Todos os dias, milhões de palavras-passe são roubadas, divulgadas ou decifradas. Só no ano passado, mais de 19 mil milhões apareceram em violações de dados; um número tão grande que é difícil de entender. E, no entanto, muitas delas ainda eram coisas como 123456 ou password1.

É a prova de que, embora a maioria de nós saiba que as palavras-passe fortes são importantes, muitas pessoas continuam a optar por não seguir as melhores práticas. Essa lacuna entre conhecimento e ação é exatamente o que os atacantes exploram.

As palavras-passe podem parecer banais, mas continuam a ser uma defesa de primeira linha. Se as usares mal, as consequências podem surgir rapidamente. Se as usares sabiamente, aumentas drasticamente a fasquia para os atacantes.

Como as palavras-passe fracas abrem a porta a violações

Quando os atacantes se apoderam de credenciais, não as guardam, utilizam-nas. Aquela “palavra-passe antiga” que utilizaste para um site de compras pode ainda hoje desbloquear o teu e-mail profissional. Cada violação torna-se um trampolim, alimentando ataques de preenchimento de credenciais e dando aos cibercriminosos novas formas de entrar.

Para além disso, as palavras-passe fracas não são páreo para as ferramentas modernas. Uma palavra-passe de oito caracteres minúsculos pode ser decifrada em cerca de três semanas utilizando os actuais GPUs, enquanto uma mistura mais complexa de oito caracteres pode durar sete anos. Mas se já estiver numa base de dados com fugas de informação, pode ser descoberta quase instantaneamente.

Em resumo: as palavras-passe curtas, previsíveis e reutilizadas não têm qualquer hipótese.

Mesmo num local de trabalho com MFA, as credenciais fracas continuam a ser um dos maiores vectores de ataque. Muitas violações ainda começam com o preenchimento de credenciais, phishing ou ataques de força bruta. De facto, os dados do sector mostram que mais de 80% das violações confirmadas envolvem palavras-passe fracas ou roubadas.

O risco também não se limita à empresa. Um e-mail de trabalho comprometido pode expor detalhes pessoais, informações sobre a folha de pagamento e até mesmo oferecer uma oportunidade para os atacantes visarem amigos ou colegas. As palavras-passe fracas colocam as pessoas em risco, bem como as empresas.

Os maus hábitos em matéria de palavras-passe põem em risco o local de trabalho

As contas empresariais são os principais alvos dos atacantes porque, muitas vezes, abrem a porta a sistemas mais vastos. Uma palavra-passe fraca numa aplicação de terceiros ou um início de sessão partilhado pode dar a um atacante tudo o que precisa para se deslocar lateralmente na rede. A partir daí, os salários, os dados dos clientes ou os sistemas financeiros estão todos em risco.

As contas partilhadas ou de serviço são particularmente perigosas. Estes logins são frequentemente reutilizados pelas equipas e esquecidos até que algo corra mal. Devem seguir as normas mais rigorosas possíveis, com credenciais fortes e únicas armazenadas de forma segura e rodadas regularmente.

Em última análise, o pessoal é uma defesa fundamental. Quando os empregados vêem a higiene das palavras-passe não como um incómodo, mas como parte da sua responsabilidade, a resiliência melhora. Essa mudança cultural só acontece se a empresa a tornar fácil e consistente.

É aí que entra a Gestão dos Riscos Humanos (GRH). A GRH reconhece que a tecnologia não é o elo mais fraco, mas sim as pessoas. Ao compreender onde o pessoal é mais vulnerável, ao proporcionar oportunidades de aprendizagem claras e cativantes e ao medir a mudança de comportamento ao longo do tempo, as organizações podem reduzir os riscos criados pelas decisões humanas quotidianas. As palavras-passe são apenas uma parte deste quadro mais vasto: ajudar as pessoas a fazer escolhas mais inteligentes, de forma consistente, é a forma de criar uma resiliência duradoura.

O que é bom

Felizmente, as palavras-passe fortes não têm de ser complicadas. Na maioria dos casos, o comprimento é mais importante do que a substituição inteligente de caracteres. Uma frase como CoffeeTable7Rainbow$ é muito mais forte e fácil de lembrar do que C0fT@#9. Aponta para pelo menos 12 caracteres, de preferência 16 ou mais, e constrói-as a partir de palavras ou frases que signifiquem algo para ti, mas não para os outros.

