Relatório sobre o Estado da Segurança de Senhas 2025

Principais conclusões deste artigo:

• Excelência técnica do NIST: O NIST oferece orientações técnicas sólidas que respaldam gerenciadores de senhas como o Bitwarden, mas carece de uma apresentação amigável ao usuário.

• Liderança em comunicação da CISA: A CISA atinge o status de “Excelente” ao recomendar claramente gerenciadores de senhas e criar recursos de segurança acessíveis.

• Adoção inconsistente: As agências federais apresentam variação significativa nas orientações de segurança de senhas e nas recomendações de gerenciadores de senhas.

• Tendências positivas de melhoria: A análise de quatro anos mostra que as agências estão aprimorando as recomendações de segurança de senhas para alinhá-las às práticas apoiadas pelo Bitwarden.

• Consenso crescente: As agências federais reconhecem cada vez mais que soluções como o Bitwarden fornecem uma infraestrutura de segurança essencial.

Nos últimos anos, houve um foco intenso em cibersegurança em todo o governo federal dos Estados Unidos. Muitas agências estão liderando o caminho na educação de organizações governamentais, empresas grandes e pequenas, bem como consumidores.

No entanto, nem todas as agências seguem a mesma cartilha quando se trata de segurança de senhas. Um dos principais grupos, o National Institute of Standards and Technology (NIST), “desenvolve padrões, diretrizes, melhores práticas e outros recursos de cibersegurança para atender às necessidades da indústria dos EUA, das agências federais e do público em geral.”

A página de cibersegurança do NIST prossegue dizendo que “algumas atribuições de cibersegurança do NIST são definidas por leis federais, ordens executivas e políticas. Por exemplo, o Office of Management and Budget (OMB) exige que todas as agências federais implementem os padrões e orientações de cibersegurança do NIST para sistemas que não sejam de segurança nacional.”

Infelizmente, as recomendações do NIST ainda não foram universalmente aceitas e implementadas por todas as agências federais. Embora o NIST defina os padrões que as agências afirmam seguir, ele também tem sua própria fraqueza: um site desorganizado.

2025 marca o quarto ano em que o Bitwarden realiza esta análise. Neste ano, a NSA melhorou de uma classificação “Boa” para “Muito boa” devido à recomendação adicional de gerenciadores de senhas. A pontuação da CISA subiu de “Muito boa” para “Excelente” ao tornar suas informações mais fáceis de acessar e compreender. O site do NIST continua desorganizado, embora seu conteúdo seja bastante sólido. Ao longo dos anos, muitas agências têm seguido uma direção melhor em termos de recomendações de segurança de senhas e postura geral de cibersegurança, incluindo CISA, FBI, FTC e SBA.

A tecnologia avança rapidamente. Para empresas e indivíduos, grande parte de nossas vidas agora está online, em inúmeras contas que vão de sites de entretenimento a serviços financeiros importantes, como nossas contas bancárias.

Esta avaliação tem como objetivo envolver e educar todas as pessoas que usam senhas sobre as melhores práticas vindas do governo federal e onde há espaço para melhorias. Muitos no governo federal têm uma abordagem educacional sólida para a segurança de senhas, e outros talvez precisem de um pouco de ajuda para se modernizar.

Felizmente, está se formando um consenso sobre as melhores práticas para a segurança de senhas. Este relatório consolida e avalia os detalhes.

O sistema de classificação ranqueia as agências com base na adesão aos seguintes critérios:

• Recomenda o uso de um gerenciador de senhas

• Destaca a importância de senhas fortes

• Cita a necessidade de 2FA/MFA para reforçar ainda mais a segurança de senhas

• A orientação geral de segurança é atualizada e segue as diretrizes do NIST

• Apresenta recomendações de segurança de senhas de forma clara, fácil de entender e fácil de encontrar

• Recomenda o uso de um gerenciador de senhas

• Destaca a importância de senhas fortes

• Cita a necessidade de 2FA/MFA para reforçar ainda mais a segurança de senhas

• As orientações gerais de segurança estão atualizadas e seguem as diretrizes do NIST

• Não apresenta recomendações de segurança de senhas de forma clara, fácil de entender e fácil de encontrar

• Não recomenda o uso de um gerenciador de senhas

• Destaca a importância de senhas fortes 

• Cita a necessidade de 2FA/MFA para reforçar ainda mais a segurança das senhas

• As orientações gerais de segurança não estão atualizadas e não seguem as diretrizes do NIST

• Não apresenta recomendações de segurança de senhas de forma clara, fácil de entender e fácil de encontrar

• Não recomenda o uso de um gerenciador de senhas

• Destaca a importância de senhas fortes

• Não cita de forma consistente a necessidade de 2FA/MFA para reforçar ainda mais a segurança das senhas

• As orientações gerais de segurança não estão atualizadas e não seguem as diretrizes do NIST

• Não apresenta recomendações de segurança de senhas de forma clara, fácil de entender e fácil de encontrar

• Não recomenda o uso de um gerenciador de senhas

• Não destaca a importância de senhas fortes

• Não cita a necessidade de 2FA/MFA para reforçar ainda mais a segurança das senhas

• As orientações gerais de segurança não estão atualizadas e não seguem as diretrizes do NIST

• Não apresenta recomendações de segurança de senhas de forma clara, fácil de entender e fácil de encontrar

Orientação da agência:

• Gerenciamento de autenticadores | Gerenciadores de senhas

  • Empregar [Atribuição: gerenciadores de senhas definidos pela organização] para gerar e gerenciar senhas; e

    • Proteger as senhas usando [atribuição: controles definidos pela organização].

