68% das passwords atuais podem ser comprometidas em menos de 24 horas
No âmbito do Dia Mundial das Passwords, a Kaspersky divulgou os resultados de uma análise a 231 milhões de credenciais únicas recolhidas em fugas de dados ocorridas entre 2023 e 2026. As conclusões contradizem uma ideia amplamente aceite no setor: a de que cumprir os requisitos mínimos de complexidade – dez caracteres, uma maiúscula, um número ou símbolo – é suficiente para garantir segurança. Não é. E os números confirmam-no.
O estudo demonstra que passwords até oito caracteres são normalmente quebradas em menos de 24 horas por força bruta. Mais revelador ainda: mais de 20% das passwords com 15 ou mais caracteres podem ser comprometidas em menos de um minuto, desde que sigam padrões previsíveis. Os cálculos assumem a utilização de uma única GPU RTX 5090 com o algoritmo MD5. Em cenários reais, os atacantes operam frequentemente com dezenas ou centenas de GPUs em paralelo, o que reduz drasticamente os tempos estimados.
No total, 60,2% das credenciais analisadas podem ser quebradas em cerca de uma hora e 68,2% em menos de um dia. Estes valores evidenciam que a vulnerabilidade não reside apenas no comprimento, mas nos padrões que estão na base das escolhas dos utilizadores.
Padrões previsíveis são um problema
A análise identifica comportamentos recorrentes que tornam as passwords estruturalmente frágeis. A maioria das credenciais expostas começa ou termina com um dígito — um padrão que simplifica significativamente os ataques de força bruta. Em concreto, 53% das passwords terminam com dígitos e 17% começam com dígitos. Quase 12% incluem uma sequência numérica com características de data, entre 1950 e 2030, e 3% contêm sequências de teclado como “qwerty” ou combinações numéricas como “1234”.
A utilização de símbolos segue uma lógica igualmente previsível. Entre as passwords com um único símbolo, a arroba surge em 10% dos casos, seguida do ponto final em 3%. No conjunto total analisado, a arroba ocupa o segundo lugar em prevalência e o ponto de exclamação o terceiro.
Alexey Antonov, responsável da equipa de Data Science da Kaspersky, explica que «quando os atacantes já conhecem os caracteres que os utilizadores tendem a preferir, o tempo necessário para quebrar uma password reduz-se drasticamente. Para evitar a tentação de escolher símbolos previsíveis, recomenda-se recorrer a geradores dedicados que criam combinações aleatórias de letras, números e símbolos com igual probabilidade».
Palavras tendência
O estudo revela ainda que os utilizadores tendem a incorporar nas suas passwords palavras com carga emocional e referências culturais do momento. Predominam claramente os termos positivos: “love”, “magic”, “friend”, “team”, “angel”, “star” e “eden” figuram entre os mais comuns. Surgem também palavras negativas como “hell”, “devil”, “nightmare” e “scar”, embora em menor proporção.
Um indicador particularmente expressivo: entre 2023 e 2026, o uso da palavra “Skibidi” nas passwords analisadas aumentou 36 vezes, espelhando a popularidade dessa tendência nas plataformas digitais. Este padrão ilustra como a cultura online se infiltra diretamente nos hábitos de segurança — com consequências potencialmente graves.
Em Portugal, os dados de 2025 confirmam a mesma fragilidade. A palavra “admin” foi a opção mais utilizada nas passwords dos portugueses, seguida de sequências como “123456” ou “123456789”. Nomes próprios, datas e palavras comuns completam o quadro de uma realidade preocupante.
Alexey Antonov acrescenta que utilizar uma palavra única como password, mesmo com um número ou carácter especial no final, é uma escolha fraca. Segundo ele, «o padrão é demasiado previsível, tornando-o fácil de adivinhar. Em vez disso, opte por uma frase que combine várias palavras não relacionadas, complementadas com números e símbolos no interior, incluindo alguns erros propositados. Quanto mais longa, aleatória e imprevisível for a password, mais difícil será quebrá-la. Como medida adicional, ative a autenticação de dois fatores sempre que possível.»
Padrão de referência sobe para 16 caracteres
Com base nestes resultados, a Kaspersky defende que para ser uma password verdadeiramente segura, esta deve ter 16 ou mais caracteres, combinar aleatoriamente letras, números e símbolos, não apresentar repetições e ser única para cada conta. A empresa disponibiliza gratuitamente uma ferramenta de geração de passwords que permite também verificar a exposição de credenciais em fugas conhecidas.
Para a gestão do volume crescente de credenciais, os especialistas recomendam o recurso a um gestor de passwords, ou seja, uma solução que armazena as credenciais num cofre cifrado, protegido por uma password principal, com preenchimento automático e sincronização entre dispositivos.
Publicado em:
AtualidadePartilhe nas Redes Sociais
