O NIST dá razão ao Xádas5 que escreveu sobre frases-passe já em 2016 (aqui) e, finalmente, quase uma década depois, é mesmo para valer! O mundo da cibersegurança está em constante evolução, e com ele, as regras básicas que regem a nossa vida digital. As directrizes de palavra-passe do NIST (National Institute of Standards and Technology), originalmente criadas para agências federais americanas, tornaram-se o padrão para a segurança de autenticação em todo o mundo, influenciando normas como o HIPAA, PCI-DSS e SOC 2.
A grande novidade, como o artigo da StrongDM bem salienta, é uma mudança fundamental de paradigma: o foco deixa de ser a complexidade e passa a ser a usabilidade e o comprimento da palavra-passe.
Esta evolução é uma resposta directa aos falhanços das políticas tradicionais. Quem nunca se viu a criar uma palavra-passe previsível, como “PalavraPasse123!”, apenas para satisfazer regras arbitrárias de complexidade? Pior, a imposição de resets forçados a cada 90 dias levava os utilizadores a fazerem apenas pequenas alterações, como “PalavraPasse123!” para “PalavraPasse124!”, tornando-as ainda mais fáceis de adivinhar.
O que mudou nas directrizes de palavra-passe do NIST (SP 800-63B)
A publicação NIST Special Publication 800-63B marcou uma viragem em 2017, e as actualizações subsequentes apenas reforçaram esta nova filosofia. O objectivo é reduzir a fricção para o utilizador, mantendo – ou até aumentando – a segurança.
As mudanças mais significativas incluem:
| O Que Acabou (O Velho Paradigma) | O Que é Exigido Agora (O Novo Paradigma) |
| ❌ Exigência de maiúsculas, números e símbolos | ✅ Comprimento Mínimo de 8 Caracteres (15+ para contas privilegiadas) |
| ❌ Resets de palavra-passe obrigatórios a cada 90 dias | ✅ Rastreio Contra Credenciais Comprometidas (Compromised Credential Screening) |
| ❌ Políticas de complexidade arbitrárias | ✅ Suporte para Autenticação Sem Palavra-Passe (Passwordless) |
A prioridade ao comprimento baseia-se em matemática simples: cada caracter adicional aumenta exponencialmente o tempo necessário para um ataque de força bruta. Uma palavra-passe com menos de 8 caracteres pode ser quebrada em horas, mas uma com 16 caracteres pode levar séculos, mesmo com a tecnologia actual.
O fim da complexidade e a magia do passwordless
O NIST reconheceu que as regras de complexidade tradicionais eram, na verdade, contraproducentes. Em vez de forçar os utilizadores a inventar padrões que os hackers já conhecem, a ênfase está agora em duas áreas cruciais:
1. Listas de Bloqueio Abrangentes: As organizações devem agora rastrear as palavras-passe dos utilizadores contra bases de dados de credenciais que já foram comprometidas em data breaches. Se a sua palavra-passe estiver numa dessas listas, ela deve ser rejeitada. Isto é muito mais eficaz do que exigir um símbolo no meio.
2. Autenticação Sem Palavra-Passe: O futuro é passwordless. O NIST incentiva a adopção de métodos de autenticação resistentes a phishing, como passkeys e autenticadores sincronizáveis. Estes métodos eliminam a necessidade de uma palavra-passe tradicional, oferecendo segurança superior e uma experiência de utilizador muito mais fluida.
Para as contas privilegiadas – aquelas que dão acesso a sistemas críticos – o NIST é ainda mais rigoroso, recomendando um mínimo de 15 caracteres. Esta é uma medida de segurança fundamental, pois 94% das falhas de segurança envolvem credenciais comprometidas.
O espaço para o sentido de humor na cibersegurança
Embora a segurança seja um assunto sério, o NIST, ao focar-se na usabilidade, abriu espaço para um pouco de bom humor. Ao eliminar as regras de complexidade, os utilizadores são encorajados a criar frases-passe (passphrases) longas e memoráveis, em vez de palavras-passe curtas e complexas.
Pense nisto: qual é mais fácil de lembrar e mais seguro? “P@$$w0rd1!” ou “O meu gato chama-se Tobias e adora atum“? A segunda opção, embora pareça mais cómica, é exponencialmente mais segura e muito mais fácil de memorizar. É a vitória da memória sobre a ginástica mental inútil.
Em suma
As directrizes de palavra-passe do NIST representam uma evolução inteligente e necessária na cibersegurança. Ao abandonar as regras de complexidade desactualizadas e ao priorizar o comprimento e o rastreio contra credenciais comprometidas, o NIST está a guiar as organizações para um futuro mais seguro e com menos frustração para o utilizador. O foco na autenticação sem palavra-passe é o próximo passo lógico, mas, por agora, a regra é clara: quanto mais longa a sua palavra-passe, melhor.
Referências
[1] strongdm.com. NIST Password Guidelines: 2025 Updates & Best Practices. URL:
[2] NIST. Special Publication 800-63B: Digital Identity Guidelines. URL:
