Crie senhas fortes e longas

Atualizado28 March 2024

Índice

...Carregando Tabela de Conteúdos...

    A segurança das suas informações e identidade depende, em grande parte, das senhas que você escolhe. Por vezes, atacantes estão bem cientes disso e empregam diversos métodos para tentar descobrir as suas senhas.

    Mas você pode se defender dessas artimanhas implementando algumas ferramentas e táticas importantes.

    Proteja suas senhas

    • Always use a secure, updated, protected and trusted device to access your accounts and manage your sensitive information, including passwords. Read the guides on Phones and Computers to learn how to make sure your device is secure.
    • Utilize um gerenciador de senhas. Nenhum cérebro humano é capaz de criar e lembrar senhas que sejam suficientemente longas, aleatórias e únicas para garantir a segurança de todos os seus dispositivos e contas. Um gerenciador de senhas gera e armazena essas senhas para você, protegendo-as com criptografia. Aprenda mais sobre quais gerenciadores de senhas usar e como utilizá-los em nosso guia sobre gerenciadores de senhas.
    • Utilize a autenticação em dois fatores (2FA ou MFA). A autenticação em dois fatores (2FA), também chamada de autenticação multifatorial (MFA), adiciona um segundo fator de autenticação ao seu sistema de login. Ao usar 2FA, você pode garantir que mesmo se alguém conseguir adivinhar sua senha, não poderá fazer login porque ainda precisam de um segundo fator de autenticação. Para aprender como usar 2FA da maneira mais segura, veja nosso guia sobre autenticação em dois fatores.

    Leia as seções a seguir para aprender mais sobre como proteger suas senhas e contas dos ataques mais comuns.

    Crie uma senha mais forte

    Num geral sugerimos criar todas as senhas de que você precisa com um gerenciador de senhas offline e apenas ter algumas frases mais longas que você possa lembrar para desbloquear o dispositivo onde você instalou seu gerenciador de senhas e o banco de dados do gerenciador de senhas.

    Se você prefere criar todas as suas senhas manualmente, aqui está o básico para garantir que sua senha seja forte o bastante:

    • Crie uma senha longa - 12 caracteres é o menor quantidade que você deve cogitar. 14 é ainda melhor.
    • Use letras, números e símbolos.
    • Note que as estratégias a seguir, isoladamente, NÃO tornam suas senhas seguras. Entretanto, você pode incorporá-las a uma senha forte para torná-la mais complexa.
      • Trocar letras por símbolos ou números semelhantes (por exemplo, "a" por "@" ou "e" por "3"). Esta é uma tática bem antiga e conhecida por quem sabe como quebrar uma senha.
      • Colocar exclamações, números ou outras pontuações no final - essa também é uma tática conhecida e pode ser descoberta por alguém que tente quebrar sua senha.
      • Iniciar Cada Palavra Com Letras Maiúsculas - essa também é uma tática conhecida que será considerada nas tentativas de quebrar suas senhas.

    Além disso, tenha em mente as seguintes recomendações:

    • Não use uma palavra que só conste num dicionário.
    • Evite usar frases comuns, como citações famosas, trechos de letras de músicas, ou poemas.
    • Evite usar palavras ou números relacionados a você, a pessoas ou organizações ao seu redor, como:
      • Não use nomes de pessoas, animais de estimação ou organizações,
      • Não use datas de nascimento, aniversários importantes ou feriados,
      • Não use números de telefone ou endereços,
      • ou qualquer outra informação que alguém possa descobrir ao pesquisar sobre você e as pessoas ao seu redor.
    • Lembre-se de que não é necessário alterar suas senhas frequentemente. Para decidir quando alterar uma senha, leia Quando alterar sua senha.

    Lembre das suas chaves mestras

    Mesmo ao utilizar um gerenciador de senhas, será necessário memorizar algumas senhas seguras para desbloquear o dispositivo onde instalou o gerenciador de senhas e para desbloquear o banco de dados do gerenciador de senhas onde mantém suas senhas fortes.

