As palavras-passe são a chave das nossas iden­ti­da­des digitais. Uma palavra-passe forte é a primeira linha de defesa contra os ci­ber­cri­mi­no­sos. No entanto, as es­ta­tís­ti­cas mostram que muitos uti­li­za­do­res utilizam palavras-passe inseguras ou ignoram falhas de segurança nos seus hábitos digitais. Por exemplo, um inquérito da Finetwork revela que 51,27% dos espanhóis alteram as suas palavras-passe pe­ri­o­di­ca­mente, embora 42,27% as anote em papel ou em do­cu­men­tos digitais, práticas que podem com­pro­me­ter a segurança das contas.

Que re­qui­si­tos é ne­ces­sá­rio ter em conta para garantir a segurança das palavras-passe?

Muitas pessoas ainda optam por palavras-passe fracas ou fáceis de adivinhar. Para garantir um elevado nível de segurança, é im­por­tante ter em conta vários fatores. A escolha de uma palavra-passe segura, jun­ta­mente com a uti­li­za­ção de fer­ra­men­tas adequadas de gestão de palavras-passe, são con­si­de­ra­das os pilares fun­da­men­tais para manter a segurança das suas palavras-passe.

Como escolher uma palavra-passe segura?

Embora as senhas seguras, por si só, não garantam uma proteção absoluta contra os ataques de ci­ber­cri­mi­no­sos, a criação de uma senha segura continua a ser essencial para proteger as suas contas. Os uti­li­za­do­res podem verificar se a sua senha é segura seguindo vários critérios fun­da­men­tais:

  • Com­pri­mento: o com­pri­mento é um fator decisivo, uma vez que as senhas mais longas são ex­po­nen­ci­al­mente mais difíceis de decifrar do que as curtas. Uma boa senha deve ter, no mínimo, entre 12 e 16 ca­rac­te­res.

  • Com­ple­xi­dade: uma palavra-passe segura deve incluir letras maiús­cu­las e mi­nús­cu­las, números e ca­rac­te­res especiais como @, # ou $. Esta di­ver­si­dade dificulta a sua de­ci­fra­ção, tanto por parte de pessoas como de fer­ra­men­tas au­to­ma­ti­za­das.

  • Evitar padrões pre­vi­sí­veis: é im­por­tante evitar padrões simples ou palavras fa­cil­mente re­co­nhe­cí­veis, uma vez que os ci­ber­cri­mi­no­sos costumam testar palavras-passe comuns uti­li­zando listas com as opções mais habituais (são os chamados «ataques de di­ci­o­ná­rio»).

  • Senhas únicas: não utilize a mesma senha para di­fe­ren­tes serviços ou pla­ta­for­mas. Em vez disso, crie senhas únicas para cada conta online.

  • Atu­a­li­za­ção regular: em serviços críticos, é re­co­men­dá­vel atualizar as senhas pe­ri­o­di­ca­mente. Isso reduz o risco de uma senha ser explorada devido a falhas de segurança ocorridas no passado.

Escolha um gestor de palavras-passe adequado

Os gestores de palavras-passe são fer­ra­men­tas práticas que permitem criar e armazenar palavras-passe complexas de forma segura. Ao escolher o gestor de palavras-passe mais adequado, é im­por­tante cer­ti­fi­car-se de que este oferece en­crip­ta­ção de ponta a ponta e fun­ci­o­na­li­da­des como alertas em caso de palavras-passe com­pro­me­ti­das ou análises de segurança. Além disso, a dis­po­ni­bi­li­dade de atu­a­li­za­ções regulares é um indicador de confiança na fer­ra­menta.

Grandes fugas de senhas nos últimos anos

Todos os dias confiamos uma grande quan­ti­dade de dados sensíveis a empresas e tec­no­lo­gias, onde as palavras-passe costumam ser a única medida de proteção. No entanto, os inúmeros es­cân­da­los de fuga de dados ocorridos nos últimos anos de­mons­tram que esta proteção nem sempre é levada a sério. Os ci­ber­cri­mi­no­sos têm con­se­guido aceder a cre­den­ci­ais uti­li­zando métodos como malware, phishing ou ataques de força bruta para obter dados con­fi­den­ci­ais dos uti­li­za­do­res. Este é um resumo de alguns dos in­ci­den­tes mais graves:

  • LinkedIn (2012, 2016): em 2012, o LinkedIn foi alvo de um ataque in­for­má­tico e foram di­vul­ga­das mais de 6,5 milhões de senhas en­crip­ta­das. Em 2016, surgiram na dark web mais 117 milhões de dados de início de sessão pro­ve­ni­en­tes desse ataque.
  • Yahoo (2013, 2014): uma das maiores violações de segurança re­gis­ta­das afetou o Yahoo. Entre 2013 e 2014, foram com­pro­me­ti­das três mil milhões de contas, incluindo palavras-passe, nomes de uti­li­za­dor e perguntas de segurança.
  • Adobe (2013): num ataque, foram roubadas mais de 150 milhões de contas de uti­li­za­do­res da Adobe. O incidente foi es­pe­ci­al­mente grave porque muitas senhas estavam mal en­crip­ta­das.
  • Facebook (2019): o Facebook revelou que milhões de senhas de uti­li­za­do­res foram ar­ma­ze­na­das em texto simples em ser­vi­do­res internos. Embora os dados não tenham sido di­vul­ga­dos ex­ter­na­mente, o caso evi­den­ciou a im­por­tân­cia de seguir boas práticas de segurança também a nível em­pre­sa­rial.
  • Col­lec­tion #1-#5 (2019): em janeiro de 2019, foram pu­bli­ca­dos mais de dois mil milhões de e-mails e senhas pro­ve­ni­en­tes de várias fugas de dados, tanto co­nhe­ci­das como des­co­nhe­ci­das, numa fuga massiva de dados.
  • Twitter (2022): uma falha de segurança com­pro­me­teu os dados pessoais de mais de 5,4 milhões de contas, incluindo números de telefone e endereços de e-mail.
  • RockYou (2024): O RockYou2024 foi um vazamento massivo, con­si­de­rado uma das maiores coleções de senhas pu­bli­ca­das, com mais de 9,9 mil milhões de senhas re­co­lhi­das de diversas fontes.

Estes in­ci­den­tes destacam a im­por­tân­cia da ci­ber­se­gu­rança e a ne­ces­si­dade de tomar medidas para proteger as nossas contas. No entanto, ainda há margem para melhorias, uma vez que uma parte sig­ni­fi­ca­tiva da população continua a utilizar palavras-passe fracas ou repetidas em vários serviços.

Imagem: Gráfico sobre cómo usan las contraseñas los españoles
Gráfico sobre el uso de las con­tra­señas por parte de los españoles.
Nota

Para os seus ataques, os ci­ber­cri­mi­no­sos não costumam utilizar os seus próprios com­pu­ta­do­res, mas sim os dis­po­si­ti­vos de uti­li­za­do­res des­pre­ve­ni­dos. Estes dis­po­si­ti­vos foram pre­vi­a­mente infetados com software malicioso que permite aos atacantes controlar o sistema re­mo­ta­mente. Os com­pu­ta­do­res infetados, que se agrupam em grandes redes para levar a cabo possíveis ataques, são comumente co­nhe­ci­dos como bots ou zombies. Em Espanha, já foram de­sen­vol­vi­das várias ini­ci­a­ti­vas para combater estas redes ma­li­ci­o­sas. Uma das prin­ci­pais es­tra­té­gias consiste em promover a uti­li­za­ção de fer­ra­men­tas de limpeza e sen­si­bi­li­zar para a im­por­tân­cia da ci­ber­se­gu­rança.

Como saber se uma palavra-passe é segura?

Verificar a segurança das suas palavras-passe é um passo crucial para proteger as suas contas digitais contra acessos não au­to­ri­za­dos ou na sequência de uma fuga de dados. Existem várias fer­ra­men­tas e métodos para verificar se as suas palavras-passe foram com­pro­me­ti­das, se cumprem as normas de segurança atuais ou se são demasiado fracas.

Serviços online para detetar fugas de dados

  • Have I Been Pwned (HIBP): uma das pla­ta­for­mas mais co­nhe­ci­das e fiáveis é o Have I Been Pwned. Aqui pode verificar se o seu endereço de e-mail ou palavra-passe foi com­pro­me­tido numa fuga de dados conhecida. Ao in­tro­du­zir o seu e-mail, receberá uma lista de sites afetados onde os seus dados podem ter sido expostos. Além disso, a página permite verificar palavras-passe di­re­ta­mente, uti­li­zando tec­no­lo­gias de hash para garantir o anonimato.
  • Ve­ri­fi­ca­dor de segurança do Google: o Google oferece uma fun­ci­o­na­li­dade integrada no navegador Chrome para verificar palavras-passe. Este sistema alerta-o se alguma das suas palavras-passe guardadas fizer parte de uma fuga de dados. Além disso, através da sua conta Google, pode realizar uma ve­ri­fi­ca­ção de segurança completa, que iden­ti­fica palavras-passe fracas ou reu­ti­li­za­das.
  • Fun­ci­o­na­li­da­des de segurança em gestores de palavras-passe: muitos gestores de palavras-passe modernos incluem fer­ra­men­tas para analisar a segurança das suas palavras-passe guardadas. Estas fer­ra­men­tas analisam as suas palavras-passe em busca de vul­ne­ra­bi­li­da­des, uti­li­za­ção duplicada ou in­ci­den­tes de segurança co­nhe­ci­dos, ofe­re­cendo-lhe um resumo claro das palavras-passe que precisa de atualizar.

Verificar a segurança das palavras-passe

Além de verificar se as suas palavras-passe foram com­pro­me­ti­das em algum vazamento, é essencial avaliar a sua robustez. Existem inúmeras fer­ra­men­tas que analisam o com­pri­mento, a com­ple­xi­dade e a entropia (ale­a­to­ri­e­dade) de uma palavra-passe. Simulam também quanto tempo demoraria a decifrá-la através de um ataque de força bruta. Por exemplo, uma palavra-passe como «123456» pode ser decifrada em menos de um segundo, enquanto uma como «X$4g8JwQ!a_%j» poderia resistir durante muitos anos.

Revisão manual e mo­ni­to­ri­za­ção

Se souber que uma pla­ta­forma es­pe­cí­fica sofreu uma fuga de dados, verifique se tem uma conta nessa pla­ta­forma. Se for o caso, altere as suas palavras-passe ime­di­a­ta­mente, es­pe­ci­al­mente se as tiver reu­ti­li­zado noutros serviços. Também é útil manter-se informado sobre ci­ber­se­gu­rança através de fontes como notícias es­pe­ci­a­li­za­das, o portal do Gabinete de Segurança do In­ter­nauta (OSI) ou co­mu­ni­da­des locais de es­pe­ci­a­lis­tas nas redes sociais, onde costumam ser relatadas falhas de segurança e alertas re­le­van­tes.

Além disso, algumas fer­ra­men­tas, como o Have I Been Pwned (HIBP), oferecem alertas por e-mail que te avisam se o teu endereço de e-mail aparecer numa nova fuga de dados. Estas no­ti­fi­ca­ções permitem-te tomar medidas pre­ven­ti­vas ra­pi­da­mente para proteger as tuas contas.

Ir para o menu principal