Quase metade das senhas pode ser quebrada em menos de um minuto com IA

A Kaspersky analisou 231 milhões de senhas únicas de grandes vazamentos registrados entre 2023 e 2026 e identificou que quebrar credenciais está cada vez mais rápido e fácil devido ao avanço de ferramentas, principalmente baseadas em IA. O levantamento mostra que hoje quase metade (48%) das senhas atuais pode ser quebrada em menos de um minuto, enquanto três em cada cinco levam menos de uma hora e 68% menos de um dia. Além disso, a maioria das senhas comprometidas começa ou termina com um número, um padrão repetido que facilita tentativas de acesso não autorizado em massa. Veja abaixo mais insights do levantamento e cinco principais dicas para criar senhas mais fortes e evitar erros comuns.

Nos últimos anos, as regras para criar senhas fortes se tornaram particularmente relevantes. Cada vez mais serviços exigem senhas de pelo menos 10 caracteres, com letras maiúsculas, números ou símbolos. No entanto, a análise comparativa de senhas vazadas mostra que cumprir parcialmente essas regras não garante resistência contra os ataques de força bruta ou IA.

• Evite padrões previsíveis em símbolos e números

Entre as senhas vazadas que incluem um único símbolo, a mais comumente usada é "@", presente em 10% dos casos. É seguido pelo ponto (.) por 3% e pelo ponto de exclamação (!).

Quanto aos números, padrões muito previsíveis também se repetem:

• 53% das senhas analisadas terminam em números;
• 17% começam com números;
• Cerca de 12% incluem sequências que lembram datas (entre 1950 e 2030);
• 3% contêm sequências de teclado como "qwerty" ou "ytrewq", embora combinações numéricas como "1234" predominem.

Segundo Fabiano Tricarico, diretor geral de produtos de consumo da Kaspersky para Américas, o uso de símbolos, números ou datas comuns, especialmente no início ou no final da senha, facilita consideravelmente ciberataques de força bruta. Ele explica: "ataques de força bruta tentam sistematicamente todas as combinações possíveis até encontrarem a certa. Se os cibercriminosos conhecem os padrões mais comuns, o tempo necessário para decifrar uma senha é drasticamente reduzido. Para evitar isso, é melhor usar geradores de senhas que criam combinações aleatórias de letras, números e símbolos".

• Cultura pop e emoções influenciam senhas

O estudo também revela que muitas senhas são baseadas em palavras carregadas de emoção ou momentos de destaque. Entre 2023 e 2026, por exemplo, o uso do "Skibidi", cresceu significativamente. O termo se refere a um meme viral da internet que ganhou popularidade entre crianças e adolescentes nos últimos anos, principalmente por causa da série “Skibidi Toilet”. O dado releva que temas ligados à cultura pop, memes e tendências virais também influenciam a criação de senhas comuns. Além disso, predominam palavras positivas como "amor", "magia", "amigo", "time", "anjo", "estrela" ou "éden", embora termos negativos como "inferno", "diabo", "pesadelo" ou "cicatriz" também apareçam.

"Usar uma única palavra como senha, até mesmo adicionar um número ou símbolo, ainda é uma opção fraca. É um padrão previsível demais. É melhor criar frases de acesso que combinem várias palavras não relacionadas, incorporando números, símbolos e até pequenas variações intencionais. Quanto mais longo, aleatório e imprevisível ele é, mais difícil é decifrar. Além disso, é essencial habilitar a autenticação em dois fatores sempre que possível", acrescenta Tricarico.

1. Evite reutilizar senha por anos

Mais da metade das senhas (54%) identificadas em vazamentos recentes já haviam aparecido anteriormente em outras bases de dados. Isso indica que muitos usuários reutilizam as mesmas credenciais por anos sem atualizá-las.

A análise também aponta que muitas pessoas adicionam o ano atual à senha no momento da criação, e continuam utilizando a mesma combinação por três a cinco anos. Esse hábito aumenta o risco de comprometimento, especialmente quando a mesma senha é reutilizada em múltiplos serviços.

• O comprimento da senha importa?

Embora senhas longas ainda sejam mais difíceis de decifrar, a análise confirma que só o comprimento já não é suficiente. Com o uso de ferramentas baseadas em IA, até senhas longas podem ser vulneráveis se seguirem padrões previsíveis.

Senhas curtas (até oito caracteres) podem ser quebradas em menos de um dia. No entanto, mais de 20% das senhas de 15 caracteres também podem ser quebradas em menos de um minuto usando algoritmos avançados.

No total, 60,2% das senhas analisadas podem ser quebradas em cerca de uma hora, e 68,2% em menos de um dia. Esses cálculos são baseados no uso de uma única GPU RTX 5090 e do algoritmo MD5. Na prática, cibercriminosos podem usar múltiplas GPUs (Graphics Processing Unit), processadores especializados em executar muitos cálculos simultaneamente, o que acelera o processo exponencialmente.

Hoje, uma senha forte deve ter mais de 16 caracteres e combinar letras, números e símbolos aleatoriamente, sem repetição ou padrões. Além disso, é essencial que cada conta tenha uma senha única. Para facilitar esse processo, a Kaspersky incorporou uma função de geração de senhas em seu site, que permite verificar se uma chave foi vazada e criar senhas fortes gratuitamente.

• Evite salvar senhas em arquivos, mensagens ou no navegador

Além de criar combinações fortes, também é importante armazená-las corretamente. Muitos usuários ainda salvam senhas em blocos de notas, documentos, aplicativos de mensagens ou diretamente no navegador, práticas que aumentam significativamente o risco de vazamento em caso de programas maliciosos ou invasão do dispositivo.

Para gerenciar credenciais de forma simples e segura, recomenda-se usar um gerenciador de senhas, que armazena todas as informações em um ambiente protegido por uma única chave mestra. Esse tipo de ferramenta também permite autocompletar e sincronizar entre dispositivos, além de gerenciar novas formas de acesso, como chaves de acesso.

A análise é baseada em dados do serviço de Inteligência Digital de Pegada Kaspersky.