Melhores práticas da política de senhas 2025 para uma segurança forte

Uma política de palavras-passe forte é frequentemente a primeira linha de defesa contra os ciberataques, mas muitas organizações continuam a seguir orientações desactualizadas que as expõem a riscos significativos.

De acordo com o DBIR 2025 da Verizon, as credenciais comprometidas continuam a ser uma tática de pirataria informática de topo – utilizada em 22% das violações e envolvida em 88% dos ataques básicos a aplicações Web -, salientando o facto de as palavras-passe fracas ou roubadas continuarem a conduzir uma grande parte das violações de dados.

A segurança das palavras-passe nunca foi tão importante, especialmente com um grande número de trabalhadores que continuam a trabalhar a partir de casa. A superfície de ameaça expandiu-se, pelo que é crucial que as organizações actualizem a sua política de palavras-passe para educar o pessoal sobre como criar palavras-passe fortes e fornecer uma defesa robusta contra as ciberameaças.

As orientações anteriores sobre a segurança das palavras-passe tendiam a centrar-se na exclusividade, complexidade, comprimento mínimo da palavra-passe e alterações regulares da palavra-passe; no entanto, os conselhos mais recentes afastaram-se destas orientações, uma vez que muitas destas práticas relativas às palavras-passe podem, de facto, levar os utilizadores a criar palavras-passe mais fracas em vez de palavras-passe mais fortes.

Melhores práticas da política de senhas

Aumenta o comprimento da palavra-passe e reduz a importância da complexidade da palavra-passe

No passado, os conselhos sobre a segurança das palavras-passe centraram-se fortemente na criação de palavras-passe complexas, mas isto leva frequentemente à reutilização de palavras-passe existentes com pequenas modificações. De acordo com o National Cyber Security Council: Os requisitos de complexidade colocam uma carga adicional nos utilizadores, muitos dos quais utilizarão padrões previsíveis (como substituir a letra “o” por um zero ou utilizar caracteres especiais) para satisfazer os critérios de “complexidade” exigidos.

Os atacantes estão familiarizados com estas estratégias e utilizam este conhecimento para otimizar os seus ataques”. O comprimento da palavra-passe é frequentemente um fator muito mais importante, uma vez que uma palavra-passe mais longa é estatisticamente mais difícil de decifrar. O NIST e a Microsoft aconselham um comprimento mínimo de 8 caracteres para uma palavra-passe gerada pelo utilizador e, para reforçar a segurança das contas mais sensíveis, o NIST recomenda que as organizações definam o comprimento máximo da palavra-passe em 64 caracteres. Isto permite a utilização de frases-chave. Uma frase-chave é uma palavra-passe composta por uma frase ou combinação de palavras. Ajuda os utilizadores a memorizarem palavras-passe mais longas e torna mais difícil aos hackers adivinharem-nas utilizando a força bruta.

Verifica as palavras-passe nas listas negras

A reutilização de palavras-passe é um problema comum e, de acordo com um inquérito da Google/Harris, 52% das pessoas reutilizam a mesma palavra-passe em várias contas. Este comportamento arriscado levou a um enorme aumento dos ataques de credential stuffing, uma vez que os piratas informáticos tentam ganhar dinheiro com os milhares de milhões de credenciais comprometidas disponíveis para compra na dark web. Utilizando estas credenciais roubadas, os hackers podem tentar aceder a outras contas de utilizador utilizando a mesma palavra-passe comprometida.

Para combater esta ameaça, o NIST recomenda que as organizações utilizem um software que analise as palavras-passe numa lista negra que inclua palavras do dicionário, cadeias repetitivas ou sequenciais, palavras-passe roubadas em violações anteriores, frases-passe normalmente utilizadas ou outras palavras e padrões que os hackers possam adivinhar. Este processo de rastreio ajuda os utilizadores a evitar a seleção de palavras-passe que representam um risco para a segurança e assinala se uma palavra-passe anteriormente segura for exposta no futuro.

Elimina a reposição regular da palavra-passe

Muitas organizações exigem que os seus empregados alterem as suas palavras-passe em intervalos regulares, frequentemente a cada 30, 60 ou 90 dias. No entanto, estudos recentes demonstraram que esta abordagem à segurança das palavras-passe é muitas vezes contraproducente e pode, de facto, piorar a segurança. Normalmente, os utilizadores têm várias palavras-passe que têm de memorizar, pelo que, quando são obrigados a fazer uma reposição periódica, recorrem a padrões de comportamento previsíveis, como escolher uma nova palavra-passe que seja apenas uma pequena variação da anterior.