    • Para sistemas em que senhas estáticas são empregadas, muitas vezes é um desafio garantir que as senhas sejam suficientemente complexas e que as mesmas senhas não sejam usadas em vários sistemas. Um gerenciador de senhas é uma solução para esse problema, pois gera e armazena automaticamente senhas fortes e diferentes para várias contas. Um risco potencial do uso de gerenciadores de senhas é que adversários podem mirar o conjunto de senhas gerado pelo gerenciador de senhas. Portanto, o conjunto de senhas requer proteção, incluindo criptografar as senhas e armazenar o conjunto offline em um token.

• Referência

Orientação da agência:

• Uma senha (às vezes chamada de frase-senha ou, se numérica, de PIN) é um valor secreto que deve ser escolhido e memorizado ou registrado pelo assinante. As senhas devem ter complexidade e sigilo suficientes para que seja impraticável para um invasor adivinhar ou descobrir de outra forma o valor secreto correto. Uma senha é “algo que você sabe”.

• Os requisitos desta seção se aplicam a senhas verificadas centralmente que são usadas como fatores de autenticação independentes e enviadas por um canal protegido autenticado ao verificador de um CSP. Senhas usadas localmente como fator de ativação para um autenticador multifator são chamadas de segredos de ativação e discutidas na Seção 3.2.10.

• As senhas DEVEM ser escolhidas pelo assinante ou atribuídas aleatoriamente pelo CSP.

• Se o CSP não permitir uma senha escolhida por ela estar em uma lista de bloqueio de valores comumente usados, esperados ou comprometidos (consulte a Seção 3.1.1.2), o assinante DEVE ser obrigado a escolher uma senha diferente. Outros requisitos de complexidade para senhas NÃO DEVEM ser impostos. Uma justificativa para isso é apresentada no Apêndice A, Força das senhas.

• Os seguintes requisitos se aplicam a senhas:

• Verificadores e CSPs DEVEM exigir que as senhas tenham no mínimo oito caracteres e DEVERIAM exigir que as senhas tenham no mínimo 15 caracteres.

• Os verificadores e CSPs DEVERIAM permitir um comprimento máximo de senha de pelo menos 64 caracteres.

• Os verificadores e CSPs DEVERIAM aceitar todos os caracteres ASCII imprimíveis [RFC20] e o caractere de espaço em senhas. Os verificadores e CSPs DEVERIAM aceitar caracteres Unicode [ISO/ISC 10646] em senhas. Cada ponto de código Unicode DEVE ser contado como um único caractere ao avaliar o comprimento da senha.

• Os verificadores e CSPs NÃO DEVEM impor outras regras de composição (por exemplo, exigir combinações de diferentes tipos de caracteres) para senhas.

• Os verificadores e CSPs NÃO DEVEM exigir que os usuários alterem as senhas periodicamente. No entanto, os verificadores DEVEM forçar uma alteração se houver evidência de comprometimento do autenticador.

• Os verificadores e CSPs NÃO DEVEM permitir que o assinante armazene uma dica acessível a um requerente não autenticado.

• Os verificadores e CSPs NÃO DEVEM solicitar que os assinantes usem autenticação baseada em conhecimento (KBA) (por exemplo, “Qual era o nome do seu primeiro animal de estimação?”) ou perguntas de segurança ao escolher senhas.

• Os verificadores DEVEM verificar a senha enviada por completo (ou seja, sem truncá-la).

• Ao processar uma solicitação para definir ou alterar uma senha, os verificadores DEVEM comparar o segredo proposto com uma lista de bloqueio que contenha senhas conhecidas, comumente usadas, esperadas ou comprometidas. A senha inteira DEVE ser submetida à comparação, não substrings ou palavras que possam estar contidas nela. Por exemplo, a lista PODE incluir, entre outros:

  • Senhas obtidas de corpora de violações anteriores

  • Palavras de dicionário

  • Palavras específicas do contexto, como o nome do serviço, o nome de usuário e seus derivados

  • Se a senha escolhida for encontrada na lista de bloqueio, o CSP ou verificador DEVE exigir que o assinante selecione um segredo diferente e DEVE fornecer o motivo da rejeição. Como a lista de bloqueio é usada para se defender contra ataques de força bruta e as tentativas malsucedidas têm limitação de taxa, conforme descrito abaixo, a lista de bloqueio DEVERIA ter tamanho suficiente para impedir que os assinantes escolham senhas que os invasores provavelmente adivinhariam antes de atingir o limite de tentativas.

• Os verificadores DEVEM oferecer orientação ao assinante para ajudar o usuário a escolher uma senha forte. Isso é particularmente importante após a rejeição de uma senha na lista de bloqueio, pois desencoraja modificações triviais de senhas fracas listadas [Listas de bloqueio].

• Os verificadores DEVEM implementar um mecanismo de limitação de taxa que limite efetivamente o número de tentativas de autenticação malsucedidas que podem ser feitas na conta do assinante, conforme descrito na Seção 3.2.2.

