As palavras-passe fracas mantêm-se uma das principais vulnerabilidades na segurança digital de particulares e empresas, e os dados mais recentes confirmam que décadas de sensibilização não foram suficientes para alterar comportamentos. No Dia Mundial da Palavra-Passe, assinalado a 7 de maio de 2026, a ESET Portugal lança um alerta que vai além do utilizador individual: as próprias plataformas digitais partilham responsabilidade neste problema, ao continuarem a aceitar combinações manifestamente inseguras.
O panorama global: os números que não mudam
A sétima edição do relatório anual da NordPass sobre as 200 palavras-passe mais utilizadas, publicada em novembro de 2025, confirma que “123456” ocupa o primeiro lugar pelo sétimo ano consecutivo, com 21.627.656 utilizações contabilizadas a nível global. O segundo lugar pertence a “admin”, com 21.030.012 utilizações, seguida de “12345678” com 8.274.408 ocorrências. Todas estas combinações são passíveis de ser descobertas em menos de um segundo por ferramentas automáticas de ataque.
Um dado particularmente revelador do relatório NordPass de 2025: as escolhas fracas atravessam todas as gerações. A NordPass esclarece que as opções “são igualmente pobres” em todos os grupos etários, desmistificando a ideia de que este problema se concentra em utilizadores mais velhos ou com menor literacia digital. Os jovens das gerações Y e Z combinam “12345678” com referências como “skidibi”, enquanto os utilizadores mais velhos acrescentam o próprio nome. O resultado final é igualmente vulnerável.
Em Portugal, o quadro não é diferente. Segundo o mesmo relatório, “admin” lidera com 127.989 utilizações, seguida de “123456” com 75.756 e “123456789” com 33.823. Os utilizadores nacionais revelam ainda preferências por nomes próprios como “jorge” e “pedrinho” e referências culturais como “benfica” e “sporting”, uma tendência que mistura previsibilidade com facilidade de adivinhação.
A cumplicidade das plataformas digitais
A ESET Portugal alerta para um aspeto raramente discutido publicamente: não são apenas os utilizadores os responsáveis por este estado de coisas. Plataformas de grande utilização como o Facebook e o X continuam a aceitar palavras-passe como “1234567!”, uma variação mínima sobre os padrões mais previsíveis, mesmo impondo algum nível de complexidade formal. A marca alega que esta permissividade técnica mantém os utilizadores expostos a riscos que poderiam ser mitigados por políticas de segurança mais exigentes ao nível das próprias plataformas.
“As palavras-passe fracas continuam a ser uma das primeiras barreiras de proteção no mundo digital, mas também uma das mais negligenciadas. O problema não está apenas na escolha de combinações fracas, mas na falsa perceção de que uma conta pessoal tem pouco valor para os cibercriminosos“, afirma Ricardo Neves, responsável pela comunicação da ESET Portugal. A realidade é que qualquer credencial pode funcionar como ponto de entrada para fraude, roubo de identidade ou comprometimento em cadeia de outros serviços associados ao mesmo endereço de correio eletrónico.
O perigo da reutilização: o ataque por credential stuffing
A reutilização de palavras-passe entre diferentes serviços é um dos comportamentos mais perigosos na segurança digital. Segundo dados da Akamai citados pela Palo Alto Networks, mais de 80% do tráfego de autenticação durante picos de ataque em grandes plataformas SaaS é gerado por bots a testar credenciais roubadas. Este modelo de ataque, o credential stuffing, consiste em testar automaticamente credenciais comprometidas num serviço contra outros serviços, tirando partido precisamente da reutilização de palavras-passe.
Em 2025, a firma de inteligência de ameaças Synthient identificou 2 mil milhões de endereços de correio eletrónico e 1,3 mil milhões de palavras-passe únicas em listas de credential stuffing, dados que foram indexados pelo Have I Been Pwned. Mesmo com uma taxa de sucesso de apenas 0,1% a 4%, segundo a Fortinet, a escala dos ataques torna o impacto considerável. Um único conjunto de dados comprometidos numa plataforma de menor relevância pode abrir caminho a acessos indevidos em serviços bancários, de saúde ou empresariais.
Como verificar se as suas credenciais foram comprometidas
O Have I Been Pwned (haveibeenpwned.com) é um serviço independente criado pelo investigador de segurança Troy Hunt que permite verificar gratuitamente se um endereço de correio eletrónico ou palavra-passe aparece em bases de dados de violações conhecidas. A ferramenta indexa atualmente milhares de milhões de registos comprometidos e é reconhecida como referência pela comunidade de cibersegurança.
