Senhas fortes não existem mais. E agora?
A regra da 'senha forte de 12 caracteres com símbolo' resolve cada vez menos. Vazamentos massivos, phishing e ataques de credential stuffing mudaram o jogo. O novo básico tem dois pilares: MFA e gerenciador de senhas.
Por que senha sozinha não basta
Bilhões de credenciais já vazaram em incidentes públicos. Se sua senha do trabalho parece com a do seu e-mail pessoal, ela provavelmente está em alguma lista. Atacantes não 'adivinham' senhas — eles testam as que já têm.
MFA: o ganho mais barato em segurança
Habilitar autenticação multifator bloqueia mais de 99% dos ataques automatizados contra contas. Priorize MFA em e-mail corporativo, M365/Google Workspace, banco e ferramentas administrativas. Prefira app autenticador (TOTP) ou chave de segurança — SMS é o pior fator, mas ainda é melhor que nada.
Gerenciador de senhas: sem ele, MFA não escala
Um gerenciador (1Password, Bitwarden, Dashlane) gera e guarda senhas únicas por serviço. A equipe só precisa lembrar de uma — a do cofre. Adote em conjunto com SSO sempre que possível e ofereça licença familiar como benefício: protege a vida pessoal e reforça o hábito.
E as passkeys?
Passkeys substituem a senha por uma chave criptográfica vinculada ao dispositivo, resistente a phishing. Já funcionam em Google, Microsoft, Apple e cresce rápido em SaaS. Não é hype: é o caminho para o pós-senha. Comece habilitando onde já está disponível.
Como rolar isso sem revolta interna
- Comece pelo C-level e TI — eles dão exemplo.
- Treine antes de obrigar: 20 minutos por time.
- Tenha alguém de plantão para suporte na semana de adoção.
- Comunique o ganho pessoal — proteger o WhatsApp e o Instagram também.
Quer aplicar isso na sua empresa?
A Sereno Cyber ajuda PMEs a implementar programas de segurança humana com cenários brasileiros, métricas claras e adesão real do time.