• Os verificadores DEVEM permitir o uso de gerenciadores de senhas. Os verificadores DEVERIAM permitir que os requerentes usem a funcionalidade de “colar” ao inserir uma senha para facilitar seu uso. Foi demonstrado que os gerenciadores de senhas aumentam a probabilidade de os usuários escolherem senhas mais fortes, especialmente se incluírem geradores de senhas [Gerenciadores].

• Os verificadores DEVEM armazenar senhas em um formato resistente a ataques offline. As senhas DEVEM receber salt e ser transformadas em hash usando um esquema adequado de hashing de senhas. Esquemas de hashing de senhas recebem como entradas uma senha, um salt e um fator de custo, e geram um hash da senha. Seu objetivo é tornar cada tentativa de adivinhar a senha mais custosa para um invasor que obteve um arquivo de senhas com hash, elevando assim o custo de um ataque de adivinhação até torná-lo alto ou proibitivo. O fator de custo escolhido DEVERIA ser o mais alto possível na prática, sem impactar negativamente o desempenho do verificador. Ele DEVERIA ser aumentado ao longo do tempo para acompanhar os aumentos no desempenho computacional. Um esquema aprovado de hashing de senhas publicado na revisão mais recente da [SP800-132] ou em diretrizes atualizadas do NIST sobre esquemas de hashing de senhas DEVERIA ser usado. O comprimento de saída escolhido do verificador de senha, excluindo o salt e as informações de versionamento, DEVERIA ser igual ao comprimento da saída do esquema de hashing de senhas subjacente.

• O salt DEVE ter pelo menos 32 bits de comprimento e ser escolhido para minimizar colisões de valores de salt entre hashes armazenados. Tanto o valor do salt quanto o hash resultante DEVEM ser armazenados para cada senha. Uma referência ao esquema de hashing de senhas usado, incluindo o fator de trabalho, DEVERIA ser armazenada para cada senha a fim de permitir a migração para novos algoritmos e fatores de trabalho. Por exemplo, para a Função de Derivação de Chave Baseada em Senha 2 (PBKDF2) [SP800-132], o fator de custo é uma contagem de iterações: quanto mais vezes a função PBKDF2 é iterada, mais tempo leva para calcular o hash da senha.

• Além disso, os verificadores DEVERIAM realizar uma iteração adicional de uma operação de hashing com chave ou de criptografia usando uma chave secreta conhecida apenas pelo verificador. Se usado, esse valor de chave DEVE ser gerado por um gerador de bits aleatórios aprovado, conforme descrito na Seção 3.2.12. O valor da chave secreta DEVE ser armazenado separadamente das senhas com hash. Ele DEVERIA ser armazenado e usado em uma área protegida por hardware, como um módulo de segurança de hardware ou um ambiente de execução confiável (TEE). Com essa iteração adicional, ataques de força bruta contra senhas com hash são impraticáveis enquanto o valor da chave secreta permanecer secreto.

• Série de blogs do Mês de Conscientização sobre Cibersegurança 2023

  • Orientações da agência

    • As senhas ainda são o mecanismo de autenticação mais usado para obter acesso a recursos de interesse. As senhas são a primeira linha de defesa para proteger a confidencialidade e a integridade dos dados contra cibercriminosos e violações de dados. Senhas boas e fortes ajudam as pessoas a se manterem seguras e privadas online.

• Referência

• Referência

Orientação da agência:

• Use senhas fortes

  • Crie senhas longas, aleatórias e únicas com um gerenciador de senhas para contas mais seguras.

• Uma maneira fácil de proteger suas contas

  • Senhas simples, como 12345, ou informações de identificação comuns, como datas de aniversário e nomes de animais de estimação, não são seguras para proteger contas importantes que guardam informações pessoais. Usar uma senha fácil de adivinhar é como trancar a porta, mas deixar a chave na fechadura. Senhas fracas podem ser quebradas rapidamente por hackers. Mas é impossível lembrar uma senha forte e única para cada conta!

  • A boa notícia é que criar e armazenar senhas fortes com a ajuda de um “gerenciador de senhas” é uma das maneiras mais fáceis de nos protegermos contra alguém que acesse nossas contas e roube informações confidenciais, dados, dinheiro ou até mesmo nossas identidades.

  • Combata o crime online com senhas fortes - vídeo do YouTube criado pela CISA

• Fortaleça suas senhas com três dicas simples

• Uma senha forte segue TODAS AS TRÊS dicas abaixo.

  1. Torne-as longas

     • Pelo menos 16 caracteres — quanto mais longa, mais forte! 

  2. Torne-as aleatórias

     • Duas maneiras de fazer isso são:

     • Use uma sequência aleatória de letras maiúsculas e minúsculas, números e símbolos. Por exemplo:

       • cXmnZK65rf*&DaaD

       • Yuc8$RikA34%ZoPPao98t

       • Outra opção é criar uma frase memorável com 4 a 7 palavras não relacionadas. Isso é chamado de “frase secreta”. Por exemplo:

         • Boa: CavaloRoxoChapeuCorre

         • Ótima: CavaloRoxoChapeuCorreBaia

         • Excelente: Cavalo Roxo Chapéu Corre Baia Levantar

         • Observação: você pode usar espaços antes ou entre as palavras, se preferir!

