Alterar “admin” para “admin1” ou acrescentar um símbolo à palavra-passe antiga pode parecer suficiente para reforçar a segurança. Mas, segundo uma nova análise divulgada pela NordPass, este hábito é um dos erros mais explorados por hackers e continua a ser uma ameaça séria – tanto para utilizadores individuais como para empresas.
Os dados mostram que a reutilização de palavras-passe é generalizada: 62% dos norte-americanos, 60% dos britânicos e 50% dos alemães admitem usar a mesma credencial em várias contas online. Em média, cada palavra-passe é reutilizada em cinco contas, sendo que 20% dos inquiridos assumem utilizá-la em dez ou mais plataformas.
Karolis Arbaciauskas, diretor de produto do NordPass, alerta que este comportamento cria um “efeito dominó de vulnerabilidade”, em que a vulnerabilidade de uma única conta pode dar acesso a toda a vida digital do utilizador.
Pequenas mudanças, grande risco
Entre quem reutiliza palavras-passe, a maioria opta por fazer pequenas alterações antes de as repetir. Acrescentar um número sequencial, trocar uma letra por um símbolo ou mudar maiúsculas e minúsculas são as variações mais comuns. No entanto, estas transformações seguem padrões previsíveis e facilmente detetáveis por ferramentas automatizadas de hacking.
Na lista das 200 palavras-passe mais comuns de 2025, os investigadores identificaram 119 credenciais quase idênticas, agrupadas em categorias como números sequenciais (123456), variações de “admin” ou “password”, padrões de teclado (qwerty), repetições simples (111111) e combinações com prefixos ou sufixos.
Segundo Karolis Arbaciauskas, embora pareçam únicas, estas palavras-passe obedecem a lógicas que os criminosos conhecem bem. “As ferramentas de ataque conseguem aplicar automaticamente transformações como acrescentar números ou caracteres especiais, tornando estas variações praticamente inúteis do ponto de vista da segurança”, sublinha.
Problema agravado no contexto empresarial
Se no plano pessoal o risco pode traduzir-se em roubo de identidade, acesso a contas bancárias ou fraudes com cartões de crédito, no ambiente corporativo as consequências podem ser ainda mais graves. A reutilização ligeiramente modificada de credenciais raramente viola as políticas internas, passando despercebida aos administradores e criando potenciais pontos de entrada para ataques de ransomware ou extorsão.
A principal razão apontada para este comportamento é a dificuldade em gerir múltiplas contas: um terço dos utilizadores afirma que o elevado número de acessos impede a criação de palavras-passe diferentes para cada serviço. Em média, uma pessoa gere cerca de 170 credenciais.
Como reforçar a proteção
Os especialistas recomendam medidas como formação contínua em cibersegurança nas empresas, políticas de palavra-passe mais robustas – incluindo verificação automática face a bases de dados de credenciais expostas – e a adoção de autenticação multifator (MFA).
O recurso a gestores de palavras-passe e a chaves de acesso (passkeys), que combinam criptografia com autenticação biométrica, surge também como alternativa eficaz à memorização de padrões simples e repetitivos.
Num contexto em que as ameaças digitais se sofisticam, a conclusão é clara: pequenas alterações numa palavra-passe antiga não equivalem a uma nova palavra-passe – e podem ser exatamente o que os hackers esperam.
