Senhas

Pesquisadores alertam que senhas geradas por modelos de linguagem artificial (LLMs), como ChatGPT e Claude, podem parecer seguras, mas possuem padrões previsíveis que as tornam vulneráveis a ataques. Um estudo da Irregular analisou 50 senhas de 16 caracteres geradas por esses sistemas e descobriu que muitas eram duplicadas e seguiam estruturas semelhantes. Embora essas senhas tenham passado em testes de força comuns, a análise revelou que sua entropia variava entre 20 e 27 bits, enquanto uma senha verdadeiramente aleatória teria entre 98 e 120 bits. Essa diferença significa que senhas geradas por IA podem ser quebradas em questão de horas, mesmo em computadores antigos. Os pesquisadores alertam que ferramentas de avaliação de senhas não consideram padrões estatísticos ocultos, o que pode levar à falsa sensação de segurança. Além disso, a recomendação é que os usuários utilizem geradores de senhas baseados em aleatoriedade criptográfica e gerenciadores de senhas, em vez de confiar nas sugestões de LLMs, que não são adequadas para autenticação segura.

Especialistas da empresa de cibersegurança Irregular emitiram um alerta sobre as vulnerabilidades das senhas geradas por ferramentas de inteligência artificial, como ChatGPT, Gemini e Claude. A análise revelou que, embora essas senhas pareçam complexas e seguras, na realidade, elas podem ser facilmente decifradas por cibercriminosos. Durante os testes, foram solicitadas senhas de 16 caracteres que incluíssem letras maiúsculas, minúsculas, números e caracteres especiais. Apesar de muitos verificadores online indicarem que essas senhas eram robustas, os pesquisadores descobriram que as senhas apresentavam padrões comuns, tornando-as previsíveis. Por exemplo, ao solicitar 50 senhas ao Claude, apenas 30 eram únicas, e muitas começavam e terminavam com os mesmos caracteres. O Gemini 3 Pro se destacou ao gerar senhas menos padronizadas, mas ainda assim alertou que essas senhas não deveriam ser usadas em contas sensíveis. O estudo destaca a necessidade de cautela ao utilizar senhas geradas por IA, especialmente em contas que lidam com informações críticas.

As senhas continuam sendo um ponto crítico na interseção entre usabilidade e segurança. Embora controles de autenticação sejam implementados para fortalecer a segurança, eles frequentemente introduzem complexidade, levando os usuários a optarem por padrões familiares em vez de credenciais verdadeiramente imprevisíveis. Isso resulta em senhas que muitas vezes derivam da linguagem específica da organização. Os atacantes têm explorado esse comportamento, utilizando ferramentas como o CeWL, que coleta palavras de sites para criar listas de senhas altamente direcionadas. O NIST SP 800-63B recomenda evitar palavras específicas do contexto, mas a implementação dessa orientação exige compreensão sobre como os atacantes operam. A análise de mais de seis bilhões de senhas comprometidas revela que muitas senhas geradas ainda atendem aos requisitos de complexidade, mas permanecem fracas devido à sua construção a partir de termos organizacionais familiares. Para mitigar esses ataques, é essencial bloquear senhas derivadas de contextos conhecidos, exigir frases de senha longas e implementar autenticação multifator (MFA). Essas medidas não apenas melhoram a segurança, mas também refletem a realidade dos ataques a senhas.

Um novo relatório da McDonald’s revela que senhas relacionadas a alimentos populares, como ‘bigmac’ e ‘happymeal’, estão presentes em mais de 110 mil contas comprometidas. Apesar das recomendações de segurança cibernética, muitos usuários ainda optam por senhas fáceis de lembrar, o que as torna vulneráveis a ataques automatizados. A substituição de letras por símbolos, uma prática que antes oferecia alguma proteção, já não é eficaz contra métodos modernos de quebra de senhas. A campanha da McDonald’s, que utiliza humor e reconhecimento, visa conscientizar o público sobre a importância de criar senhas mais seguras. Especialistas recomendam o uso de frases longas, autenticação multifatorial e gerenciadores de senhas para melhorar a segurança. A persistência de senhas fracas, mesmo entre usuários mais jovens, destaca a necessidade de uma mudança de comportamento em relação à segurança digital. A falta de conscientização e a resistência à mudança são fatores que contribuem para a continuidade desse problema, que persiste mesmo após anos de orientações sobre cibersegurança.