  3. Torne-as únicas 

     • Use uma senha forte diferente para cada conta.

     • Por exemplo:

       • Banco: k8dfh8c@Pfv0gB2

       • Conta de e-mail: jurídico pequeno instalação à mão livre provável esmalte

       • Conta de rede social: e246gs%mFs#3tv6

• DICA PROFISSIONAL: USE UM GERENCIADOR DE SENHAS

  • É difícil lembrar todas essas senhas fortes, e não queremos salvá-las em um arquivo no computador. Em vez disso, use um gerenciador de senhas. Veja abaixo!

• Use um gerenciador de senhas

  • Para a maioria das pessoas, não é possível gerar e lembrar senhas longas, aleatórias e únicas para cada conta. Em vez de anotá-las, use um gerenciador de senhas! Um gerenciador de senhas é um programa fácil de usar que gera, armazena e até preenche todas as suas senhas. Os gerenciadores de senhas nos avisam quando temos senhas fracas ou reutilizadas e podem gerar senhas fortes para nós. Eles também podem preencher automaticamente logins em sites e aplicativos conforme passamos de um para outro.

  • Ao usar um gerenciador de senhas, precisamos lembrar apenas uma senha forte: a do próprio gerenciador de senhas. (Dica: crie uma “frase secreta” longa e memorável, como descrito acima.)

  • Há muitos gerenciadores de senhas para escolher. Alguns são gratuitos, como os gerenciadores de senhas integrados ao seu navegador, e outros são pagos. Pesquise “gerenciadores de senhas” em uma fonte confiável, como a Consumer Reports, que oferece uma seleção de gerenciadores de senhas bem avaliados. Leia avaliações para comparar opções e encontrar um programa confiável para você.

  • Ao usar um gerenciador de senhas, temos muito mais chances de usar uma senha longa, aleatória e única em cada site. E isso torna muito mais difícil alguém roubar nossas informações valiosas!

  • DICA PROFISSIONAL: verifique se suas contas de e-mail, bancos, prestadores de serviços de saúde e outras contas importantes exigem senhas fortes. Se permitirem que você use uma senha curta ou uma palavra de dicionário, pergunte por quê. São as suas informações que eles estão colocando em risco!

  • E não se esqueça de ativar a autenticação multifator (MFA), especialmente para seu e-mail, suas contas de redes sociais e suas contas financeiras. 

• Folheto de dicas de senhas da CISA

• Referência

Orientação da agência:

• Implemente políticas de senha que exijam senhas exclusivas com pelo menos 15 caracteres

  • Gerenciadores de senhas podem ajudar você a criar e gerenciar senhas seguras. Proteja e limite o acesso a quaisquer gerenciadores de senhas em uso e habilite todos os recursos de segurança disponíveis no produto utilizado, como MFA.

• Referência

Orientação da agência:

• O aumento no número de comprometimentos de infraestruturas de rede nos últimos anos é um lembrete de que a autenticação em dispositivos de rede é uma consideração importante. Dispositivos de rede podem ser comprometidos devido a:

  • Má escolha de senhas (vulnerável a ataques de força bruta por pulverização de senhas)

  • Arquivos de configuração de roteadores (que contêm senhas com hash) enviados por e-mail não criptografado, ou

  • Senhas reutilizadas (quando senhas recuperadas de um dispositivo comprometido podem ser usadas para comprometer outros dispositivos).

• Usar apenas senhas aumenta o risco de exploração do dispositivo. Embora a NSA recomende fortemente a autenticação multifator para administradores que gerenciam dispositivos críticos, às vezes é necessário usar somente senhas. Escolher bons algoritmos de armazenamento de senhas pode tornar a exploração muito mais difícil.

• Para oferecer o máximo de proteção possível, use senhas fortes para impedir que sejam quebradas e convertidas em texto simples. Siga uma política de senhas que:

  • Consista em uma combinação de letras minúsculas e maiúsculas, símbolos e números;

  • Tenha pelo menos 15 caracteres alfanuméricos; e

  • Use padrões que não sejam:

    • Uma sequência de teclas no teclado

    • Igual ao nome de usuário

    • A senha padrão

    • Igual a uma senha usada em qualquer outro lugar

    • Relacionada à rede, organização, localização ou a outros identificadores de função

    • Diretamente de um dicionário, siglas comuns ou fácil de adivinhar

• Referência

Orientação da agência:

• Proteja e fortaleça suas senhas

  • Use senhas exclusivas e fortes para cada conta online. Reutilizar senhas em várias contas pode expor dados de todas elas caso a senha seja descoberta. Certifique-se de que sua senha tenha comprimento e complexidade adequados, usando uma combinação de letras, números e caracteres especiais. Sempre que possível, implemente a autenticação multifator usando um token ou aplicativo de autenticação, para que alguém não consiga acessar sua conta mesmo que sua senha seja comprometida. Nunca compartilhe senhas e evite usar informações que possam ser adivinhadas com base em seus perfis nas redes sociais ou em informações públicas.

