No Brasil, a higiene de senhas no ambiente corporativo continua sendo um ponto fraco estrutural: 40% dos funcionários afirmam nunca ter alterado a senha da rede corporativa e 37% só fazem a troca quando existe exigência formal da empresa.
Na prática, isso mantém aberta uma das portas mais exploradas pelos atacantes — especialmente em um cenário em que tentativas automatizadas de descoberta/roubo de credenciais estão em escala industrial.
O que os números brasileiros revelam (e por que isso importa)
O recorte brasileiro aparece no estudo “Linguagem Digital”, da Kaspersky, citado pelo Convergência Digital: parte relevante da força de trabalho permanece com credenciais “eternas”, enquanto 42% dizem renovar senhas a cada 3 a 6 meses.
O problema não é só “trocar ou não trocar”: senhas estáticas tendem a ser reutilizadas, compartilhadas informalmente e repetidas em variações previsíveis — e isso casa perfeitamente com ataques automatizados (força bruta, password spraying e credential stuffing) e com golpes de engenharia social.
O cenário internacional: credenciais seguem como vetor recorrente de invasão
Em investigações de incidentes e vazamentos analisados pelo Verizon DBIR 2025, o uso de credenciais comprometidas aparece como vetor de acesso inicial em 22% das violações avaliadas.
A própria Verizon também destaca um dado especialmente incômodo para times de segurança: em casos medianos observados em contexto de infostealers, apenas 49% das senhas de um usuário, em diferentes serviços, eram de fato distintas — sinal de reutilização e “efeito dominó” entre contas pessoais e corporativas.
Do lado da pressão ofensiva, a Microsoft reportou ter observado, no ano anterior ao texto, cerca de 7.000 ataques a senhas por segundo (ataques automatizados em massa contra contas ainda protegidas por métodos “pescáveis”, como senha e certos tipos de MFA).
Traduzindo: mesmo uma senha “ok” vira alvo quando o atacante consegue tentar milhões de combinações, validar credenciais vazadas e industrializar phishing.
Trocar senha sempre ajuda? A resposta moderna é: “depende do controle”
Há um detalhe técnico que costuma confundir: forçar troca periódica (ex.: a cada 60/90 dias) não é unanimidade entre padrões modernos. O NIST (SP 800-63B) orienta que verificadores não devem exigir mudança arbitrária/periódica de senha; devem forçar a troca quando houver evidência de comprometimento (ou risco contextual).
O motivo é bem pragmático: políticas de expiração rígida frequentemente empurram usuários para padrões fracos (“Senha@2026”, “Senha@2027”) e aumentam o suporte/atrito sem reduzir, necessariamente, o risco real.
Isso não contradiz o alerta do estudo no Brasil. O ponto é outro: se a empresa não tem boa detecção e resposta a comprometimento de credenciais, manter senha “para sempre” vira um convite permanente. A alternativa madura é combinar:
- detecção de credencial vazada/infostealer,
- bloqueio de senhas comuns/reutilizadas (blocklists),
- MFA resistente a phishing e/ou passkeys,
- e troca forçada quando sinais de comprometimento aparecem.
Como os ataques exploram a má gestão de senhas
O roteiro típico é conhecido e eficiente:
- Phishing (e-mail, WhatsApp, falsa página de login) para coletar usuário/senha — muitas vezes com “proxy” em tempo real para driblar MFA fraco.
- Credential stuffing: teste automático de credenciais vazadas em serviços corporativos (VPN, e-mail, SSO).
- Força bruta / password spraying: tentativa massiva, especialmente quando não há limite de tentativas, não há MFA forte e a organização aceita senhas previsíveis.
- Movimentação lateral após uma conta cair: acesso a sistemas internos, coleta de dados, implantação de malware/ransomware e interrupção operacional.
Medidas técnicas que reduzem risco (sem “teatro de segurança”)
- MFA resistente a phishing / passkeys (FIDO2/WebAuthn), principalmente para e-mail, VPN, SSO e painéis administrativos. A Microsoft vem empurrando a adoção de passkeys justamente por reduzir ataques “pescáveis” e a superfície de phishing.
- Bloqueio de senhas fracas e reutilizadas (blocklist) e checagem contra bases de senhas vazadas; isso é mais efetivo do que “obrigar símbolos” aleatórios.
- Controles anti-ataque de autenticação: rate limiting, detecção de anomalia, lockout inteligente, proteção contra password spraying e monitoramento de logins impossíveis.
- Resposta orientada por evidência: troca forçada quando houver indício de comprometimento (alertas de infostealer, credencial em dump, tentativa suspeita, incidente) — alinhado ao NIST.
- Treinamento com foco em comportamento observável (phishing e engenharia social), porque o atacante vai onde a fricção é menor: no humano, não no hash.
No fim, o dado “4 em cada 10” não é só estatística: ele descreve um ambiente onde credenciais viram um passaporte de longa validade para o atacante. E, no mundo real, atacante não “tenta a sorte” — ele automatiza.