Um estudo da KnowBe4 revelou que 38% das informações expostas em violações de segurança são resultado do roubo de senhas, destacando a vulnerabilidade desse método de autenticação. Apesar da implementação de medidas como a autenticação multifator (MFA), os cibercriminosos continuam a encontrar formas de contornar essas proteções. O ambiente corporativo é especialmente suscetível, com 98,4% das mensagens de phishing focadas em temas como remuneração e políticas internas, o que aumenta a confiança dos usuários nas armadilhas. Além disso, os hackers utilizam diversas táticas para obter senhas, incluindo engenharia social, adivinhação e exploração de falhas técnicas. Para mitigar esses riscos, especialistas recomendam o uso de senhas longas e complexas, a adoção de gerenciadores de senhas e a não reutilização de credenciais em diferentes contas. O artigo alerta que a segurança das senhas deve ser uma prioridade tanto para usuários individuais quanto para empresas, dada a crescente sofisticação das ameaças digitais.

Uma nova campanha de phishing está direcionada a usuários do Dropbox, especialmente em ambientes corporativos, com o objetivo de roubar credenciais de login. Pesquisadores da Forcepoint identificaram que os ataques se disfarçam como e-mails legítimos, contendo PDFs que parecem inofensivos. Ao clicar em links dentro desses documentos, as vítimas são redirecionadas para uma página falsa de login do Dropbox, onde suas informações são coletadas. Os criminosos utilizam endereços de e-mail que aparentam ser profissionais, dificultando a detecção pelos filtros de segurança. Após o fornecimento dos dados, um script é acionado, capturando e enviando informações sensíveis, como e-mail, senha e endereço IP, para um canal privado no Telegram controlado pelos hackers. O golpe é sofisticado, pois apresenta uma mensagem de erro ao usuário, fazendo-o acreditar que digitou a senha incorretamente. A situação é alarmante, pois a conta do Dropbox comprometida pode levar a vazamentos de dados sensíveis, exigindo atenção redobrada de empresas e usuários em geral.

O trabalho híbrido trouxe novos desafios para a gestão de senhas nas empresas, especialmente em relação às redefinições de senhas. Antes, quando todos trabalhavam no escritório, um funcionário que esquecesse suas credenciais poderia rapidamente resolver o problema com a equipe de TI. No entanto, com a mudança para um modelo híbrido, onde 51% dos trabalhadores remotos nos EUA atuam dessa forma, as redefinições de senhas se tornaram um fardo significativo. Estudos indicam que 40% das chamadas ao helpdesk são relacionadas a senhas, e a situação se agravou com a necessidade de mudanças mais frequentes de senhas por questões de segurança. Isso resulta em custos elevados para as organizações, estimados em cerca de $65.000 anuais apenas em redefinições de senhas. Além disso, a produtividade dos funcionários é severamente impactada, pois muitos ficam impossibilitados de trabalhar enquanto aguardam assistência. A solução proposta é a implementação de ferramentas de autoatendimento para redefinição de senhas, permitindo que os funcionários resolvam esses problemas de forma rápida e segura, sem depender da equipe de TI. Essa abordagem não só melhora a eficiência operacional, mas também reduz os custos associados às redefinições de senhas.

A LastPass, plataforma de gerenciamento de senhas, emitiu um alerta sobre uma nova campanha de phishing que visa roubar as credenciais mestras dos usuários. Os cibercriminosos estão enviando e-mails fraudulentos que se passam pela LastPass, alegando a necessidade de uma manutenção iminente no sistema. A mensagem falsa cria um senso de urgência, incentivando os usuários a realizar um backup local de suas senhas em um prazo de 24 horas. Essa estratégia de engenharia social é projetada para enganar as vítimas e levá-las a um site de phishing, que redireciona para um domínio comprometido, onde as chaves mestras podem ser capturadas. A LastPass enfatizou que nunca solicitará a senha mestra ou exigirá ações imediatas com prazos apertados. A empresa está colaborando com um parceiro para desmantelar a campanha antes que mais usuários sejam afetados. Este incidente destaca a importância da conscientização sobre segurança digital e a necessidade de vigilância constante contra tentativas de phishing.

A LastPass emitiu um alerta sobre uma nova campanha de phishing que se apresenta como um aviso de manutenção do serviço de gerenciamento de senhas. Iniciada em 19 de janeiro de 2026, a campanha envia e-mails fraudulentos que solicitam aos usuários que façam um backup local de seus cofres de senhas em um prazo de 24 horas. Os e-mails possuem linhas de assunto como ‘Atualização da Infraestrutura LastPass: Proteja Seu Cofre Agora’ e ‘Importante: Manutenção LastPass e a Segurança do Seu Cofre’. Os usuários são direcionados a um site de phishing que imita o LastPass, com o objetivo de roubar suas senhas mestras. A empresa enfatiza que nunca solicitará a senha mestra dos usuários e está trabalhando com parceiros para desmantelar a infraestrutura maliciosa. A LastPass também compartilhou os endereços de e-mail dos remetentes dos e-mails fraudulentos, alertando os usuários a permanecerem vigilantes e a reportarem atividades suspeitas. Essa campanha é um exemplo clássico de engenharia social, utilizando a urgência como tática para enganar os usuários. Além disso, a LastPass já havia alertado anteriormente sobre uma campanha de roubo de informações que visava usuários do macOS da Apple, através de repositórios falsos no GitHub.

Apesar de campanhas de conscientização e regulamentações rigorosas, o uso de senhas fracas, como ‘admin’ e ‘123456’, continua a ser um desafio para as empresas no Reino Unido. Este fenômeno reflete uma falha mais profunda na gestão de credenciais e na cultura organizacional de segurança. O Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido recentemente atualizou suas diretrizes, sugerindo uma menor dependência de senhas e uma maior ênfase em processos organizacionais e defesas técnicas. A pesquisa indica que quase 20% das organizações ainda não possuem controles formais de credenciais, o que contribui para a persistência de senhas fracas. A sobrecarga de senhas, resultante da necessidade de gerenciar um grande número de contas, leva os usuários a adotar práticas inseguras, como reutilização de senhas. Para mitigar esses riscos, o NCSC recomenda a implementação de gerenciadores de senhas de terceiros e a adoção de uma abordagem de gerenciamento de identidade que trate a identidade como o novo perímetro de segurança. A gestão de acesso privilegiado (PAM) é destacada como uma solução crítica para reduzir riscos em ambientes de TI complexos, garantindo que o acesso seja controlado e monitorado de forma eficaz. Essa mudança de paradigma é essencial para fortalecer a postura de segurança das organizações frente a um cenário de ameaças em constante evolução.

Os infostealers são malwares projetados para roubar informações sensíveis de sistemas infectados, operando de forma discreta e silenciosa. Ao contrário de ransomwares, que sequestram dados, os infostealers se concentram em coletar credenciais, como nomes de usuário e senhas, armazenadas em navegadores como Google Chrome e Firefox. Esses dados são enviados para servidores controlados por cibercriminosos, permitindo acesso a contas de e-mail e redes sociais sem a necessidade de autenticação adicional.

O artigo aborda a crescente preocupação com o vazamento de credenciais na dark web, destacando que milhões de senhas e e-mails são expostos diariamente, muitas vezes devido a grandes violações de segurança em empresas. Para verificar se suas informações foram comprometidas, o texto apresenta ferramentas como ‘Have I Been Pwned’, que permite aos usuários checar se seus e-mails foram expostos em vazamentos. Além disso, navegadores como Chrome e Edge oferecem alertas sobre senhas vazadas, enquanto o Google anunciou uma ferramenta de monitoramento da dark web, que será descontinuada em 2026. O artigo também menciona o ‘credential stuffing’, uma técnica utilizada por cibercriminosos para explorar senhas vazadas em múltiplas plataformas. Após a confirmação de um vazamento, recomenda-se trocar senhas imediatamente, verificar regras de encaminhamento de e-mail e encerrar sessões em dispositivos. Para aumentar a segurança, o uso de gerenciadores de senhas, autenticação de dois fatores e aliasing de e-mail são sugeridos como medidas preventivas eficazes.

Um levantamento realizado pela NordPass revelou as senhas mais comuns utilizadas no Brasil em 2025, destacando a preocupação dos usuários com a comodidade em detrimento da segurança. A pesquisa, que abrangeu 44 países e diferentes gerações, identificou que a senha mais utilizada no Brasil é ‘admin’, com mais de 2 milhões de ocorrências, seguida por ‘123456’ e ‘12345678’. O estudo também trouxe uma análise geracional, mostrando que mesmo os nativos digitais da geração Z não estão criando senhas mais seguras, com sequências numéricas simples ainda dominando a lista. A pesquisa enfatiza a dificuldade das campanhas de conscientização em impactar a população, já que a tendência de senhas fracas permanece alta. Para melhorar a segurança, recomenda-se a utilização de senhas complexas, a troca regular de credenciais e a adoção de autenticação multifator. O estudo foi realizado sem a compra de dados pessoais, utilizando informações de repositórios da dark web e dados públicos.

Pesquisadores da Fable Security identificaram uma nova ameaça que utiliza uma versão falsa do ChatGPT Atlas para roubar senhas de usuários em navegadores. Denominada ‘ataque ClickFix’, essa campanha de cibercrime cresceu 517% recentemente, explorando um truque de ‘copia e cola’ para disseminar instaladores maliciosos. Os hackers criam sites falsos que imitam o layout e o design do verdadeiro ChatGPT Atlas, enganando usuários desatentos. Ao acessar o instalador falso, a vítima é instruída a copiar um comando e colá-lo em um terminal, como o PowerShell, o que ativa um script que solicita repetidamente a senha do usuário. Esse método permite que os criminosos escalem privilégios e obtenham acesso total ao dispositivo, coletando credenciais sensíveis. A situação é alarmante, pois os hackers conseguem contornar ferramentas de segurança robustas. Especialistas recomendam que os usuários sejam cautelosos ao instalar ferramentas e evitem executar comandos de fontes suspeitas.

A autenticação sem senha surge como uma alternativa viável às senhas tradicionais, que atualmente representam um desafio para os usuários, que precisam gerenciar em média 168 senhas. O uso de senhas tem se tornado cada vez menos seguro, com o fenômeno da ‘fadiga de senhas’ levando os usuários a reutilizarem credenciais fracas, tornando-os vulneráveis a ataques como phishing e credential stuffing. A autenticação sem senha utiliza métodos como biometria (impressão digital, reconhecimento facial) e chaves de segurança, proporcionando uma experiência de login mais fluida e segura.

Uma análise da empresa de cibersegurança NordPass revelou que a Geração Z, composta por indivíduos nascidos entre 1997 e 2012, está criando senhas menos seguras do que as gerações anteriores. A pesquisa identificou que a sequência ‘12345’ foi a mais utilizada por esses jovens, enquanto os Millennials e as gerações mais velhas, como Gen X e Boomers, optaram por senhas ligeiramente mais complexas, como ‘123456’. Apesar de campanhas de conscientização sobre cibersegurança, os hábitos de criação de senhas não melhoraram significativamente ao longo dos anos. O estudo também apontou que, embora a inclusão de caracteres especiais em senhas esteja se tornando mais comum, isso ainda não é suficiente para garantir a segurança digital necessária em um cenário de crimes cibernéticos cada vez mais sofisticados. Especialistas recomendam o uso de autenticação de dois fatores e gerenciadores de senhas como medidas eficazes para melhorar a segurança das contas online.

