Hoje é o Dia Mundial da Password, ou Dia Mundial de mudar a Password, e não faltam alertas para a necessidade de criar palavras passe fortes para proteger a informação e acesso aos principais serviços digitais. O Reino Unido avançou mesmo com uma legislação de cibersegurança que proíbe a utilização de palavras passe fracas, e as plataformas são obrigadas a proteger os equipamentos ligados à internet com senhas elaboradas e a incentivar os utilizadores a alterar senhas comuns.

Mesmo assim os dados de vários estudos mostram que as senhas mais comuns continuam a ser "password", "123456", "qwerty" ou "abc123", mesmo sendo as mais fáceis de adivinhar, e naturalmente as primeiras que os hackers experimentam num ataque informático.

Um estudo do Institution of Engineering and Technology (IET) para marcar o Dia Mundial da Senha indica que 20% dos utilizadores usam a mesma senha para vários sites e equipamentos, e que muitos recorrem a nomes de animais de estimação ou a uma data significativa, práticas que são desencorajadas por especialistas em segurança informática. Isto apesar de 65% dos inquiridos dizerem que têm medo de serem hackeados no futuro e 84% acreditarem que os hackers estão a tornar-se mais criativos na forma como roubam dados.

A equipa da SafetyDetectives fez uma compilação das passwords mais hackeadas em 2024, recorrendo a fóruns de hackers, marketplaces e sites na dark web onde são vendidos dados de acesso a serviços online, e grande parte da lista tem as palavras mais comuns. Ao todo terão sido analisadas mais de 18 milhões de passwords, com o cuidado de avaliar diferentes comportamentos nos vários países e os padrões mais comuns.

Estas são as 10 passwords mais usadas em ataques informáticos 

A palavra password, com variações em que se acrescentam números, por exemplo, é muito popular, mas também palavras e frases comuns, como "letmein", "iloveyou", "princess", "superman", "bonjour", "soleil", "chocolat", "mierda" ou "realmadrid", dependendo da região e língua.

Os padrões de teclado estão também na lista dos mais populares, com “qwerty” no top das preferências, seguindo de escolhas de letras na diagonal ou variações como “1q2w3e4r” ou “zaq12wsx”.

Existem diferenças entre os vários países e a análise destaca que nos Estados Unidos a mais comum é mesmo "password" e que na Rússia a escolha recai em "qwerty" (as primeiras letras do teclado), enquanto em França os utilizadores optam por "azerty" (as primeiras letras do teclado francês). Na Alemanha, Itália e Espanha o mais comum são as combinações de números, como "123456".

Há ainda quem opte por combinar o primeiro nome com números ou padrões de teclado, nomes de pessoas famosas ou estrelas pop, como "Jesus", "Cristo", "Ronaldo", ou séries como "Friends". Curiosamente a análise indica também que quando são usadas datas nas palavras chave, o ano mais comum é 2013.

Ainda assim a equipa da SafetyDetectives elegeu como palavras chaves mais inseguras a "123456" e "password", que dão as mais óbvias e combina a dimensão mínima exigida pela maior parte dos sites de ter entre 6 e 8 caracteres. 

Como escolher uma password segura?

Ter uma palavra-passe adequada é um muitos dos passos fundamentais para manter as contas seguras e há algumas recomendações que pode seguir.

Clique nas imagens para ver 4 recomendações essenciais para passwords mais robustas e seguras 

  • Escolha passwords fortes, longas e variadas

As palavras-passe curtas e compostas por sequências simples e números e letras conseguem ser mais facilmente decifradas por hackers. Este é um aviso que tem sido repetido por vários especialistas da área, mas, como mostrou o estudo que citámos ainda está longe de ser seguido.

Em Portugal, o destaque entre as passwords mais escolhidas nos últimos anos vai para  “benfica” ou “sporting”, e nomes próprios e termos como “portugal” e “família”.

É recomendável que opte, sempre que possível, por passwords com mais de 12 caracteres. Deve combinar números, letras maiúsculas e minúsculas, assim como caracteres especiais. Usar dados pessoais, datas especiais, nomes de membros da família ou até dos animais de estimação está fora de questão.

Há ferramentas online, incluindo gestores de passwords, que o podem ajudar a gerar  palavras-passe fortes, longas e variadas. Se desejar pode também experimentar criar passwords a partir de frases completas, usando maiúsculas e minúsculas, trocando letras, por números e por caracteres especiais.

  • Não repita nem “recicle” passwords nas contas online

Cada conta online deve ter uma palavra-passe única. Caso contrário, se as credenciais de uma conta caírem nas mãos de cibercriminosos, as restantes estarão em risco. Além disso, não deverá “reciclar” passwords que já utilizou anteriormente, sobretudo se já tiverem sido comprometidas em algum tipo de ciberataque.

Os especialistas recomendam também que mude as palavras-passe das suas contas a cada três meses. Se quer verificar se alguma das suas passwords já foi comprometida em ataques informáticos, pode recorrer, por exemplo, à plataforma HaveIBeenPwned.

  • Mantenha a privacidade das passwords

Partilhar as suas passwords com outras pessoas não é uma boa ideia. O mesmo se aplica a deixar palavras passe escritas, por exemplo, em notas post-it perto do computador ou até em ficheiros.

Se tem dificuldade em manter-se a par de todas as palavras-passe que usa nas contas, o melhor será mesmo optar por um gestor de passwords. Existem várias opções disponíveis na Internet, entre gestores gratuitos e pagos. Neste artigo, e na galeria que se segue, pode encontrar oito propostas.

Clique nas imagens para ver oito propostas de gestores de password

  • Ative a autenticação de dois fatores nas contas

A autenticação de dois fatores afirma-se como uma camada extra de segurança nas contas, permitindo obter uma confirmação de que foi mesmo o utilizador que inseriu as credenciais no respetivo serviço. Hoje, várias plataformas digitais e redes sociais dispõem desta funcionalidade e é recomendável que a ative, recorrendo ao email ou SMS para confirmara autenticação, ou aplicações como a Authy, Google Authenticator ou Microsoft Authenticator.

As passwords também enfrentam desafios

As passwords pouco seguras não são o único problema. A tecnologia usada pelos hackers está a evoluir e um relatório da Hive Systems indica que o tempo que demoram a decifrar palavras-passe em ataques de força bruta varia entre instantes, para passwords pouco seguras, e 438 mil milhões de anos, para credenciais mais robustas.

Dia Mundial da Password
créditos: Hive Systems

Em apenas um ano, estes números viram os seus tempos de vulnerabilidade possíveis reduzidos em até 90% e a Check Point Research realça que, com a entrada de novos agentes como os serviços na cloud ou a inteligência artificial, a redução poderá ser ainda maior.