    • Use o método de diceware para criar senhas seguras que podem ser lembradas:
      1. Pegue uma lista de palavras numeradas e 5 dados.
      2. Jogue os 5 dados para obter um número de cinco dígitos (por exemplo, 6,2,5,1,1).
      3. Empregue a palavra na lista com o número correspondente.
      4. Repita isso seis vezes. Use as seis palavras como uma "senha-frase".
        • Não reutilize a senha-frase para mais nada.
      5. Após isso, crie uma imagem mental usando as palavras em sua senha-frase, na ordem. Isso te ajudará a lembrar a frase.
      6. Pratique entrar com essas senhas regularmente, diariamente inicialmente e depois pelo menos uma vez por semana. A repetição ajudará a fixar essas senhas na memória.
    • Caso você não tenha dados e precise gerar uma senha que possa lembrar, você pode gerar com o KeePassXC.
    • Alternatively, you can use the "book method":
      1. Escolha um livro aleatório, preferencialmente não relacionado à sua atividade principal.
      2. Abra o livro em uma página aleatória.
      3. Com os olhos fechados, ponha o dedo na página aberta para selecionar uma palavra aleatória.
      4. Faça este procedimento mais 6 vezes para conseguir uma senha-frase composta por 6 palavras aleatórias.
        • Note que este método é menos seguro, especialmente se você usar um livro que esteja no seu escritório, pois cria senhas-frases menos aleatórias. Mas se você não quer instalar software e usar um livro ou revista aleatória, pode ser uma boa alternativa para gerar uma senha longa que você possa lembrar.
    Saiba por que recomendamos isso

    There will be a few passwords you must memorize, including the password to log in to the device where you have installed your password manager and the master password to your password manager. The diceware method can help you create passphrases that are easy to remember but extremely difficult to guess, even for an attacker who has a lot of time and skills and knows how to use "password cracking" software.

    Se você precisar compartilhar senhas

    • Evite compartilhar senhas quando possível:
      • Se precisar compartilhar uma senha com algum amigo, familiar ou colega de trabalho, altere-a para uma senha temporária e aí sim, compartilhe. Altere-a novamente para algo seguro quando terminarem de acessar.
      • Pondere sobre a possibilidade de criar contas individuais para cada pessoa que precisa de acesso a um serviço; muitos serviços oferecem essa opção. Você pode restringir as ações que essas contas podem executar e o que podem visualizar.
      • If you need to share access to your device, consider creating a separate account for that device. See the basic security guides for Android, Linux, macOS, and Windows for instructions on how to do this.
        • On iOS devices this option is not available, unless you are using an iPad. See Shared iPad overview to learn how this works.
    • Caso queira realmente compartilhar senhas com outras pessoas, você pode configurar seu KeePassXC para uso colaborativo. Confira a documentação do KeePassXC para aprender como fazer isso.
    Saiba por que recomendamos isso

    Sempre que compartilha uma senha, é quase como se tivesse feito uma cópia extra da chave da sua casa e a tivesse entregado: há um risco de alguém perder essa chave. Na verdade, é ainda mais arriscado do que isso, porque sua "casa" pode ser facilmente acessada por dispositivos à distância sem que você perceba. Reduza essa "superfície de ataque" evitando compartilhar senhas sempre que possível.

    Descubra se as suas senhas foram vazadas

    • Acesse o site ';--have i been pwned? para verificar se suas contas foram comprometidas.
    • Mesmo se nenhuma das suas contas aparecer aqui, é importante seguir as instruções neste guia, pois muitas violações de conta não são reportadas.
    Saiba por que recomendamos isso

    Atacantes buscam por senhas que foram violadas e estão disponíveis online. Eles tentam as senhas de suas contas até encontrarem a correta para acessar. Por isso, reutilizar a mesma senha é muito arriscado. Consulte ';--have i been pwned? para verificar se suas senhas estão em alguma das listas que atacantes utilizam..

