Boas práticas para senhas e autenticação

Segurança · Dicas práticas · Atualizado em 2026

Senhas fracas e reutilizadas estão entre as principais portas de entrada para invasões de contas. A boa notícia é que proteger seus acessos não é complicado: com três hábitos — senhas longas, um gerenciador e autenticação em dois fatores — você elimina a maioria dos riscos. Este guia explica o porquê de cada um.

O que torna uma senha forte

A força de uma senha depende muito mais do seu comprimento do que da complexidade. Uma senha de 16 caracteres simples é mais difícil de quebrar do que uma de 8 caracteres cheia de símbolos. Recomendações atuais:

Por que comprimento importa: ataques de força bruta testam bilhões de combinações por segundo. Cada caractere a mais multiplica exponencialmente o tempo necessário para adivinhar a senha. É a diferença entre minutos e séculos.

Nunca reutilize senhas

Este é o erro mais perigoso e mais comum. Quando um site sofre um vazamento, os atacantes pegam a lista de e-mails e senhas e testam essas mesmas combinações em bancos, redes sociais e e-mails. Esse ataque, chamado de credential stuffing, funciona justamente porque as pessoas repetem a mesma senha em todo lugar. Uma senha única por serviço transforma um vazamento isolado em um problema contido.

Use um gerenciador de senhas

Ninguém consegue memorizar dezenas de senhas únicas e longas — e é exatamente para isso que servem os gerenciadores de senha. Eles geram, guardam e preenchem senhas fortes automaticamente, protegidas por uma única senha-mestra (a única que você precisa lembrar).

Use uma senha-mestra forte e exclusiva, e ative o 2FA no próprio gerenciador.

Autenticação em dois fatores (2FA)

A autenticação em dois fatores, também chamada de 2FA ou MFA, adiciona uma segunda comprovação além da senha. Mesmo que alguém descubra sua senha, não consegue entrar sem o segundo fator. Os tipos mais comuns, do mais fraco ao mais forte:

MétodoComo funcionaSegurança
SMSCódigo enviado por mensagemBaixa — vulnerável a troca de chip (SIM swap)
App autenticadorCódigo que muda a cada 30s (Google Authenticator, Authy)Boa — recomendado para a maioria
Chave físicaDispositivo USB/NFC (YubiKey, FIDO2)Alta — resistente a phishing
PasskeysChave criptográfica no dispositivo (biometria)Alta — futuro sem senha

Sempre que um serviço importante oferecer 2FA — e-mail, banco, redes sociais — ative. O e-mail é prioridade máxima, pois é por ele que se recuperam todas as outras contas.

Passkeys: o futuro sem senha

As passkeys são uma tecnologia mais nova que substitui a senha por uma chave criptográfica armazenada no seu dispositivo e desbloqueada por biometria ou PIN. Elas são imunes a phishing e a vazamentos de banco de dados, porque não existe uma senha para roubar. Grandes serviços já oferecem passkeys, e a tendência é que se tornem o padrão nos próximos anos.

Resumo prático

  1. Adote um gerenciador de senhas hoje.
  2. Troque as senhas reutilizadas por senhas únicas e longas.
  3. Ative 2FA em todas as contas importantes, começando pelo e-mail.
  4. Prefira app autenticador ou chave física em vez de SMS.
  5. Use passkeys onde estiverem disponíveis.