Uma nova análise de quase 19 bilhões de senhas vazadas entre 2024 e o início de 2025 mostra que a segurança das senhas entre os usuários continua extremamente ruim. Os pesquisadores descobriram que cerca de 94% das senhas no conjunto de dados foram reutilizadas ou duplicadas em várias contas. Apenas cerca de seis por cento eram únicos.
Eles study revelaram que os usuários continuam a confiar em padrões simples, comprimentos curtos e sequências previsíveis. As senhas mais comuns incluíam “123456”, “123456789”, “senha” e “qwerty”, todas as quais apareceram consistentemente no topo das listas globais de violação de senha por mais de uma década. Os especialistas observam que essas senhas podem ser quebradas em segundos com ferramentas automatizadas.
De acordo com o relatório, cerca de 42% de todas as senhas analisadas tinham entre oito e dez caracteres, sendo oito o comprimento mais comum. Cerca de 27% continham apenas letras minúsculas e números, oferecendo pouca resistência a ataques automatizados de adivinhação. Apesar de anos de campanhas de conscientização pública, os usuários continuam a priorizar a conveniência e a memorização sobre a força da segurança.
Os pesquisadores também descobriram que muitas senhas combinam informações pessoais, como nomes, aniversários ou times esportivos. Esses padrões tornam as contas ainda mais vulneráveis, já que os invasores costumam usar métodos baseados em dicionário que testam nomes comuns e combinações numéricas primeiro. As senhas que contêm detalhes pessoais geralmente são comprometidas nos estágios iniciais das tentativas de força bruta, deixando as contas expostas.
Senhas fracas persistem
Os analistas atribuem a dependência contínua de senhas fracas ao hábito e à fadiga, e não à ignorância. Muitos usuários subestimam a probabilidade de serem alvos diretos, supondo que os invasores se concentrem apenas em grandes organizações. Outros confiam em senhas semelhantes em todos os serviços porque temem esquecê-las. No entanto, a reutilização de credenciais continua sendo um dos riscos de segurança cibernética mais prejudiciais, já que uma conta violada pode desbloquear muitas outras.
O estudo alerta que esse padrão permite que os invasores lancem campanhas de “preenchimento de credenciais”, nas quais as senhas de uma violação são testadas automaticamente em vários sites. Essa técnica é amplamente utilizada para comprometer contas de e-mail, bancos e mídias sociais. Senhas fracas ou reutilizadas tornam muito mais fácil para os criminosos terem sucesso sem a necessidade de contornar controles de segurança mais avançados.
Os especialistas recomendam várias etapas práticas para os usuários. Primeiro, cada conta deve ter uma senha exclusiva que seja longa e complexa, idealmente com pelo menos doze caracteres. As senhas devem incluir letras maiúsculas e minúsculas, números e caracteres especiais. Em segundo lugar, os usuários devem habilitar a autenticação multifator sempre que disponível, adicionando uma camada extra de proteção, mesmo que a senha seja roubada.
Os gerenciadores de senhas também são altamente recomendados para criar e armazenar credenciais seguras. Essas ferramentas geram combinações aleatórias que são quase impossíveis de adivinhar e eliminam a necessidade de lembrar várias strings longas. Além disso, os serviços que notificam os usuários quando seus dados aparecem em uma violação conhecida podem ajudar a reduzir a exposição, solicitando alterações de senha em tempo hábil.
Os pesquisadores observam que muitas violações decorrem do comportamento humano, e não de falhas do sistema. Senhas simples e repetitivas continuam a aparecer nos conjuntos de dados a cada ano, mostrando que a conscientização por si só não é suficiente para mudar hábitos. Especialistas argumentam que a educação consistente, juntamente com uma melhor integração de gerenciadores de senhas e alertas automáticos de segurança, pode ajudar a mudar os padrões de usuário de longa data.
Os dados de 2025 demonstram que a reutilização e a simplicidade de senhas continuam sendo as principais fraquezas na segurança online. Embora as empresas continuem investindo em sistemas de autenticação mais fortes, os indivíduos devem assumir maior responsabilidade pela proteção de suas próprias contas. Sem uma mudança comportamental significativa, as mesmas senhas fracas provavelmente também dominarão os relatórios de violação futuros.