Press Release: Na primeira quinta-feira de maio, os profissionais de cibersegurança assinalam anualmente o Dia Mundial da Palavra-Passe, apelando ao público para reforçar os seus hábitos de segurança digital. No entanto, para a Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, esta tradição pode já ter deixado de fazer sentido. Porquê? Porque a nossa dependência excessiva de palavras-passe tornou-se precisamente no risco que tentamos evitar.
Segundo o relatório Data Breach Investigations Report da Verizon (2024), 81% das violações de dados ainda envolvem palavras-passe fracas ou roubadas. Com a evolução das técnicas de ataque e a integração da inteligência artificial nos arsenais dos cibercriminosos, até as palavras-passe mais robustas podem ser quebradas em minutos, e não meses. Está na hora de questionar: estaremos agarrados a um método de segurança ultrapassado que nos impede de avançar?
O problema das palavras-passe atualmente
Os dados não deixam margem para dúvidas. A Nordpass revelou que “123456” continua a ser uma das palavras-passe mais utilizadas – facilmente decifrável por um hacker em menos de um segundo. Um inquérito conduzido pela Google e pela Harris Poll em fevereiro de 2019 indicava que 65% dos utilizadores reutilizam as mesmas palavras-passe em vários sites, expondo-se a ataques de preenchimento de credenciais em larga escala.
As ameaças mais recentes apenas agravam este risco. Os ataques de força bruta passaram dos CPUs para GPUs de alta velocidade, capazes de testar milhões de combinações por segundo. O que antes demorava anos, agora resolve-se em minutos com ferramentas potenciadas por IA.
O lado negro das palavras-passe: uma economia do cibercrime
O mercado subterrâneo de credenciais roubadas é vasto e extremamente lucrativo. Estima-se que mais de 24,6 mil milhões de combinações de nomes de utilizador e palavras-passe circulem atualmente por mercados cibercriminosos. Esta escala é difícil de verificar, uma vez que os dados roubados são frequentemente revendidos. Vendidas em bloco, estas credenciais tornam-se ainda mais baratas — como se viu no caso da Booking.com, onde milhares de logins foram transacionados por apenas 2.000 dólares, com novos dados a surgirem todos os meses, consoante os incidentes de fuga de informação. Os acessos mais valiosos incluem contas bancárias, de email, serviços cloud, carteiras de criptomoedas, VPNs corporativas e redes sociais — alvos comuns de campanhas de phishing, roubo de identidade, malware ou compromissos de email empresarial.
Por detrás destes roubos estão alguns dos grupos de ameaças mais sofisticados do mundo, como os norte-coreanos do Kimsuky, os iranianos do MuddyWater ou os russos do APT28/29. Estes grupos utilizam malware como o Lumma, plataformas Malware-as-a-Service e bots no Telegram, conseguindo escalar operações de roubo de dados de forma lucrativa. Só em 2024, foi reportado que 3,9 mil milhões de credenciais foram comprometidas por infeções com malware, afetando 4,3 milhões de dispositivos.
Mesmo a autenticação multifator (MFA), fundamental no combate a este fenómeno, está sob ataque. Ferramentas como o EvilProxy conseguem interceptar tokens MFA. Esta economia do cibercrime já não é apenas uma ameaça técnica — é um ecossistema com implicações geopolíticas e económicas, amplificado por serviços como Phishing-as-a-Service (PhaaS) e Infostealer-as-a-Service. Hoje, qualquer pessoa com uma carteira de Bitcoin pode aceder a estas ferramentas.
A ascensão da autenticação sem palavra-passe
Face a este cenário, a segurança sem palavra-passe deixou de ser uma promessa futura — é já uma realidade prática. Empresas como a Google, Microsoft e Shopify estão a implementar Passkeys, chaves criptográficas associadas a dados biométricos ou ao próprio dispositivo do utilizador.