    Saiba como atacantes podem descobrir suas senhas

    Aqui estão os métodos mais comuns que invasores usam para encontrar suas senhas:

    1. Podem adivinhar sua senha:
      • Usando suas informações pessoais, como datas importantes ou nomes, ou até mesmo citações famosas, músicas ou autores que você aprecia,
      • Por meio de um dicionário,
      • Ao fazer pequenas alterações nas senhas que você usou anteriormente,
      • Por meio de ferramentas que tentam todas as combinações possíveis para acessar sua conta.
    2. Podem estar procurando:
      • Onde suas senhas estão escritas (como notas espalhadas pela sua mesa),
      • O que está sendo digitado quando você insere sua senha,
      • Senhas que já foram comprometidas e estão disponíveis na internet.
    3. Podem tentar enganar você:
      • Instalando um aplicativo com malware para registrar sua senha,
      • Fazendo você inserir sua senha em uma página de login falsa através de phishing,
      • Passando suas senhas ou outras informações ao fingir ser alguém do suporte ou alguém que você conhece (também conhecido como engenharia social).
      • Leia mais sobre como reconhecer tentativas para te pressionar e agir rapidamente ou apelar para suas emoções em nosso guia sobre malware.
    4. Pode ser explorado vulnerabilidades:
      • Hackeando o site para o qual desejam fazer login com sua senha,
      • Roubar sua senha se estiver armazenada no seu navegador,
      • Roubar sua senha a partir dos aplicativos que você usa no seu telefone.

    Não forneça sua senha quando alguém enviar um email, ligar ou mandar mensagens para você

    • Vá para o aplicativo ou site do serviço que supostamente enviou a mensagem para verificar a solicitação.
    • Se parecer que é uma mensagem vinda de uma fonte que você conhece, entre em contato com eles por outro canal para verificar se eles fizeram a solicitação.
      • Por exemplo, se foi um e-mail, ligue para eles.
      • Não clique nos links no email, tampouco responda.
    • Saiba que quando uma mensagem tenta te assustar, desperta sua curiosidade, faz você sentir que perderá uma oportunidade ou, de outra forma, faz você agir rapidamente e sem pensar, pode ser uma tentativa de phishing. Pare, mantenha a calma e encontre outras maneiras de verificar mensagens como essas.
    Saiba por que recomendamos isso

    Atacantes frequentemente se passam por entidades falsas, como bancos ou representantes de suporte técnico, para nos persuadir a fornecer informações sensíveis. Eles também jogam com nossas emoções e natureza humana para nos induzir a compartilhar senhas quando não deveríamos.

    Se você receber uma ligação, e-mail ou mensagem solicitando sua senha ou outras informações confidenciais, ou se um e-mail ou mensagem de texto incluir um link e pedir que você clique nele para fornecer essas informações, é muito provável que alguém esteja tentando te enganar.

    Leia mais sobre como reconhecer tentativas para te pressionar e agir rapidamente ou apelar para suas emoções em nosso guia sobre malware.

    Aprenda mais sobre phishing no Guia de Autodefesa de Vigilância sobre como evitar ataques de phishing.

    Quando mudar sua senha

    Troque sua senha imediatamente quando:

    • It appears your account, devices or colleagues and people around you have been victims of a data breach.
    • You entered your password on an untrusted, shared or public device (it might have malicious code installed).
    • Te preocupa que alguém tenha te visto digitar sua senha.

    Reduza os danos avisando outras pessoas que também podem ter sido afetadas.

    Also consider changing your password if you get a credible warning from the services you use that there was an attempt to log in from an unauthorized device or location. In such cases, go through the following steps to figure out whether your password may actually be compromised:

    • Look for news reports about data breaches.
    • If you received the alert through an email or chat message, double-check on the service provider's own website that they sent the alert. Never click links in emails, SMS messages or chat messages.

    Veja nosso guia sobre mídias sociais e os guias básicos de segurança para Android, iOS, Linux, macOS e Windows para instruções sobre como alterar a senha do seu dispositivo.

    Saiba por que recomendamos isso

    Pesquisas mostram que trocar sua senha repetidamente não necessariamente melhora a segurança. Quando as pessoas são obrigadas a trocar de senha com frequência, tendem a fazer apenas pequenas alterações na senha, em vez de criar uma senha completamente nova. Leia mais sobre essa pesquisa na postagem de Bruce Schneier sobre por que trocar de senha com frequência é uma má ideia de segurança.

    A mudança de senhas é mais importante quando há uma violação de dados. Como nem sempre sabemos quando os dados foram comprometidos, recomendamos alterar as senhas, especialmente para serviços online, a cada poucos meses a um ano, ou imediatamente quando houver motivo para acreditar que elas possam estar comprometidas.