O Centro Nacional de Cibersegurança (CNCS) disponibiliza em cncs.gov.pt um conjunto de boas práticas e recursos de literacia digital em português de Portugal, constituindo a referência primária nacional para utilizadores que pretendam aprofundar os seus conhecimentos nesta área.
Boas práticas: o que deve fazer hoje
A ESET Portugal e o CNCS convergem nas recomendações fundamentais. As medidas com maior impacto na proteção das contas digitais são:
- Palavras-passe únicas por serviço: nunca reutilizar a mesma combinação em plataformas diferentes
- Extensão mínima de 12 caracteres (a NordPass recomenda 20): combinar maiúsculas, minúsculas, números e símbolos
- Frases-passe: uma sequência de palavras aleatórias (ex: “cadeira-laranja-montanha-47!”) é mais segura e memorável do que combinações curtas com símbolos
- Gestor de palavras-passe: ferramenta que gera, armazena e preenche automaticamente credenciais únicas e complexas para cada serviço
- Autenticação multifator (MFA): adiciona uma segunda camada de verificação, tornando o acesso indevido significativamente mais difícil mesmo que a palavra-passe seja comprometida
- Alertas de segurança: ativar notificações de acesso em contas críticas (bancárias, de correio eletrónico, de trabalho)
- Credenciais de dispositivos de rede: alterar as credenciais predefinidas de routers Wi-Fi e outros dispositivos após a instalação
Gestores de palavras-passe: opções para todos os perfis
A adoção de um gestor de palavras-passe é a recomendação mais transversal entre especialistas e organismos de cibersegurança. Duas das referências mais reconhecidas do mercado são o Bitwarden e o 1Password.
| Característica | Bitwarden | 1Password |
|---|---|---|
| Plano gratuito | Sim (ilimitado, multi-dispositivo) | Não (14 dias de período experimental) |
| Plano pago individual | 10 $/ano | 35,88 $/ano |
| Código aberto | Sim | Não |
| Suporte a passkeys | Sim | Sim |
| Plano familiar | 40 $/ano (até 6 utilizadores) | 48 $/ano (até 5 utilizadores) |
O Bitwarden distingue-se pelo modelo de código aberto e pelo plano gratuito sem limitações de dispositivos, sendo a opção mais acessível para utilizadores individuais. O 1Password oferece funcionalidades adicionais como o Watchtower, que monitoriza ativamente palavras-passe comprometidas, sendo mais adequado para ambientes empresariais ou famílias com necessidades de partilha avançada.
Nota editorial: A ESET comercializa soluções no segmento de gestores de palavras-passe, o que não invalida as suas recomendações, mas justifica que o utilizador explore também alternativas independentes antes de escolher.
O futuro da autenticação: passkeys em ascensão
A alternativa de longo prazo às palavras-passe tradicionais já não é uma perspetiva distante. As passkeys são um método de autenticação sem palavra-passe, baseado em criptografia de chave pública e verificação biométrica, desenvolvido no âmbito das normas FIDO2 e WebAuthn. Segundo a New Scientist, as palavras-passe estarão progressivamente a ser substituídas ao longo de 2026, com adoção crescente entre os principais serviços digitais.
Em maio de 2025, a Microsoft anunciou que todas as novas contas seriam criadas por defeito sem palavra-passe, recorrendo a passkeys. A FIDO Alliance indica que organizações que adotam este método registam uma redução de 81% nas chamadas para suporte técnico relacionadas com autenticação. A ENISA reconheceu formalmente as passkeys no guia técnico da NIS2, publicado em junho de 2025, classificando-as como o método mais robusto de autenticação multifator resistente a phishing.
O quadro regulatório europeu como catalisador
A Diretiva NIS2, em vigor em Portugal desde 3 de abril de 2026, impõe requisitos reforçados de cibersegurança a operadores de serviços essenciais e digitais, criando pressão normativa sobre práticas que até aqui dependiam exclusivamente da iniciativa voluntária das plataformas. A ESET defende que a implementação de palavras-passe fortes e de MFA deve ser obrigatória em todos os serviços online, independentemente do setor.
O verdadeiro teste à eficácia destas medidas não será a adoção de políticas de autenticação mais exigentes pelas grandes plataformas, mas a capacidade de fiscalização das autoridades competentes. Sem mecanismos de verificação e sanção efetivos, a mudança de comportamento continuará a ser marginal. O Dia Mundial da Palavra-Passe serve, neste contexto, menos como celebração e mais como lembrete de que a segurança digital começa em decisões simples que ainda demasiados utilizadores adiam.
Outros artigos interessantes:
