Senhas idênticas: os riscos da utilização repetida de senhas
Um login hackeado – todos os acessos em risco.
Os administradores de TI são os principais responsáveis pela proteção de sistemas e dados. Um risco particularmente persistente são as senhas idênticas ou reutilizadas. Com isso, os utilizadores abrem – muitas vezes sem intenção – as portas para ataques de preenchimento de credenciais, invasões de contas e movimentos laterais na rede. Estudos mostram que o uso de dados de acesso roubados está entre os vetores iniciais mais comuns em incidentes de segurança (ver fontes abaixo).
- Nunca utilize a mesma palavra-passe para contas diferentes.
- Não imponha a alteração regular de palavras-passe sem motivo – em vez disso, utilize palavras-passe/frases-passe longas e únicas e MFA/chaves de acesso.
- Verifique senhas novas e existentes em relação a listas comprometidas; no Password Depot: Ferramentas → Verificação de segurança → Verificar em senhas comprometidas.
Risco de comprometimento abrangente
Quando uma conta é comprometida, os atacantes testam automaticamente as mesmas credenciais em outros serviços (credential stuffing). Um único vazamento pode se tornar uma reação em cadeia – de e-mails a ferramentas de colaboração e serviços em nuvem. Resultado: roubo de dados, uso indevido de identidade e acesso não autorizado aos recursos da empresa.
Particularmente críticos são os «ataques básicos a aplicações web», nos quais predominam dados de acesso roubados ou reutilizados – uma indicação clara de que a reutilização de palavras-passe é, na prática, imediatamente explorável (ver fontes).
Ransomware e apropriações de contas
Uma vez que os atacantes obtêm dados de acesso válidos, podem ampliar privilégios, mover-se lateralmente na rede e distribuir software malicioso – até mesmo ransomware. Por isso, as recomendações oficiais enfatizam: eliminar a reutilização de palavras-passe e ativar MFA resistente a phishing (por exemplo, FIDO2/Passkeys) sempre que tecnicamente possível (CISA, NIST).
Medidas para melhorar a segurança das palavras-passe
Diretrizes (política)
- Nenhuma alteração preventiva e regular de senhas – apenas forçar em caso de suspeita ou comprovação de comprometimento (NIST, NCSC).
- Uma senha por conta/serviço – proibir estritamente a reutilização (NIST, NCSC).
- Aumentar o comprimento mínimo (por exemplo, ≥ 14 caracteres) e evitar restrições desnecessárias de complexidade; em vez disso, aposte no comprimento, na exclusividade e no bloqueio de «palavras-passe comuns» (NIST).
- Verificar as palavras-passe contra listas comprometidas (NIST SP 800‑63B) – consulte a nota prática sobre o Password Depot abaixo.
- MFA obrigatória, de preferência resistente a phishing (FIDO2/Passkeys), pelo menos para acessos administrativos, remotos e na nuvem (CISA).
Controlos técnicos
- Limitação de taxa e monitorização ativadas nos registos; detetar e bloquear padrões suspeitos (por exemplo, muitas tentativas de início de sessão a partir de redes distribuídas) (NIST).
- Permitir «colar»/inserir para que os gestores de palavras-passe possam ser utilizados com segurança – sem proibição de copiar/colar no campo da palavra-passe (NIST).
- Desafios MFA baseados no risco e registo MFA consistente (CISA).
- Chaves de acesso introduzir sempre que possível; substituir a introdução de palavras-passe numa perspetiva futura.
- Identificar palavras-passe comprometidas: verificar no Password Depot através de Extras → Verificação de segurança → Verificar palavras-passe comprometidas e alterar imediatamente as entradas afetadas.
- Abra Extras → Verificação de segurança → Verificar palavras-passe comprometidas para verificar as palavras-passe guardadas em relação a listas comprometidas.
- Execute esta verificação regularmente, especialmente após fugas de dados públicos ou incidentes de phishing.
- Substitua imediatamente as palavras-passe marcadas por frases-passe longas e únicas e ative, sempre que possível, MFA/chaves de acesso.
Consciencialização e operação
- Treinar regularmente os utilizadores sobre credential stuffing, phishing e reutilização de palavras-passe (NCSC/CISA).
- Recomendar e disponibilizar gestores de palavras-passe; objetivo: palavras-passe longas, aleatórias e únicas para cada serviço.
- Definir incidentes (fugas, phishing, infeções por malware) como motivo para alteração imediata da palavra-passe e renovação do token (NIST/CISA).
Texto claro: A reutilização é o verdadeiro inimigo. Mudanças forçadas e regulares sem motivo prejudicam a qualidade das palavras-passe – e não resolvem o problema. Aposte no comprimento, na exclusividade, na MFA/chaves de acesso e na verificação contra listas comprometidas (por exemplo, diretamente no Password Depot).
Conclusão: A utilização repetida de palavras-passe é um risco de segurança significativo e favorece a apropriação de contas e até mesmo incidentes de ransomware. As equipas administrativas devem implementar diretrizes claras e atualizadas e garantir a segurança técnica – incluindo a verificação regular de palavras-passe comprometidas com o Password Depot – para proteger identidades e sistemas de forma sustentável.
Fontes (seleção)
- NIST SP 800‑63B: Digital Identity Guidelines – Memorized Secrets (entre outros, sem alterações forçadas; comparação com listas comprometidas; permitir colar)
- CISA «Secure Our World»: Use Strong Passwords (recomendação sobre gestores de palavras-passe e palavras-passe únicas)
- NCSC (Reino Unido): Problemas com a imposição de expiração regular de palavras-passe e Aviso sobre preenchimento de credenciais
- Verizon DBIR: Página do relatório e resumo executivo (atualizado anualmente)
- Have I Been Pwned: Pwned Passwords (fonte de dados pública para palavras-passe comprometidas)
Mantenha as senhas unicas
Descubra como o Password Depot o ajuda a gerir cada senha de forma unica e segura.
Dicas para senhas seguras