Boas práticas para senhas e autenticação
Senhas fracas e reutilizadas estão entre as principais portas de entrada para invasões de contas. A boa notícia é que proteger seus acessos não é complicado: com três hábitos — senhas longas, um gerenciador e autenticação em dois fatores — você elimina a maioria dos riscos. Este guia explica o porquê de cada um.
O que torna uma senha forte
A força de uma senha depende muito mais do seu comprimento do que da complexidade. Uma senha de 16 caracteres simples é mais difícil de quebrar do que uma de 8 caracteres cheia de símbolos. Recomendações atuais:
- Use no mínimo 12 a 16 caracteres. Quanto mais longa, melhor.
- Combine letras maiúsculas, minúsculas, números e símbolos quando o serviço exigir.
- Prefira frases-senha: uma sequência de palavras aleatórias como
cavalo-bateria-grampo-azulé longa, fácil de lembrar e difícil de quebrar. - Evite dados pessoais óbvios: datas de nascimento, nomes de filhos, placa do carro ou palavras do dicionário sozinhas.
Por que comprimento importa: ataques de força bruta testam bilhões de combinações por segundo. Cada caractere a mais multiplica exponencialmente o tempo necessário para adivinhar a senha. É a diferença entre minutos e séculos.
Nunca reutilize senhas
Este é o erro mais perigoso e mais comum. Quando um site sofre um vazamento, os atacantes pegam a lista de e-mails e senhas e testam essas mesmas combinações em bancos, redes sociais e e-mails. Esse ataque, chamado de credential stuffing, funciona justamente porque as pessoas repetem a mesma senha em todo lugar. Uma senha única por serviço transforma um vazamento isolado em um problema contido.
Use um gerenciador de senhas
Ninguém consegue memorizar dezenas de senhas únicas e longas — e é exatamente para isso que servem os gerenciadores de senha. Eles geram, guardam e preenchem senhas fortes automaticamente, protegidas por uma única senha-mestra (a única que você precisa lembrar).
- Bitwarden: código aberto, gratuito e multiplataforma. Excelente ponto de partida.
- KeePass / KeePassXC: armazena o cofre localmente, sem nuvem; ótimo para quem prefere controle total.
- 1Password: pago, com interface polida e recursos para famílias e empresas.
Use uma senha-mestra forte e exclusiva, e ative o 2FA no próprio gerenciador.
Autenticação em dois fatores (2FA)
A autenticação em dois fatores, também chamada de 2FA ou MFA, adiciona uma segunda comprovação além da senha. Mesmo que alguém descubra sua senha, não consegue entrar sem o segundo fator. Os tipos mais comuns, do mais fraco ao mais forte:
| Método | Como funciona | Segurança |
|---|---|---|
| SMS | Código enviado por mensagem | Baixa — vulnerável a troca de chip (SIM swap) |
| App autenticador | Código que muda a cada 30s (Google Authenticator, Authy) | Boa — recomendado para a maioria |
| Chave física | Dispositivo USB/NFC (YubiKey, FIDO2) | Alta — resistente a phishing |
| Passkeys | Chave criptográfica no dispositivo (biometria) | Alta — futuro sem senha |
Sempre que um serviço importante oferecer 2FA — e-mail, banco, redes sociais — ative. O e-mail é prioridade máxima, pois é por ele que se recuperam todas as outras contas.
Passkeys: o futuro sem senha
As passkeys são uma tecnologia mais nova que substitui a senha por uma chave criptográfica armazenada no seu dispositivo e desbloqueada por biometria ou PIN. Elas são imunes a phishing e a vazamentos de banco de dados, porque não existe uma senha para roubar. Grandes serviços já oferecem passkeys, e a tendência é que se tornem o padrão nos próximos anos.
Resumo prático
- Adote um gerenciador de senhas hoje.
- Troque as senhas reutilizadas por senhas únicas e longas.
- Ative 2FA em todas as contas importantes, começando pelo e-mail.
- Prefira app autenticador ou chave física em vez de SMS.
- Use passkeys onde estiverem disponíveis.