Durante anos, os departamentos de informática martelaram nas nossas cabeças a regra de mudar a palavra-passe a cada 90 dias. De facto, a lógica parecia fazer sentido quando os computadores eram lentos e decifrar um código demorava meses. Contudo, os especialistas em segurança já abandonaram este conselho. Neste artigo, explicamos-te por que motivo essa rotação constante é um hábito do passado e como podes, na verdade, estar a tornar as tuas contas mais vulneráveis ao segui-las.
Mudar passwords a cada 90 dias é um erro! Esquece isso
O perigo da fadiga das passwords
Infelizmente, forçar alterações frequentes acaba por ter o efeito oposto ao desejado. Quando somos obrigados a mudar de código constantemente, o cérebro procura o caminho mais fácil. Provavelmente já o fizeste: “Password123” transforma-se em “Password124”, ou “Inverno2025!” passa a ser “Primavera2026!”.
Desta forma, estás a criar padrões previsíveis que os piratas informáticos conseguem adivinhar num segundo. Estudos confirmam que utilizadores sob pressão de rotação criam passwords mais fracas e acabam por escrevê-las em papéis ou ficheiros de texto desprotegidos.
O que dizem as novas regras
As diretrizes modernas são claras: deves parar com as mudanças periódicas obrigatórias. Em vez disso, a palavra-passe só deve ser alterada quando há evidências reais de que foi comprometida.
Os novos pilares da segurança são:
Comprimento sobre Complexidade: Uma frase longa como “cafe-montanha-chuva-azul” é muito mais difícil de quebrar do que “P@ssw0rd!” e, inclusive, muito mais fácil de memorizar.
Fim dos caracteres “estranhos” obrigatórios: Exigir maiúsculas, números e símbolos leva a substituições previsíveis que os algoritmos de ataque já conhecem.
Foco no 2FA: Ter a autenticação em dois passos ativa é muito mais importante do que mudar a password todos os meses.
Quando deves, realmente, mudar a tua password?
Embora o calendário já não dite as regras, existem momentos críticos em que deves agir imediatamente:
Após uma fuga de dados: Se um serviço que utilizas sofreu um ataque (podes verificar no site Have I Been Pwned), muda-a na hora.
Atividade suspeita: Entretanto se recebeste um alerta de login de um local desconhecido ou um pedido de recuperação que não fizeste.
Passwords antigas e fracas: Se ainda usas aquela password de estimação que criaste há cinco anos, está na hora de a reformar por uma mais longa e robusta.
O futuro: Gestores e Passkeys
Atualmente, a melhor forma de proteger a tua vida digital não é decorar códigos. Um bom Gestor de Passwords trata de criar chaves aleatórias e complexas para cada site, libertando-te desse peso.
Além disso, as Passkeys estão a ganhar terreno. Gigantes como a Apple, Google e Microsoft já permitem o acesso através de biometria (face ou impressão digital), eliminando totalmente a necessidade de uma palavra-passe tradicional que se possa roubar em ataques de phishing.
