FAQ

FAQ: Perguntas e respostas sobre palavras-passe seguras

As palavras-passe continuam a ser a chave de acesso às nossas contas mais críticas. Nesta FAQ reunimos as dúvidas mais comuns e respondemos com recomendações práticas para aplicar de imediato.

Ao seguir estas respostas, reduz o risco de fugas de informação, falsificações e acessos não autorizados, mesmo que um serviço que utiliza sofra um incidente.

Porque é que as palavras-passe ainda contam

As palavras-passe são ainda o fator de autenticação mais difundido e, por isso, o primeiro alvo dos atacantes. A sua robustez e a forma como as utilizamos fazem a diferença entre um ataque fracassado e um roubo de identidade.

Perguntas frequentes

Por que é vital usar palavras-passe fortes?

Os ataques automatizados testam milhões de combinações por segundo e reutilizam palavras-passe expostas noutros serviços. Uma palavra-passe robusta torna cada tentativa mais lenta e cara e impede que alguém com uma lista roubada assuma o seu email, banca ou redes sociais em minutos.

Que comprimento devo procurar hoje?

Aponte para pelo menos 16 caracteres; abaixo de 12 uma força bruta moderna consegue quebrá-la em poucas horas. Misture maiúsculas, minúsculas, números e símbolos ou crie uma frase-secreta longa com várias palavras aleatórias.

Posso reutilizar a mesma palavra-passe em vários serviços?

Reutilizar significa que, se um site for comprometido, essa mesma palavra-passe abre todo o resto. Os atacantes executam ataques de credential stuffing de forma automática, por isso cada serviço precisa de uma combinação exclusiva.

Como crio uma palavra-passe que consiga lembrar sem a enfraquecer?

Gere uma base com um gerador de palavras-passe e acrescente um padrão pessoal, ou construa uma frase-secreta com quatro ou cinco palavras sem relação ligadas por símbolos. Evite dados pessoais, sequências previsíveis e substituições óbvias como 'a'->'4'.

Preciso mesmo de um gestor de palavras-passe?

Um gestor cifra as suas credenciais, cria acessos únicos, preenche formulários e alerta para fugas de dados. Assim só precisa de memorizar a palavra-passe mestra e evita copiar segredos em notas ou chats inseguros.

O que acrescenta a autenticação multifator (MFA)?

A autenticação multifator acrescenta uma segunda prova (código temporário, notificação push ou chave física). Mesmo que alguém roube a sua palavra-passe, não conseguirá iniciar sessão sem esse fator adicional.

Com que frequência devo alterar as palavras-passe?

Não altere palavras-passe apenas por calendário; faça-o quando houver indícios de fuga, acesso partilhado ou atividade suspeita. A rotação forçada leva frequentemente a padrões mais fracos; crie palavras-passe fortes desde o início e atualize-as apenas quando necessário.

Como posso detetar phishing antes de introduzir a palavra-passe?

Antes de introduzir a palavra-passe, verifique:

  • O domínio exato e o certificado; se tiver dúvidas, escreva o endereço manualmente.
  • Mensagens que criam urgência, prometem prémios ou pedem uma reposição inesperada.
  • Anexos ou formulários incorporados que solicitam a sua palavra-passe.

Um gestor também avisa quando o domínio não corresponde ao login guardado.

Onde guardo os códigos de recuperação e a palavra-passe mestra?

Guarde os códigos de recuperação e a palavra-passe mestra offline num local seguro (cofre, gestor secundário cifrado, envelope selado). Mantenha pelo menos duas cópias protegidas e atualize-as sempre que regenerar os códigos.

É seguro partilhar palavras-passe por email ou chat?

Não envie palavras-passe em texto simples por email ou chat; ficam nos servidores e podem ser reencaminhadas. Use a funcionalidade de partilha do gestor, uma nota cifrada com validade ou crie um acesso dedicado com permissões limitadas.