• Referência

Orientação da agência:

• Critérios a considerar ao selecionar uma solução de autenticação multifator: o Centro de Recursos de Segurança de Computadores do Instituto Nacional de Padrões e Tecnologia atualizou recentemente suas “Diretrizes de Identidade Digital4” (SP 800-63-3). O documento fornece definições padrão e atribui níveis de garantia para várias soluções de autenticação. Os critérios abaixo refletem os requisitos do NIST para assegurar que uma solução seja validada para resistir a uma série de explorações comuns. Uma solução de autenticação completa deve ser implementada corretamente usando mecanismos padrão e validados. Ela também deve incluir autenticadores, validadores e processos de ciclo de vida de suporte. Algumas soluções comerciais se concentram em autenticadores e exigem que a organização gerencie validadores e processos de ciclo de vida. Outras soluções comerciais validam vários tipos de autenticadores, gerenciam mecanismos de autenticação em várias etapas e gerenciam a confiança em autenticadores de diversos provedores de identidade para oferecer suporte a vários serviços. Essas soluções frequentemente exigem que o cliente adquira uma ou mais soluções de autenticação e configure servidores para aceitar as asserções de um servidor de autenticação que realiza federação de identidade. A SP 800-63-3 também inclui critérios para federação de identidade.

• Referência

A CISA é subordinada ao DHS

Orientação da agência:

• O presidente Biden tornou a segurança cibernética, um elemento essencial da missão do Departamento de Segurança Interna (DHS), uma prioridade máxima para a Administração Biden-Harris em todos os níveis de governo.

• Para promover o compromisso do presidente e refletir que aumentar a resiliência cibernética do país é uma prioridade máxima para o DHS, o secretário Mayorkas emitiu uma chamada à ação dedicada à segurança cibernética em seu primeiro mês no cargo. Essa chamada à ação concentrou-se em enfrentar a ameaça imediata do ransomware e em formar uma força de trabalho mais robusta e diversificada.

• Em março de 2021, o secretário Mayorkas apresentou sua visão mais ampla e um roteiro para os esforços de segurança cibernética do Departamento em um pronunciamento virtual organizado pela RSA Conference, em parceria com a Hampton University e as Girl Scouts of the USA.

• Após sua apresentação, o secretário foi acompanhado por Judith Batty, CEO interina das Girl Scouts, para uma conversa informal para discutir os desafios sem precedentes de segurança cibernética que os Estados Unidos enfrentam atualmente. A Dra. Chutima Boonthum-Denecke, do Departamento de Ciência da Computação da Hampton University, apresentou o secretário e mediou uma sessão de perguntas e respostas para encerrar o programa.

  • Visão geral dos sprints de segurança cibernética do DHS

  • Visão geral de outras prioridades contínuas de segurança cibernética

  • Informações adicionais

• Referência

Orientação da agência:

• Crimes facilitados pela internet e invasões cibernéticas estão se tornando cada vez mais sofisticados, e preveni-los exige que cada usuário de um dispositivo conectado esteja atento e vigilante.

• Mantenha sistemas e softwares atualizados e instale um programa antivírus forte e confiável.

• Tenha cuidado ao se conectar a uma rede Wi-Fi pública e não realize transações sensíveis, incluindo compras, enquanto estiver em uma rede pública.

• Crie uma frase-senha forte e exclusiva para cada conta on-line e altere essas frases-senha regularmente.

• Configure a autenticação multifator em todas as contas que permitirem.

• Examine o endereço de e-mail em todas as correspondências e verifique cuidadosamente os URLs dos sites antes de responder a uma mensagem ou visitar um site

• Não clique em nada em e-mails ou mensagens de texto não solicitados.

• Tenha cuidado com as informações que você compartilha em perfis on-line e contas de redes sociais. Compartilhar coisas como nomes de animais de estimação, escolas e familiares pode dar aos golpistas as pistas de que precisam para adivinhar suas senhas ou as respostas às perguntas de segurança da sua conta.

• Não envie pagamentos a pessoas ou organizações desconhecidas que estejam buscando apoio financeiro e peçam ação imediata.

• Referência

Orientação da agência:

• Mantenha seu firewall ativado

  Um firewall ajuda a proteger seu computador contra hackers que possam tentar obter acesso para travá-lo, excluir informações ou até roubar senhas ou outras informações confidenciais. Firewalls de software são amplamente recomendados para computadores individuais. O software vem pré-instalado em alguns sistemas operacionais ou pode ser comprado para computadores individuais. Para vários computadores em rede, roteadores de hardware geralmente oferecem proteção de firewall.

• Instale ou atualize seu software antivírus

  O software antivírus é projetado para impedir que programas maliciosos se instalem no seu computador. Se detectar código malicioso, como um vírus ou um worm, ele trabalha para neutralizá-lo ou removê-lo. Vírus podem infectar computadores sem que os usuários saibam. A maioria dos tipos de software antivírus pode ser configurada para atualizar automaticamente.

• Instale ou atualize sua tecnologia antispyware

  Spyware é exatamente o que parece: um software instalado de forma dissimulada no seu computador para permitir que outras pessoas observem suas atividades no computador. Alguns spywares coletam informações sobre você sem seu consentimento ou geram anúncios pop-up indesejados no seu navegador. Alguns sistemas operacionais oferecem proteção gratuita contra spyware, e softwares baratos estão prontamente disponíveis para download na internet ou na loja de informática local. Tenha cuidado com anúncios na internet que oferecem antispyware para download; em alguns casos, esses produtos podem ser falsos e, na verdade, conter spyware ou outro código malicioso. É como comprar alimentos: compre onde você confia.

• Mantenha seu sistema operacional atualizado

  Os sistemas operacionais de computadores são atualizados periodicamente para acompanhar os requisitos tecnológicos e corrigir falhas de segurança. Instale as atualizações para garantir que seu computador tenha a proteção mais recente.

• Tenha cuidado com o que você baixa

  Baixar anexos de e-mail sem cuidado pode burlar até o software antivírus mais vigilante. Nunca abra um anexo de e-mail de alguém que você não conhece e tenha cuidado com anexos encaminhados por pessoas que você conhece. Elas podem ter repassado código malicioso sem perceber.

• Desligue seu computador

  Com o crescimento das conexões de internet de alta velocidade, muitos optam por deixar seus computadores ligados e prontos para uso. A desvantagem é que ficar “sempre ligado” torna os computadores mais suscetíveis. Além da proteção do firewall, projetada para bloquear ataques indesejados, desligar o computador interrompe efetivamente a conexão de um invasor, seja spyware ou uma botnet que usa os recursos do seu computador para alcançar outros usuários desavisados.

• Referência

Orientação da agência:

• Suas contas on-line podem conter muitas das suas informações pessoais. Proteja-as com uma senha forte e difícil de adivinhar e ative a autenticação de dois fatores.

• Quando se trata de senhas, você tem algumas opções:

  • Criar sua própria senha

  • Escolher uma senha gerada automaticamente

  • Usar um gerenciador de senhas

• Crie sua própria senha. Se você criar sua própria senha, faça com que ela seja longa. Procure usar pelo menos 15 caracteres. Use uma combinação de letras maiúsculas e minúsculas, números e símbolos.

• Como uma senha longa pode ser difícil de lembrar, talvez seja mais fácil usar uma frase-senha. Uma frase-senha é uma série de palavras separadas por espaços. Se você usar uma frase-senha

  • Certifique-se de que ela seja composta por palavras aleatórias

  • Evite usar frases comuns, letras de música ou citações de filmes que sejam fáceis de um programa de hacking adivinhar

  • Escolha uma senha gerada automaticamente. Estudos mostram que as pessoas não são boas em criar e lembrar senhas fortes. Você pode fazer com que seu navegador ou dispositivo crie uma senha para você. Veja mais informações sobre como isso funciona:

    • Google Chrome

    • Mac

    • Microsoft Edge

    • Firefox

    • iPhone iOS

    • Android

• Use um gerenciador de senhas. Um gerenciador de senhas de terceiros também pode criar uma senha forte. Para encontrar um gerenciador de senhas confiável, leia avaliações de especialistas. Certifique-se de que a senha do seu gerenciador de senhas seja forte. E proteja-a como faz com suas outras senhas.

• Senhas fortes podem ser difíceis de lembrar. Mas seu navegador e dispositivo podem salvar sua senha. Seu gerenciador de senhas também. E eles podem preencher automaticamente sua senha na próxima vez que você fizer login em um site ou aplicativo.

• Use a autenticação de dois fatores. Usar uma senha forte é um passo importante para proteger sua conta contra hackers. Mas até senhas fortes são vulneráveis a ataques cibernéticos. Usar autenticação de dois fatores adiciona uma camada extra de segurança à sua conta. Um hacker que roubar sua senha não consegue fazer login na sua conta sem o segundo fator de autenticação.

• O tipo mais comum de autenticação de dois fatores é um código de verificação que você recebe por mensagem de texto ou e-mail. Esse código de uso único normalmente tem seis dígitos ou mais e expira automaticamente.

• Os tipos mais seguros de autenticação de dois fatores são um aplicativo autenticador ou uma chave de segurança. Escolha um desses métodos para obter mais proteção, se tiver essa opção.

• Referência

Orientação da agência:

• Certifique-se de que sua senha seja longa e forte. Isso significa pelo menos 12 caracteres. Tornar uma senha mais longa geralmente é a maneira mais fácil de torná-la mais forte. Considere usar uma frase-senha com palavras aleatórias para que sua senha seja mais fácil de lembrar, mas evite usar palavras ou frases comuns. Se o serviço que você está usando não permite senhas longas, você pode tornar sua senha mais forte misturando letras maiúsculas e minúsculas, números e símbolos.

• Não reutilize senhas que você já usou em outras contas. Use senhas diferentes para contas diferentes. Assim, se um hacker conseguir sua senha de uma conta, não poderá usá-la para acessar suas outras contas.

• Use a autenticação multifator quando essa opção estiver disponível. Algumas contas oferecem segurança extra ao exigir algo além de uma senha para fazer login na sua conta. Isso é chamado de autenticação multifator. O “algo a mais” de que você precisa para fazer login na sua conta se enquadra em duas categorias:

  • Algo que você tem — como um código que recebe por um aplicativo de autenticação ou uma chave de segurança.

  • Algo que você é — como uma leitura da sua impressão digital, da sua retina ou do seu rosto.

