O Dia Mundial da Palavra-Passe assinala-se esta quinta-feira, uma data criada para alertar utilizadores e empresas para a importância de proteger contas digitais, dados pessoais e informação profissional. Num momento em que grande parte da vida quotidiana passa por aplicações, redes sociais, e-mail, serviços bancários e plataformas de trabalho, uma palavra-passe fraca continua a ser uma das portas de entrada mais simples para ataques informáticos.
O Centro Nacional de Cibersegurança lembra que um atacante só precisa de uma falha. Já cada utilizador deve fazer o contrário: ter uma palavra-passe diferente para cada conta. O problema é que, na prática, muitas pessoas continuam a reutilizar credenciais, a escolher combinações previsíveis ou a manter passwords antigas durante anos.
As palavras-passe que deve evitar
As combinações mais perigosas são também as mais comuns: sequências numéricas simples, palavras óbvias, padrões de teclado, nomes próprios, clubes, datas de nascimento ou informações pessoais fáceis de descobrir.
Exemplos como “123456”, “12345”, “123456789”, “111111”, “password”, “admin”, “qwerty”, “abc123”, “welcome”, “senha” ou “000000” devem ser evitados. O mesmo vale para nomes de familiares, animais de estimação, clubes de futebol ou palavras-passe iguais às definidas de origem em dispositivos.
Estas combinações são frequentemente incluídas em listas usadas por atacantes e podem ser testadas automaticamente em segundos. Se uma palavra-passe já tiver sido exposta numa fuga de dados, o risco aumenta ainda mais.
Comprimento e complexidade fazem diferença
Uma palavra-passe segura deve ser longa, única e difícil de adivinhar. A recomendação passa por usar pelo menos 12 caracteres, combinando letras maiúsculas e minúsculas, números e símbolos.
A diferença pode ser enorme. Segundo dados divulgados pela empresa de cibersegurança Hive Systems em 2025, uma palavra-passe curta pode ser quebrada em poucas horas com ataques de força bruta. Já uma combinação longa, com 12 ou mais caracteres e diferentes tipos de símbolos, torna esse processo incomparavelmente mais difícil.
Ainda assim, complexidade não chega se a palavra-passe for reutilizada. Quando uma credencial é roubada num serviço, os atacantes tentam frequentemente usá-la noutros. É por isso que ter uma password diferente para cada conta é uma regra essencial.
Gestores de passwords e dupla autenticação
Como é impraticável memorizar dezenas de palavras-passe longas e diferentes, os gestores de passwords são uma das soluções mais recomendadas. Estas ferramentas permitem criar, guardar e preencher credenciais fortes sem obrigar o utilizador a decorá-las todas.
Outra medida essencial é ativar a autenticação multifator, também conhecida como MFA ou 2FA. Neste modelo, além da palavra-passe, é exigida uma segunda verificação, como um código numa aplicação de autenticação, uma notificação no telemóvel ou uma chave física de segurança.
Esta camada adicional não elimina todos os riscos, mas reduz muito a probabilidade de uma conta ser comprometida apenas porque a password foi descoberta.
As passkeys podem substituir as passwords?
Apesar de continuarem a ser muito usadas, as palavras-passe são cada vez mais vistas como uma solução frágil. Por isso, empresas e especialistas defendem a adoção de métodos mais seguros, como as passkeys.
As passkeys são chaves de acesso baseadas em criptografia e associadas a um dispositivo. Em vez de memorizar uma palavra-passe, o utilizador autentica-se com biometria, como impressão digital ou reconhecimento facial, ou com um PIN local.
A grande vantagem é que as passkeys são mais resistentes a phishing e a ataques de força bruta. Não podem ser reutilizadas entre serviços, não precisam de ser memorizadas e não são partilhadas com o site ou aplicação da mesma forma que uma palavra-passe tradicional.
A tecnologia já é suportada por empresas como Google, Apple e Microsoft e está integrada nos principais sistemas operativos e browsers. A adoção ainda não é universal, mas o caminho aponta para uma redução progressiva da dependência das passwords.
O que deve fazer hoje
O Dia Mundial da Palavra-Passe é uma boa oportunidade para fazer uma pequena auditoria digital. Comece pelas contas mais importantes: e-mail, homebanking, redes sociais, serviços profissionais e plataformas onde tem dados pessoais ou financeiros.
Altere palavras-passe repetidas, antigas ou demasiado simples. Use combinações únicas e longas. Ative a autenticação multifator sempre que possível. Considere usar um gestor de passwords. E, nos serviços que já o permitem, experimente as passkeys.
A segurança digital começa muitas vezes em pequenos hábitos. E uma palavra-passe forte pode ser a diferença entre manter uma conta protegida ou entregar, sem saber, a chave da sua vida digital.
