relatório NordPass confirma que "123456" continua sendo a senha mais usada no mundo, quebrada em menos de um segundo. O algoritmo Argon2, vencedor da Password Hashing Competition em 2015, representa o estado da arte em hashing. Paralelamente, as passkeys baseadas em FIDO2/WebAuthn, promovidas por Google, Apple e Microsoft desde 2022, talvez anunciem o fim da era das senhas tradicionais.