Misturar tipos de caracteres ajuda, mas não caias em padrões previsíveis como “P@ssw0rd!”. Em vez disso, pensa em combinar palavras de formas invulgares, acrescentando um símbolo ou número onde normalmente não apareceria.

Talvez a regra mais importante seja nunca reutilizar a mesma palavra-passe em contas diferentes. A reutilização é o que transforma uma violação em muitas. Se te sentires sobrecarregado com dezenas de logins únicos, é exatamente para isso que servem os gestores de palavras-passe. Um bom gestor gera e armazena palavras-passe complexas, preenche-as automaticamente quando precisas delas e permite a partilha segura de contas de equipa.

Cada vez mais, as empresas estão também a considerar as chaves de acesso e a autenticação sem palavra-passe, mas até que estas sejam universais, as palavras-passe fortes continuam a ser essenciais.

Incorporar as melhores práticas

Uma coisa é conheceres as regras, outra é aplicá-las dia após dia. É aí que entram os lembretes e os estímulos. Os cartazes nas salas de descanso, os protectores de ecrã com pequenas dicas e as listas de verificação distribuídas durante a integração ajudam a manter as boas práticas sempre presentes. O nosso kit de ferramentas CSAM está repleto de recursos prontos como estes, concebidos para fazer com que a mensagem se mantenha.

As campanhas periódicas também ajudam. Uma “limpeza de primavera” em que os funcionários revejam e actualizem as palavras-passe antigas pode tornar-se parte da rotina anual. A liderança também desempenha um papel importante. Quando os executivos são modelos de bons hábitos e falam abertamente sobre a sua importância, o resto da organização segue o exemplo.

Também deves incentivar o pessoal a ser responsável. A realização de auditorias às palavras-passe, seja através de cofres de palavras-passe empresariais ou de ferramentas de monitorização de TI, pode destacar credenciais fracas ou reutilizadas. O reforço positivo também pode ser muito útil. Reconhecer a sua equipa pela higiene das palavras-passe pode fazer com que o processo tenha menos a ver com regras e mais com orgulho.

Capacitar o teu pessoal

Enquadrar a questão em termos pessoais é poderoso. Quando os funcionários se apercebem de que os seus dados relativos aos salários, dados bancários ou comunicações privadas podem ser expostos através de uma palavra-passe fraca, a mensagem torna-se mais compreensível. Uma boa prática de utilização de palavras-passe não protege apenas a empresa, mas também os próprios funcionários, e essa mudança de mentalidade pode tornar a adoção muito mais fácil.

O nosso kit de ferramentas CSAM

O conjunto de ferramentas CSAM inclui recursos práticos e prontos a utilizar que tornam as melhores práticas em matéria de palavras-passe mais fáceis de recordar e de incorporar:

  • Cartazes de sensibilização – imagens apelativas que reforçam os bons hábitos nas áreas comuns e mantêm a segurança em primeiro plano.
  • Protectores de ecrã apelativos – lembretes oportunos que aparecem no ecrã para incentivar o pessoal a fazer escolhas mais inteligentes ao longo do dia.
  • Plano prático de sensibilização para a cibersegurança – um guia estruturado para te ajudar a lançar campanhas e actividades de forma consistente ao longo do ano.
  • Infográfico – uma descrição clara e visual do que deves e não deves fazer, perfeita para briefings de equipas ou páginas da intranet.
  • Lista de controlo: 5 Steps to Help You Secure Our World – uma lista simples e prática que os empregados podem seguir quando criam ou actualizam palavras-passe.

Descarrega o teu kit de ferramentas agora.

Trabalha com o MetaCompliance

Se só te lembrares de três coisas, faz com que sejam estas: mais tempo é mais forte, nunca reutilizes e utilizes sempre um gestor de palavras-passe.

Agora é a altura de as pôr em prática. Realiza uma auditoria rápida à saúde das palavras-passe em toda a tua organização, implementa a lista de verificação CSAM e certifica-te de que a liderança está a seguir os mesmos bons hábitos. Com estes passos, a tua empresa e o teu pessoal estarão mais bem protegidos por palavras-passe mais inteligentes que os piratas informáticos simplesmente não conseguem tocar.


Entra em contacto
 com a nossa equipa hoje para saber mais sobre os nossos serviços.