Dia Mundial de Trocar Sua Senha: data ganha peso com recorde de vazamentos

A troca de senha deixou de ser um gesto simbólico e passou a representar uma linha direta entre prevenção e prejuízo financeiro. Até outubro de 2025, cerca de 23 bilhões de contas digitais foram expostas em vazamentos globais, segundo a Surfshark.

O volume acompanha a expansão de serviços digitais que concentram dados pessoais, bancários e profissionais em uma única credencial. Para jogar luz ao problema, o Dia Mundial de Trocar Sua Senha, celebrado em 1º de fevereiro, passa a ser mais divulgado.

Especialistas apontam que o problema já não está restrito à criação de senhas fracas, mas à manutenção prolongada de combinações previsíveis, reutilizadas por anos e replicadas em diferentes plataformas.

Senhas previsíveis seguem dominando acessos

Os padrões de risco se repetem. O levantamento “As 200 Senhas Mais Comuns”, da NordPass em parceria com a NordStellar, analisou bases públicas e repositórios da dark web em 44 países entre 2024 e 2025.

Globalmente, “123456” aparece pelo sexto ano consecutivo como a senha mais utilizada, com mais de 21 milhões de ocorrências. Sequências como “admin”, “12345678” e “123456789” completam o topo da lista. Todas podem ser quebradas em segundos por ferramentas automatizadas.

No Brasil, o cenário não foge à regra. Combinações como “mudar123”, “escola1234” e “gvt12345” indicam que parte dos usuários reconhece a necessidade da troca de senha, mas mantém padrões fáceis de deduzir.

Para Kenneth Corrêa, especialista em tecnologias emergentes e professor de MBA da FGV, o problema está na percepção de risco. Segundo ele, a criação de senhas simples não resulta de uma escolha consciente, mas da ausência de associação entre credenciais frágeis e crimes digitais reais. O reflexo aparece nos registros policiais: golpes virtuais já superam, em volume, outras modalidades de crime no país.

Vazamentos ampliam impacto de uma única senha

No recorte regional, os números reforçam a vulnerabilidade. Dados da Fortinet indicam que o Brasil concentrou 84% das tentativas de ataques cibernéticos da América Latina em 2025. Apenas no primeiro semestre, foram registradas 315 bilhões de tentativas.

A NordPass estima que cerca de 80% das violações estejam ligadas ao uso de senhas fracas ou reutilizadas. Na prática, um único vazamento pode comprometer e-mail, aplicativos financeiros, redes sociais e sistemas corporativos ao mesmo tempo.

Para Marileusa Cortez, Data Governance Manager da Keyrus, a identidade digital passou a exigir tratamento equivalente ao de ativos sensíveis. Segundo ela, políticas de senha forte, autenticação multifator e revisão periódica deixaram de ser recomendações técnicas e passaram a integrar requisitos de governança e compliance.

Aplicativos bancários elevam nível de exposição

O setor financeiro concentra parte relevante dos ataques. Em março de 2025, mais de 25 mil chaves Pix foram expostas após falhas sistêmicas em uma fintech. Meses depois, um novo vazamento atingiu dados de cerca de 11 milhões de usuários, incluindo informações bancárias completas, conforme dados do Banco Central e do CNJ.

Fernando Corrêa, CEO da Security First, aponta que ataques bem-sucedidos no setor financeiro exploram, em grande parte, senhas reutilizadas. Segundo ele, uma credencial segura deve ter pelo menos 15 caracteres, combinando letras, números e símbolos, além de passar por troca de senha periódica.

O diagnóstico da NordPass reforça o alerta: quase 66% das senhas analisadas têm menos de 12 caracteres. Um quarto utiliza apenas números, e mais de um terço contém sequências previsíveis.

Ambiente corporativo amplia risco sistêmico

No ambiente empresarial, o problema assume escala maior. Fernando Corrêa observa que muitas violações começam com práticas básicas mal geridas, como compartilhamento de senhas entre funcionários ou anotações físicas próximas aos computadores.

Segundo ele, empresas que não adotam políticas de rotação, complexidade mínima e controle de acessos expõem sistemas críticos a falhas em cadeia. Um único acesso comprometido pode abrir caminho para sequestro de dados, paralisação de operações e prejuízos jurídicos.

Práticas que reduzem exposição digital

A resposta ao avanço das fraudes passa por medidas diretas, já disponíveis na maioria dos serviços digitais.

A ativação da autenticação em dois fatores adiciona uma camada que independe apenas da senha. Aplicativos autenticadores oferecem maior proteção do que códigos enviados por SMS, método já explorado por golpes de troca de chip.

O uso de senhas únicas para cada serviço reduz o efeito dominó de vazamentos. Gerenciadores digitais ajudam a administrar credenciais longas sem exigir memorização manual. Kenneth Corrêa observa que muitos usuários já utilizam esse tipo de ferramenta de forma automática, sem reconhecer o recurso como tal.

A troca de senha periódica também precisa de método. Para aplicativos financeiros, especialistas recomendam ciclos trimestrais. Contas de e-mail e serviços profissionais podem seguir prazos semestrais, com lembretes automatizados.

Ferramentas de monitoramento permitem verificar se um endereço de e-mail já apareceu em bases vazadas. Sempre que um serviço sofre incidente público, a troca imediata da senha reduz o risco de uso indevido.

Por fim, auditorias regulares ajudam a identificar dispositivos antigos, acessos ativos desconhecidos e permissões concedidas a aplicativos que já não são utilizados.

Troca de senha precisa entrar na rotina

O Dia Mundial de Trocar Sua Senha funciona como marco simbólico, mas os números mostram que a proteção digital não se sustenta em ações pontuais. Com centenas de bilhões de tentativas de ataque registradas em poucos meses, a troca de senha passou a integrar práticas básicas de proteção individual e corporativa.

A tendência, segundo Kenneth Corrêa, é que senhas tradicionais percam espaço ao longo da próxima década, substituídas por autenticação baseada em biometria e comportamento. Até lá, a fragilidade mais explorada continua sendo a mesma: credenciais simples, repetidas e mantidas por tempo demais.