Podem actualizá-la alterando um único carácter ou adicionando um símbolo que se assemelhe a uma letra (por exemplo, ! em vez de I). Se um atacante já souber a palavra-passe existente do utilizador, não será muito difícil decifrar a versão actualizada. O NIST recomenda a remoção deste requisito para tornar a segurança da palavra-passe mais fácil de utilizar, e a Microsoft aconselha: “Se uma palavra-passe nunca for roubada, não há necessidade de a expirar. E se tiveres provas de que uma palavra-passe foi roubada, presumivelmente agirás imediatamente em vez de esperar pela expiração para resolver o problema.”

Permite copiar e colar a palavra-passe

O NIST reviu as suas orientações anteriores e recomenda agora a utilização de “copiar e colar” ao digitar uma palavra-passe. Isto ajuda a promover a utilização de gestores de palavras-passe que, sem dúvida, aumentam a segurança ao permitir que os utilizadores criem palavras-passe mais longas e mais difíceis de decifrar.

Limitar as tentativas de senha

Utilizando um ataque de força bruta, os hackers podem tentar violar uma conta iniciando sistematicamente sessão e tentando todas as combinações possíveis de letras, números e símbolos até encontrarem a combinação de palavra-passe correta. Uma das melhores formas de se defender contra este tipo de ataque é limitar o número de tentativas de senha que um único endereço IP pode fazer dentro de um determinado período de tempo.

Não utilizes sugestões de palavras-passe

As sugestões de palavras-passe são frequentemente utilizadas pelas organizações para ajudar os seus utilizadores a lembrarem-se de palavras-passe complexas. Pode ser uma simples pergunta ou o utilizador tem de responder a uma questão pessoal, como “em que cidade nasceste?” ou “qual é o nome da tua primeira escola?”. As respostas a muitas destas perguntas podem ser facilmente encontradas nas redes sociais por um atacante determinado. Isto prejudica a segurança e é por isso que o NIST aconselhou as organizações a abandonarem esta prática, uma vez que pode aumentar potencialmente a probabilidade de uma violação.

Utiliza a autenticação multi-fator

A autenticação multifactor (MFA) é uma das formas mais eficazes de fornecer proteção adicional a uma conta protegida por palavra-passe. De acordo com a Microsoft, as contas têm uma probabilidade 99,9% menor de serem comprometidas se a MFA estiver activada.

Existem três tipos de autenticação que podem ser utilizados:

  • Algo que sabes: Uma palavra-passe, PIN, código postal ou resposta a uma pergunta (ex: nome de solteira da mãe).
  • Algo que tens: Um token, telefone, cartão de crédito, SIM ou chave de segurança física.
  • Algo que tu és: Dados biométricos, como uma impressão digital, voz ou reconhecimento facial.

Alguns destes métodos de verificação são, sem dúvida, mais seguros do que outros, mas essencialmente significa que, mesmo que alguém roube ou adivinhe uma palavra-passe, não conseguirá aceder à conta sem outro fator de autenticação.

Dá formação ao pessoal sobre as melhores práticas em matéria de palavras-passe

Existem muitos conselhos contraditórios sobre o que constitui uma palavra-passe segura, pelo que é crucial que o seu pessoal compreenda as melhores práticas e esteja totalmente informado sobre o que a sua política de palavras-passe exige deles. A formação de sensibilização para a segurança deve educar o pessoal sobre:

  • Os riscos de reutilizar as mesmas palavras-passe nas contas de casa e do trabalho
  • Como criar palavras-passe fortes e seguras
  • Como ativar a MFA
  • Como utilizar um gestor automático de palavras-passe para guardar as palavras-passe em segurança

Capacita a tua equipa com uma palavra-passe de segurança forte

Desde a Plataforma de Gestão do Risco Humano, que gere o risco dos colaboradores, até à Formação Automatizada de Sensibilização para a Segurança e às Simulações Avançadas de Phishing, que mantêm o pessoal alerta, todas as soluções foram concebidas para serem simples e eficazes. O Risk Intelligence & Analytics fornece informações acionáveis, enquanto o Compliance Management garante que os requisitos regulamentares são cumpridos sem esforço. Uma Política de Senhas Fortes integrada permite que os funcionários criem e mantenham credenciais seguras, reduzindo as vulnerabilidades associadas a senhas fracas ou reutilizadas.

Ao combinar estas ferramentas com formação contínua e hábitos digitais inteligentes, a tua equipa pode navegar com confiança no mundo digital, reduzindo o risco de ciberataques e reforçando a cultura de segurança geral.

Reforça a segurança da sua organização com a plataforma tudo-em-um da MetaCompliance, concebida para ajudar a sua equipa a implementar e manter políticas robustas de segurança cibernética – incluindo práticas recomendadas de palavras-passe fortes.

Perguntas frequentes sobre a política e a segurança das palavras-passe

O que torna uma palavra-passe forte?

Uma palavra-passe forte é longa, única e difícil de adivinhar – de preferência uma frase-passe composta por várias palavras não relacionadas.