• Considere usar um gerenciador de senhas. A maioria das pessoas tem dificuldade para acompanhar todas as suas senhas. Quanto mais longa e complicada for uma senha, mais forte ela é, mas uma senha mais longa também pode ser mais difícil de lembrar. Considere armazenar suas senhas e perguntas de segurança em um gerenciador de senhas confiável. Para encontrar um gerenciador de senhas confiável, pesquise sites de avaliações independentes e converse com amigos e familiares sobre os que eles usam. Certifique-se de usar uma senha forte para proteger as informações no seu gerenciador de senhas.

• Escolha perguntas de segurança cujas respostas só você saiba. Se um site pedir que você responda a perguntas de segurança, evite fornecer respostas disponíveis em registros públicos ou facilmente encontradas online, como seu CEP, local de nascimento ou o nome de solteira da sua mãe. E não use perguntas com um número limitado de respostas que invasores possam adivinhar facilmente — como a cor do seu primeiro carro. Você pode até usar respostas sem sentido para dificultar a adivinhação — mas, se fizer isso, certifique-se de que conseguirá lembrar o que usou.

• Troque as senhas rapidamente se houver uma violação. Se uma empresa informar que houve uma violação de dados em que um hacker pode ter obtido sua senha, altere imediatamente a senha que você usa com essa empresa e em qualquer conta que use uma senha semelhante.

• Referência

Orientação da agência:

• Anteriormente, a sabedoria convencional era criar senhas usando caracteres especiais, letras maiúsculas, números, letras e uma variedade de regras arbitrárias, incluindo obrigar você a alterar sua senha várias vezes por ano. Pesquisas mostram que cada um de nós reagiu da mesma forma: reutilizando senhas ou criando variações da mesma senha, porque nos pediram para memorizar dezenas de senhas exclusivas para cada site, login ou aplicativo.

• Nossos instintos naturais criaram uma fragilidade em nossa segurança online, e os criminosos cibernéticos se aproveitaram disso. Pesquisas sobre o uso de senhas demonstraram a fragilidade inerente de esperar que usuários memorizem senhas arbitrariamente complexas e a importância de usar a autenticação multifator (MFA) para proteger nossas informações privadas. É importante destacar que nosso entendimento sobre esse tema evoluiu, e identificamos as práticas a seguir para nos protegermos melhor:

  • Quando precisar usar uma senha, use uma senha mais longa (15 caracteres ou mais), ou até mesmo frases-senha, pois elas oferecem maior proteção do que uma senha mais curta e arbitrariamente complexa. As frases-senha têm o benefício adicional de serem fáceis de lembrar.

  • Usar MFA (como um código de uso único enviado por e-mail ou um aplicativo autenticador no seu telefone) adiciona uma segunda camada, essencial, para proteger contra uma senha comprometida. A MFA deve ser configurada sempre que estiver disponível. Leva apenas alguns instantes e dará a você tranquilidade.

  • Gerenciadores de senhas, protegidos por uma senha muito forte e longa com MFA ativada, permitem criar senhas exclusivas para cada site sem precisar memorizar todas elas.

• Referência

Orientação da agência:

• Garantir a segurança de nossas redes globais interconectadas, bem como dos dispositivos e dados conectados a essas redes, é um dos desafios definidores da nossa era.

• O Departamento de Comércio tem a tarefa de ampliar a conscientização e as proteções em cibersegurança, proteger a privacidade, manter a segurança pública, apoiar a segurança econômica e nacional e capacitar os americanos a gerenciar melhor sua segurança online.

  • NIST lança a versão 1.0 do Privacy Framework

  • NIST oferece guia de “início rápido” para seu catálogo de salvaguardas de segurança e privacidade

  • Espaço de cibersegurança para pequenas empresas

• Referência

• Treine os funcionários em princípios de segurança. Estabeleça práticas e políticas básicas de segurança para os funcionários, como exigir senhas fortes, e defina diretrizes adequadas de uso da internet, detalhando as penalidades por violar as políticas de cibersegurança da empresa. Estabeleça regras de conduta que descrevam como lidar com informações de clientes e outros dados vitais e protegê-los.

• Exija que os funcionários usem senhas exclusivas e troquem as senhas a cada três meses. Considere implementar a autenticação multifator, que exige informações adicionais além de uma senha para obter acesso. Consulte os fornecedores que lidam com dados confidenciais, especialmente instituições financeiras, para saber se eles oferecem autenticação multifator para sua conta.

• Referência

Orientação da agência:

• Qual é a principal causa de violações de dados em pequenas empresas? Funcionários e comunicações relacionadas ao trabalho. Eles são caminhos diretos para seus sistemas. Treine seus funcionários em boas práticas de uso da internet. Isso pode ajudar a prevenir ataques cibernéticos. Outros tópicos úteis de treinamento incluem:

  • Identificar e-mails de phishing

  • Usar boas práticas de navegação na internet

  • Evitar downloads suspeitos

  • Habilitar ferramentas de autenticação (senhas fortes, autenticação multifator etc.)

