Hoje comemora-se o Dia Mundial da Password e vamos ler três opiniões de players sobejamente conhecidos: a Kaspersky, a ESET e a Commvault:
A Password fraca continua a dominar
A Kaspersky analisou 231 milhões de passwords expostas entre 2023 e 2026 e chegou a uma conclusão desconfortável: continuamos a facilitar demasiado a vida a quem quer invadir contas.
Mais de metade das passwords comprometidas termina com um número, e cerca de 68% podem ser quebradas em menos de um dia. Em muitos casos, nem é preciso grande esforço técnico. Basta explorar padrões óbvios.
Números no fim, sempre o mesmo erro
Um dos padrões mais comuns é simples: números no fim da password.
Mais concretamente:
- 53% terminam com dígitos
- 17% começam com números
- 12% incluem datas previsíveis
- Sequências como “1234” continuam a aparecer com frequência
O problema não está em usar números, mas em usá-los sempre da mesma forma. Para um ataque de força bruta, isto reduz drasticamente o tempo necessário para descobrir a combinação.
Palavras da moda entram nas passwords
Outro dado curioso revela muito sobre o comportamento online. A palavra “Skibidi” foi usada 36 vezes mais nos últimos anos, acompanhando tendências virais.
Além disso, palavras positivas dominam: “love”, “magic”, “angel” ou “star” aparecem com frequência. Também há espaço para o lado mais negro, com termos como “hell” ou “devil”.
Em Portugal, o clássico “admin” continua no topo, seguido por sequências como “123456”. Nada de novo, infelizmente.
O problema é evidente: palavras comuns são fáceis de prever, especialmente quando combinadas com padrões simples.
Mais caracteres já não chegam
Durante anos disse-se que passwords longas eram suficientes. Hoje já não é bem assim.
Embora passwords curtas sejam rapidamente quebradas, até combinações com 15 caracteres podem cair em menos de um minuto se forem previsíveis. No total, mais de 60% das passwords analisadas são quebradas em cerca de uma hora.
A inteligência artificial veio acelerar tudo isto. Os ataques já não são apenas força bruta cega, são inteligentes e baseados em padrões reais.
Como criar passwords mais seguras
A recomendação mantém-se, mas com mais rigor:
- Evitar palavras óbvias ou populares
- Misturar letras, números e símbolos de forma aleatória
- Não colocar números apenas no início ou no fim
- Usar frases longas com combinações inesperadas
- Activar autenticação de dois factores sempre que possível
Outra solução prática é usar um gestor de passwords, que cria e guarda combinações complexas sem obrigar a memorização.
Passwords fracas ainda são risco
A ESET volta a puxar o travão à nossa confiança digital: continuamos a usar passwords demasiado simples. No Dia Mundial da Palavra-Passe, a empresa destaca que o problema não está apenas nos utilizadores, mas também em serviços online que ainda permitem combinações frágeis.
Na prática, mesmo com anos de alertas, muitos continuam a optar pelo mais fácil. E isso tem um preço.
Os velhos clássicos nunca morreram
Segundo dados do National Cyber Security Centre, passwords como “123456” ou “password” continuam entre as mais usadas no mundo. Só a combinação “123456” apareceu em mais de 23 milhões de contas comprometidas.
O mais curioso é que muitas plataformas ainda aceitam variações óbvias como “1234567!”. Ou seja, existe alguma exigência de complexidade, mas não o suficiente para travar padrões previsíveis.
Resultado: contas vulneráveis, muitas vezes sem o utilizador sequer se aperceber.
O problema não é só técnico
Para a ESET, há aqui uma questão de comportamento. Existe ainda a ideia de que contas pessoais não são interessantes para cibercriminosos.
Nada mais errado. Uma única password pode dar acesso a e-mails, redes sociais, serviços financeiros e até abrir portas a outras contas através de recuperação de credenciais.
É o chamado efeito dominó digital.
É preciso mudar o modelo
A ESET defende que os serviços online devem ir mais longe, tornando obrigatórias passwords fortes e autenticação multifator.
A password continua a ser a primeira linha de defesa. E, ao mesmo tempo, uma das mais negligenciadas.
Como criar passwords realmente seguras
Criar uma boa password não tem de ser complicado, mas exige algum cuidado:
- Não reutilizar passwords entre serviços
- Evitar sequências óbvias como “123456” ou “qwerty”
- Usar frases longas com pelo menos 12 caracteres
- Evitar nomes próprios ou referências pessoais
- Utilizar um gestor de passwords para criar e guardar combinações
- Não guardar passwords directamente no browser
- Activar autenticação multifator sempre que possível
- Monitorizar acessos e activar alertas de segurança
- Alterar passwords imediatamente em caso de suspeita
- Mudar credenciais de origem em routers e dispositivos
Pequenos gestos, grande diferença.
Segurança digital começa no básico
A tecnologia evolui, mas os hábitos nem sempre acompanham. Enquanto continuarmos a escolher passwords fáceis de memorizar, vamos continuar a facilitar o trabalho a quem não devia entrar.
IA traz novos riscos às passwords
No Dia Mundial da Password, a reflexão já não é apenas sobre palavras-passe fracas ou reutilizadas. A Commvault levanta uma questão mais profunda: estamos preparados para proteger identidades digitais que já não são humanas?
Segundo Mark Molyneux, Field CTO da empresa, a explosão de agentes de inteligência artificial está a alterar completamente o cenário da segurança.
Agentes de IA já são “utilizadores”
A ideia é simples, mas inquietante. Os agentes de IA deixaram de ser ferramentas passivas e passaram a participar activamente em processos empresariais.
Na prática, isto significa que também precisam de autenticação, permissões e controlo. Tal como qualquer utilizador humano, mas numa escala muito maior.
E aqui começa o problema.
Mais superfície de ataque, novos riscos
Os sistemas baseados em IA não aumentam apenas os riscos. Mudam a forma como eles existem.
Falamos de vulnerabilidades como:
- Injeção de comandos
- Manipulação de dados
- Corrupção de modelos
Não são ataques tradicionais. Não visam apenas código, mas a própria lógica de decisão dos sistemas.
Ou seja, já não se trata só de proteger acessos. Trata-se de proteger decisões.
IA precisa de regras claras desde o início
A Commvault defende que os agentes de IA devem ser tratados como identidades digitais críticas.
Isso implica:
- Controlo de acessos rigoroso
- Supervisão contínua
- Gestão ao longo de todo o ciclo de vida
Sem estas bases, a promessa de produtividade pode rapidamente transformar-se num risco ampliado à escala da organização.
De ferramenta a risco invisível
O maior perigo é precisamente esse: a facilidade com que estes sistemas são integrados. Muitas vezes como soluções plug-and-play, sem uma estratégia de segurança robusta.
Quando isso acontece, os agentes de IA deixam de ser apenas úteis. Passam a ser pontos de entrada para vulnerabilidades mais complexas e difíceis de detectar.
Segurança digital já não é só sobre passwords
O conceito clássico de password está a evoluir. Já não falamos apenas de proteger contas humanas, mas de gerir identidades digitais autónomas.
E isso exige uma mudança de mentalidade.