A Microsoft, por exemplo, está a incentivar os seus mais de mil milhões de utilizadores a abandonarem as palavras-passe no acesso às suas contas. A consultora Gartner prevê que, até ao final de 2025, 60% das empresas eliminarão as palavras-passe em grande parte dos seus sistemas.
Nos setores financeiro, da saúde e da administração pública, soluções com tokens físicos, autenticação multifator e biometria já dominam. Em países como Singapura e Índia, os sistemas de identidade digital apoiados pelo governo estão a acelerar esta transição, permitindo acessos seguros a serviços bancários, seguros e saúde.
Em Singapura, por exemplo, o sistema nacional de identidade digital (NDI), baseado no Singpass, conecta mais de 700 agências públicas e empresas privadas. Métodos como reconhecimento facial, cartões digitais e códigos QR permitem verificar identidades com rapidez e maior segurança. Na Índia, o sistema Aadhaar — o maior registo biométrico do mundo — permite autenticação segura através de biometria e OTPs. A Austrália também está a investir numa estrutura digital federada sem recurso a palavras-passe.
A resistência comportamental: porque continuamos a confiar nas palavras-passe
Apesar dos avanços tecnológicos, muitas pessoas continuam a confiar no que conhecem — e as palavras-passe ainda transmitem uma falsa sensação de segurança. No entanto, essa familiaridade tem um custo elevado. Palavras-passe são frequentemente esquecidas, partilhadas, reutilizadas ou facilmente adivinhadas.
A Check Point alerta para os riscos persistentes de más práticas, como a reutilização de palavras-passe, o registo em papel ou a escolha de combinações baseadas em dados pessoais. Pior ainda: os ataques de phishing continuam a roubar credenciais em larga escala, mesmo quando os utilizadores têm 2FA ativado. O crescimento de ataques alimentados por IA, incluindo deepfakes, está a tornar os sistemas baseados em palavra-passe ainda mais vulneráveis.
Os riscos de manter palavras-passe num mundo dominado por IA
A evolução da IA está a tornar a autenticação por palavra-passe obsoleta:
- Modelos de deep learning treinados em bases de dados massivas de palavras-passe comprometidas conseguem prever padrões com uma rapidez sem precedentes;
- Ataques com voz e vídeo deepfake conseguem contornar até autenticação multifator, se as camadas de identidade forem fracas;
- GPUs baseadas na cloud democratizaram o poder de quebra de palavras-passe, permitindo que desde grupos de ransomware até adolescentes com poucos conhecimentos consigam comprometer sistemas em minutos.
Em resumo: quanto mais tempo adiarmos a transição, maior será a nossa exposição ao risco.
O que devem fazer as organizações agora
- Implementar sistemas piloto de autenticação sem palavra-passe, com biometria, tokens ou Passkeys;
- Utilizar soluções como o Check Point Harmony para prevenir reutilização de palavras-passe e phishing;
- Reforçar práticas de Privileged Access Management (PAM) e arquiteturas de confiança zero;
- Formar equipas não apenas para criarem palavras-passe mais fortes — mas para as abandonarem por completo.
Para Rui Duro, Country Manager da Check Point Software em Portugal: “Continuamos a assistir a um volume preocupante de incidentes relacionados com o uso indevido de credenciais. A dependência de palavras-passe representa hoje uma vulnerabilidade estrutural, e não apenas um risco individual. É urgente que empresas e instituições portuguesas comecem a adotar mecanismos de autenticação mais seguros e modernos, como Passkeys ou sistemas biométricos. O futuro da cibersegurança não passa por reforçar palavras-passe — passa por superá-las.”
Como tal, acrescentou que: “Temos as ferramentas, o conhecimento e as soluções para dar este passo. O que falta é a coragem coletiva para abandonar hábitos ultrapassados e proteger verdadeiramente a identidade digital dos cidadãos e das organizações.”
Siga a Check Point Software:
- X: http://www.twitter.com/checkpointsw
- YouTube: http://www.youtube.com/user/CPGlobal
- Blog: http://blog.checkpoint.com
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.
Mais informações aqui.