O recente roubo no Museu do Louvre expôs falhas de segurança digital em instituições culturais, revelando que a senha do sistema de câmeras de vigilância era simplesmente ’louvre’. Essa vulnerabilidade, já sinalizada por especialistas em segurança, gerou preocupações sobre a proteção do patrimônio cultural. Em resposta, a empresa suíça Proton anunciou que fornecerá gratuitamente por dois anos seu serviço Proton Pass Professional para museus, bibliotecas e galerias em todo o mundo. O Proton Pass é um gerenciador de senhas que ajuda a criar e gerenciar senhas fortes, além de monitorar possíveis vazamentos de dados. A iniciativa visa fortalecer a segurança digital dessas instituições, que frequentemente investem em segurança física, mas negligenciam a proteção de suas infraestruturas digitais. A oferta, válida até o final de 2025, é um chamado para que o setor cultural priorize a segurança digital com a mesma seriedade que aplica à proteção de suas coleções físicas.

Um estudo recente da Comparitech revelou que as senhas mais comuns em 2025 incluem ‘123456’, ‘admin’ e ‘password’, com mais de 2 bilhões de senhas reais analisadas. A pesquisa destacou que 25% das 1.000 senhas mais usadas consistem apenas em números, e 38,6% contêm a sequência ‘123’. Além disso, 65,8% das senhas analisadas têm menos de 12 caracteres, o que as torna vulneráveis a ataques de força bruta. A combinação de números e palavras fracas, como ‘admin’ e ‘qwerty’, contribui para a fraqueza das senhas. Especialistas recomendam senhas com pelo menos 12 caracteres, misturando letras maiúsculas, minúsculas, números e símbolos. A pesquisa também enfatiza a importância de senhas únicas e a ativação da autenticação de dois fatores para proteger contas, mesmo que a senha seja comprometida. A análise foi baseada em dados de vazamentos de credenciais em fóruns de dados, com informações coletadas de forma a garantir a confidencialidade dos usuários.

Uma pesquisa da Proton revelou que 300 milhões de registros pessoais foram vazados na dark web, com 49% contendo senhas de usuários. O estudo, realizado com a ferramenta Data Breach Observatory, destacou que 71% dos dados expostos pertencem a pequenas e médias empresas. Além das senhas, 72% dos registros incluíam números de telefone e endereços, enquanto 34% continham informações de saúde e dados governamentais. O vazamento de credenciais é um indicativo de falhas graves na segurança digital, expondo os usuários a riscos de fraudes e ataques cibernéticos. A análise da Fortinet aponta que a combinação de contas legítimas com credenciais roubadas dificulta a detecção de fraudes, uma vez que os cibercriminosos podem se infiltrar nas atividades normais das empresas. A pesquisa também alerta que muitos vazamentos ocorrem com logins simples, sem a necessidade de técnicas sofisticadas. Para se proteger, é essencial adotar senhas fortes e únicas, além de implementar a autenticação de dois fatores sempre que possível.

Anualmente, senhas fracas resultam em perdas milionárias, e muitas dessas violações poderiam ser evitadas. Os atacantes não precisam de ferramentas avançadas; uma única falha de login pode ser suficiente para comprometer sistemas. Para as equipes de TI, isso se traduz em constantes redefinições de senhas, dificuldades de conformidade e noites sem dormir, preocupadas com o próximo vazamento de credenciais. O artigo destaca um webinar promovido pelo The Hacker News e pela Specops Software, intitulado ‘Pesadelos de Cibersegurança: Histórias do Cemitério de Senhas’, que visa alertar líderes de TI sobre a realidade das violações de senhas. Durante o evento, os participantes poderão aprender com histórias reais de violações, entender por que as políticas tradicionais de senhas falham e conhecer ferramentas que podem ajudar a prevenir ataques antes que ocorram. O webinar também apresentará uma demonstração ao vivo sobre como criar políticas de senhas mais fortes e amigáveis ao usuário, além de um plano simples em três etapas para eliminar rapidamente os riscos associados a senhas. A gestão inadequada de senhas não apenas cria riscos, mas também consome tempo e prejudica a produtividade. A Specops oferece soluções que fortalecem a segurança sem dificultar a experiência do usuário.