    Preste atenção ao ambiente em que você está e a quem pode ver você digitando uma senha

    • Se você estiver em um local público e digitar sua senha, tenha cuidado para não te vejam ou te gravem por trás.
    • Verifique se alguém está observando seu teclado ou telefone enquanto você digita suas senhas.
    • Use película de privacidade para dificultar a visualização do conteúdo que digita.
    Saiba por que recomendamos isso

    Adversaries can monitor and record you entering a password. If a mobile device is confiscated by the authorities, and they don't have the password to unlock it, they can, for example, study the daily routines of the owner of the device to find a CCTV that may have filmed the owner and the screen of the device while they were typing the password to unlock the device.

    Evite desbloqueio por impressão digital ou reconhecimento facial (biometria)

    • Se você configurou o desbloqueio do seu dispositivo com sua face ou impressão digital, é recomendável alterar as configurações para usar o desbloqueio por senha em vez disso.
    • Veja os guias básicos de segurança para Android, iOS, Linux, macOS e Windows para obter instruções sobre como fazer isso.
    Saiba por que recomendamos isso

    A biometria pode tornar mais rápido o acesso aos seus dispositivos, usando características pessoais como sua impressão digital ou rosto. No entanto, geralmente é uma forma menos segura de bloquear seu dispositivo e conta. Ao contrário de uma senha, você não pode alterar sua impressão digital quando quiser. Muitas pessoas são obrigadas a fornecer informações biométricas em aeroportos, escritórios do governo, etc. Isso cria um risco potencial de que alguém possa acessar suas contas sem o seu consentimento. Se adversários te restringirem fisicamente ou te forçarem, pode ser mais fácil para eles desbloquear seus dispositivos do que seria se você os bloqueasse com uma senha.

    Reflita sobre como e quando usar senhas

    Em algumas plataformas online, pode ser sugerido que você use uma chave de acesso em vez de seu nome de usuário e senha.

    Passkeys offer stronger protection against phishing, but rely a lot on biometrics and cloud sharing, which we don't recommend using for anything sensitive, let alone for credentials to log in to your accounts. If you think you may be exposed to advanced phishing attacks, however, you may choose to protect yourself against this threat with passkeys, and use them without biometrics or cloud sharing.

    Para ativar uma chave de acesso, você precisará de um gerenciador de senhas com suporte a chave de acesso, uma chave de segurança ou um chip de alta segurança integrado ao seu computador ou telefone. Em muitos casos, as pessoas desbloqueiam sua chave de acesso usando um gerenciador de senhas baseado na nuvem ou o método de bloqueio de seu dispositivo, que pode ser baseado em biometria, como sua impressão digital ou rosto.

    Mas isso não é realmente necessário: na maioria dos casos, você pode armazenar suas chave de acesso de maneiras mais seguras, seja em uma chave de segurança física ou no chip de alta segurança integrado ao seu computador ou telefone, o que recomendamos proteger com uma frase secreta em vez de biometria.

    Você também pode armazenar chaves de acesso com o KeePassXC ao ativar a integração do navegador KeePassXC, mas como essa solução depende do seu navegador, ela pode estar exposta a ataques baseados em navegador e deve ser considerada menos segura do que as outras soluções que dependem de dispositivos de hardware e chips de alta segurança.

    Configure perguntas de recuperação seguras

    Muitos serviços online pedem "perguntas de segurança" ou "perguntas de recuperação" ao criar uma conta. Para reduzir a probabilidade de alguém adivinhar essas perguntas, você pode usar as seguintes estratégias:

    • Responda com informações falsas e não relacionadas a essas perguntas.
    • Também é possível utilizar outro código aleatório e único gerado pelo seu gerenciador de senhas.
    • Garanta que você salve suas respostas em seu gerenciador de senhas para evitar o risco de esquecer suas perguntas de recuperação e ficar bloqueado.
    Saiba por que recomendamos isso

    As perguntas de recuperação são importantes para ajudar os serviços a verificar sua identidade se eles suspeitarem que outra pessoa está tentando acessar sua conta. Você usa essas respostas para alterar sua senha caso perca o acesso à sua conta. Infelizmente, suas respostas a perguntas como "Em que cidade você nasceu?" ou "Qual é o nome do seu animal de estimação?" podem ser facilmente encontradas online. Ao fornecer respostas falsas, você pode dificultar que um atacante se aproprie de sua conta.

    Leia mais