  • Proteger informações confidenciais de fornecedores e clientes

• Referência

Orientação da agência:

• A autenticação multifator (MFA) é uma medida de segurança importante. Ela verifica a identidade de uma pessoa exigindo mais do que apenas um nome de usuário e uma senha. A MFA pode exigir que os usuários forneçam dois ou mais dos seguintes itens:

  • Algo que o usuário sabe (senha, frase, PIN)

  • Algo que o usuário tem (token físico, telefone)

  • Algo que identifica fisicamente o usuário (impressão digital, reconhecimento facial)

• Consulte seus fornecedores para saber se eles oferecem MFA para alguma de suas contas (por exemplo, financeira, contábil, folha de pagamento).

• Referência

Em julho de 2023, a SEC “adotou regras finais que exigirão que companhias abertas divulguem tanto incidentes relevantes de cibersegurança que sofrerem quanto, anualmente, informações relevantes sobre sua gestão de riscos, estratégia e governança de cibersegurança.” Dado o papel da SEC na aplicação da conformidade em cibersegurança, parece prudente avaliar as próprias recomendações da SEC sobre segurança de senhas.

Uma busca por “segurança de senhas” no site SEC.gov revela 10 documentos, todos aparentemente de anos atrás. Há uma página dedicada à cibersegurança, mas ela oferece recomendações bastante gerais reaproveitadas da CISA. Um alerta de risco de cibersegurança de 2020 intitulado “Cibersegurança: proteção de contas de clientes contra comprometimento de credenciais” leva a um PDF que discute credential stuffing. Embora a palavra “senha” seja usada em todo o documento, “segurança de senhas” não é mencionada explicitamente. “Senhas fortes” são citadas no contexto abaixo:

Recomendação da agência:

• À medida que as empresas se preparam para ataques de credential stuffing, a equipe do OCIE incentiva as empresas a considerar suas práticas atuais (por exemplo, MFA e outras práticas descritas acima) e quaisquer possíveis limitações dessas práticas, além de considerar se os clientes e a equipe da empresa estão devidamente informados sobre como podem proteger melhor suas contas. Clientes informados: a maioria das empresas exige que clientes e funcionários criem e usem senhas fortes. No entanto, o uso de senhas é menos eficaz se clientes e/ou funcionários reutilizarem senhas de outros sites. Para ser mais eficaz, algumas empresas informaram e incentivaram clientes e funcionários a criar senhas fortes e exclusivas e a alterar senhas se houver indícios de que a senha foi comprometida.

• Referência

Esta seção foi atualizada em janeiro de 2025 e será atualizada para refletir as novas políticas da administração conforme elas forem disponibilizadas.

Recomendação da agência:

• "Conclamo o povo, as empresas e as instituições dos Estados Unidos a reconhecer e agir com base na importância da cibersegurança e a observar o Mês de Conscientização sobre Cibersegurança em apoio à nossa segurança e resiliência nacionais. Também conclamo empresas e instituições a tomar medidas para proteger melhor o povo americano contra ameaças cibernéticas e criar novas oportunidades para trabalhadores americanos buscarem empregos bem remunerados em cibersegurança. Os americanos também podem tomar medidas imediatas para se proteger melhor, como ativar a autenticação multifator, atualizar softwares em computadores e dispositivos, usar senhas fortes e ter cautela ao clicar em links que pareçam suspeitos."

• Referência

Recomendação da agência:

• As agências devem garantir que sites que exijam autenticação do público sejam compatíveis com gerenciadores de senhas comumente usados e não devem impedir a “colagem” de senhas ou outros mecanismos assistivos automatizados no lado do cliente.

• Referência

Recomendação da agência:

• “Você precisa de mais do que uma senha para se manter seguro online — e é aí que entra a autenticação multifator para garantir que seus dados estejam mais bem protegidos contra agentes cibernéticos maliciosos”, disse Brandon Wales, diretor executivo da CISA. “A CISA tem incentivado consistentemente as organizações a implementar MFA para todos os usuários, a fim de garantir que quaisquer dados críticos sejam mais difíceis de acessar. O simpósio de hoje trata de nos reunirmos para mapear a visão que todos estamos nos esforçando para transformar em realidade.”

• Referência

Administração Biden-Harris anuncia programa de rotulagem de cibersegurança para dispositivos inteligentes para proteger consumidores americanos

Recomendação da agência

• Atuando sob sua autoridade para regulamentar dispositivos de comunicação sem fio, espera-se que a FCC solicite comentários públicos sobre a implementação do programa voluntário de rotulagem de cibersegurança proposto, que deve estar em funcionamento em 2024. Conforme proposto, o programa aproveitaria esforços liderados por partes interessadas para certificar e rotular produtos, com base em critérios específicos de cibersegurança publicados pelo National Institute of Standards and Technology (NIST) que, por exemplo, exigem senhas padrão fortes e exclusivas, proteção de dados, atualizações de software e recursos de detecção de incidentes.

• Referência

Há muitas medidas que você pode tomar para se manter seguro online, mas a ação mais simples, com o impacto mais significativo e imediato na sua segurança, é usar um gerenciador de senhas. Escolha um gerenciador de senhas multiplataforma com criptografia de ponta a ponta de conhecimento zero que possa gerar e armazenar senhas fortes, exclusivas e ilimitadas. Você pode começar com a Bitwarden em uma conta gratuita ou optar pelo Premium por menos de US$ 10/ano para obter recursos avançados.

• Veja a Apresentação sobre o estado da segurança de senhas