PASSWORDS
TOP 10 DAS PASSWORDS MAIS USADAS
A IMPORTÂNCIA DAS
PASSWORDS
As palavras-chave (passwords) são a principal chave
para aceder a dados e a informação protegida. É fun-
damental garantir que consegue aceder a um sistema
e que saiba criar e gerir passwords seguras com o
objetivo de proteger os seus dados pessoais. O uso
da palavra-chave associada ao nome do utilizador
(username) é um meio de autenticação simples e se-
guro para que se possa autenticar e assinar. Por
exemplo, quando acede à sua rede wi-fi (wireless) em
casa. As passwords escolhidas por si devem respeitar
o critério de complexidade e a periodicidade de alte-
ração. Ainda que ocorra algum acesso não autorizado
e não seja detetado, este acesso será temporalmente
limitado, o que contribui para reduzir a possibilidade
de interferências indevidas. As palavras-passe são
uma sequência de caracteres ou palavras que pode
utilizar para aceder a serviços. Saiba que as palavras-
passe são a proteção contra fraudes e a perda de in-
formações confidenciais mas, muitas vezes, as pala-
vras-passe escolhidas não são seguras. Procure pri-
vilegiar a dimensão através da construção de frases
complexas e mais fáceis de memorizar, como por
exemplo: Gostodemelevantarcedo. Os atacantes (ha-
ckers) podem tentar todas as palavras de forma auto-
mática para decifrar palavras-chave com recurso ao
dicionário.
123456
Password
12345678
qwerty
12345
123456789
Letmein
1234567
football
iloveyou
GESTOR DE PASSWORDS
Para um conjunto de serviços (ex. sistema operativo,
contas das redes sociais, conta de email, portal das
finanças, website bancário) convém o utilizador ter
credenciais de acesso diferentes. Sabendo que exis-
tem dificuldades na memorização de palavras-chave,
pode simplificar-se a vida com recurso a um gestor de
palavras-passe seguras. Alguns exemplos: LastPass,
KeePass, PasswordSafe, KeePassDroid, myPass-
word, MyDigiPass, 1Password, Dashlane, Avast
Passwords, Roboform, RememBear.
Estas ferramentas têm sido mais usadas por adminis-
tradores de sistemas e de redes, no entanto, qualquer
utilizador pode usar uma solução estável e confiável
desde que seja cifrada com chaves de 256 bits e que
a comunicação entre o equipamento e os servidores
seja segura, bem como o código do gestor de pas-
swords ser público e auditado. Ao usar este tipo de fer-
ramentas é necessário criar uma conta e definir uma
password mestre, que permitirá recuperar informação
e importar dados. Maioritariamente, disponibilizam
plugins para os navegadores (ex. Chrome, Firefox e
Safari).
As informações de preenchimento automático dos for-
mulários de autenticação dos navegadores (ex.
Chrome, Firefox, Internet Explore) não são locais se-
guros para guardar as suas palavras-chave e o gestor
de passwords permite esse auto-preenchimento.
[2]
 REGRAS DAS PASSWORDS
Dado o grau de criticidade necessário, para se ob-
ter uma password de qualidade, todas as pas-
swords definidas para o acesso a múltiplos servi-
ços devem cumprir algumas premissas:
• Conter no mínimo 10 carateres;
• Conter obrigatoriamente carateres distintos
de, pelo menos, três das quatro categorias se-
guintes:
• Caracter maiúsculo não acentuado (‘A’ a ‘Z’);
• Caracter minúsculo não acentuado (‘a’ a ‘z’);
• Algarismo (0 a 9);
• Caracter especial ou não alfabético (ex: !, $, #, %).
• Não deve conter carateres considerados ilegais:
|;| |,| |’’| |’| |%| |*|;
• Não deve ser reutilizada uma palavra-passe
antiga;
• Não conter o nome, apelido do utilizador ou
partes do nome completo que excedam dois ca-
racteres consecutivos;
• Incluir apenas caracteres suportados pela má-
quina (evitar caracteres não compatíveis com os
teclados portugueses);
• Definir passwords diferentes para cada conta
utilizada.
• O sistema de armazenamento e de introdução
não deve permitir a visualização da password.
ALTERAÇÃO DAS PASSWORDS
A alteração periódica de password permite redu-
2. Confirmação da identidade do utilizador;
zir a probabilidade de viciação de uma password
que é inalterada, ou seja, permite, pelo menos, re-
duzir a duração e o impacto de uma possível pas-
4. Criação/anulação/alteração de identificadores;
sword comprometida. A alteração da password
poderá ser concretizada de três formas distintas:
• Diretamente pelo utilizador através do seu
6. Comunicação ao utilizador da chave de acesso inicial
equipamento pessoal ou no equipamento do seu
posto de trabalho;
• Via cliente de webmail (ligação VPN).
GESTÃO DAS PASSWORDS
Como administrador do sistema deve aplicar me-
didas técnicas.
Como utilizador é responsável pela utilização se-
gura das suas passwords.
DURAÇÃO DAS PASSWORDS
Muitas passwords associadas ao diretório de utilizado-
res do serviço expiram num prazo máximo, devendo
ser alteradas neste intervalo temporal pelo menos uma
vez ou renovadas periodicamente pelo utilizador.
Caso tal não ocorra de forma espontânea, o sistema
solicita a alteração de password ao fim de um dado
tempo. Muitos sistemas estão configurados para efe-
tuar o aviso automático ao utilizador antes do termo do
prazo de expiração da password. Posteriormente até à
efetivação da alteração, serão periodicamente lembra-
dos da necessidade de mudança de password.