O caso da KNP Logistics Group, que operou por 158 anos, ilustra a fragilidade da segurança cibernética em empresas, mesmo as mais estabelecidas. Em junho de 2025, a empresa foi alvo do grupo de ransomware Akira, que acessou seus sistemas ao adivinhar uma senha fraca de um funcionário. A falta de autenticação multifatorial (MFA) permitiu que os hackers se infiltrassem facilmente, criptografando dados críticos e destruindo backups, resultando em uma demanda de resgate de £5 milhões. Apesar de ter seguro contra ataques cibernéticos e conformidade com normas de TI, a KNP não conseguiu se recuperar e acabou entrando em administração, resultando na demissão de 700 funcionários. O incidente destaca a importância de políticas de senhas robustas e da implementação de MFA, além de um plano de recuperação de desastres eficaz. Com 19.000 empresas no Reino Unido atacadas por ransomware no último ano, a situação é alarmante e exige atenção urgente das organizações para evitar consequências devastadoras.

A SonicWall alertou seus clientes sobre a necessidade urgente de redefinir senhas administrativas e de usuários em seus ambientes de firewall, após um vazamento de arquivos de backup do serviço MySonicWall. Entre 10 e 15 de setembro, um ator desconhecido explorou uma vulnerabilidade zero-day no sistema de upload de arquivos do portal, obtendo acesso a arquivos de configuração XML que continham credenciais criptografadas, chaves pré-compartilhadas de VPN e segredos de acesso à gestão. Embora os arquivos estivessem criptografados, a SonicWall confirmou que parâmetros de criptografia fracos permitiriam que adversários habilidosos quebrassem a proteção em poucas horas. A empresa recomenda que os clientes desativem interfaces de gerenciamento expostas à WAN e redefinam todas as contas de usuários locais, além de regenerar chaves de VPN e atualizar credenciais em servidores de autenticação. A SonicWall também enfatiza a importância de monitorar logs de auditoria para detectar atividades anômalas e promete lançar atualizações de firmware para corrigir a falha no portal MySonicWall.

Uma vulnerabilidade crítica foi identificada no User-ID Credential Agent da Palo Alto Networks, afetando versões anteriores à 11.0.3 no Windows. Essa falha permite que senhas de contas de serviço sejam expostas em texto claro, especialmente quando configuradas com permissões elevadas, como as de Server Operator ou Domain Join. Um usuário de domínio não privilegiado pode explorar mecanismos de leitura de arquivos ou despejo de memória para obter essas senhas. O impacto varia conforme o nível de privilégio da conta de serviço: contas minimamente privilegiadas podem resultar em interrupções nas operações do User-ID, enquanto contas com privilégios elevados podem permitir controle total do servidor, incluindo manipulação de domínio e comprometimento da rede. A Palo Alto Networks já lançou um patch para corrigir a vulnerabilidade, e recomenda que administradores atualizem suas versões para 11.0.3 ou superiores. Enquanto isso, é aconselhável que as organizações verifiquem as permissões de logon local concedidas a usuários de domínio nos Controladores de Domínio e adotem práticas recomendadas para a criação de contas de serviço dedicadas e minimamente privilegiadas.

A plataforma de streaming Plex confirmou um vazamento de dados, alertando seus usuários para que mudem suas senhas imediatamente. Um agente não autorizado teve acesso a um banco de dados que inclui e-mails, nomes de usuário e dados de autenticação. Embora as senhas estejam cifradas, a empresa recomenda a troca das credenciais, pois os invasores podem ter conhecimento sobre o número de caracteres das senhas. Para facilitar a mudança, os usuários podem acessar o link https://plex.tv/reset. Além disso, o Plex sugere que os usuários desconectem todos os dispositivos após a alteração da senha e, caso utilizem um login único (SSO), que também realizem a desconexão em todos os dispositivos. A empresa enfatiza a importância da autenticação em duas etapas para aumentar a segurança das contas, já que isso pode impedir o acesso mesmo que a senha seja comprometida. O incidente destaca a necessidade de vigilância constante em relação à segurança de dados pessoais em plataformas digitais.