Este processo é indispensável para evitar a viciação
de passwords, tendo em conta o número elevado de
vezes que a password é usada e o facto de se utiliza-
rem frenquentemente meios expeditos para evitar a
sua reintrodução explícita (nomeadamente, memoriza-
ção em navegadores) cuja segurança intrínseca é limi-
tada. Assim, considera-se este processo indispensável
por razões operacionais e de segurança.
CONTROLO DE ACESSO
No seu posto de trabalho, cada utilizador do sistema
deve ter acesso, em exclusivo, à informação de que
necessita para desempenhar as suas funções, o que
se traduz na atribuição de perfis e no processo de pe-
dido de criação, eliminação ou alteração de perfis. Este
processo inicia-se com a criação de um pedido eé
realizado de acordo com os seguintes passos:
1. Pedido formal de criação, eliminação ou alteração;
3. Determinação de necessidades do utilizador e
concessão de autorizações;
5. Integração de alterações na lista de utilizadores
autorizados;
e restantes especificações de acesso.
Cada utilizador deve estar identificado de forma inequí-
voca, com uma conta de acesso que é pessoal e in-
transmissível. Isto permitirá que o sistema de acesso
mantenha a rastreabilidade das ações monitorizadas.
Cada sistema de autenticação pode ser assegurado
pela combinação de utilizador e password, autentica-
ção com dois fatores ou outro tipo. Os administradores
de sistemas, ao introduzirem a informação sobre cada
utilizador, atribuem uma password ao mesmo, sendo o
utilizador obrigado a alterá-la no início da primeira ses-
são. As passwords devem ser encriptadas nos vários
sistemas de autenticação.
 HISTÓRICO DAS PASSWORDS
Não deverá recorrer às últimas 5 passwords defi-
nidas para evitar o seu uso prolongado e maior
susceptibilidade a deteção por terceiros, pela reu-
tilização de passwords antigas. Adicionalmente, e
para evitar procedimentos de mudança repetida
de password por forma a reutilizar a anteriormente
definida, pode definir a duração mínima de um dia
para cada password, antes que esta possa nova-
mente ser alterada.
PROTEÇÃO DAS PASSWORDS
As passwords não devem ser partilhadas com ou-
tros utilizadores ou com pessoas externas à sua or-
ganização, por qualquer via (ex. escrita de forma
explícita ou facilmente interpretável de passwords
em notas, agendas ou ficheiros);
As passwords não devem ser registadas ou guarda-
das em documentos físicos ou armazenadas em
equipamentos informáticos da organização ou em
quaisquer outros dispositivos pessoais do utiliza-
dor.
BLOQUEIO DE CONTAS
Muitos sistemas estão configurados para despo-
letar um mecanismo de bloqueio da conta do utili-
zador após determinado número de tentativas fa-
lhadas de autenticação em determinado serviço,
quer pelo utilizador quer por abusos de terceiros.
Os sistemas podem ser definidos com algumas
regras, tais como:
• A conta do utilizador ficará bloqueada após um
número de tentativas de autenticação sem su-
cesso;
• O bloqueio prolongar-se-à por alguns minutos;
• Após alguns minutos pode ser colocado a zero
o contador de tentativas falhadas de autentica-
ção de forma a evitar a acumulação de eventos
isolados e que possam provocar o posterior blo-
queio da conta.
PRE VENÇÃO A ATAQUES
Quanto mais comprida for a password, mais resistente
se torna a ataques de força bruta, onde são testadas
todas as combinações possíveis de carateres.
O utilizador ao diversificar o tipo de carateres utiliza-
dos, torna a password mais robusta a ataques de força
bruta, ou seja, quanto mais tipos de carateres, mais
tempo demora a testar todas as possíveis combina-
ções.
Por sua vez, a complexidade da password dificulta
também os ataques de dicionário porque torna im-
provável a sua presença num dicionário usado por um
atacante.
Não devem ser usadas passwords simples e que con-
tenham palavras comuns por serem suscetíveis a ata-
ques de dicionário.
ATUALIZ AÇÕES DE SEGUR ANÇA
Convém manter o computador ou o dispositivo móvel
com todas as atualizações de segurança e o sistema de
proteção de vírus ativo, para evitar que a segurança do
equipamento esteja comprometida e, eventualmente,
a password seja identificada antes de ser enviada
para os servidores do serviço.
Convém evitar a utilização de computadores de tercei-
ros ou cuja segurança levante dúvidas para aceder a
serviços da organização que impliquem a introdução
de password.
Quando o acesso é realizado através de um disposi-
tivo eletrónico que não é do próprio utilizador, existe
uma maior possibilidade de estar comprometido, volun-
tária ou involuntariamente, e registar as passwords
que introduzidas.
O Have I Been Pwned? permite verificar se um ende-
reço de email está vulnerável, com recurso a base
de dados pública. Além disso, pode dar alertas auto-
máticos com as circunstâncias dos dados estarem pú-
blicos através de um registo no serviço.
[4]
O presente conteúdo é propriedade do Centro Nacional de Cibersegurança estando protegido nos
termos da legislação de propriedade intelectual aplicável. O utilizador pode copiar, importar ou
usar gratuitamente parte ou a totalidade da informação, para uso pessoal ou público, desde que
não tenha finalidades lucrativas ou ofensivas e seja referida a fonte de informação.

[5]