Em 2023, “admin” foi a palavra-passe mais utilizada pelos portugueses, tal como revelado pelo quinto estudo anual NordPass. Para além das 200 palavras-passe mais comuns do mundo e de uma comparação entre 35 países, o estudo deste ano também explorou que palavras-passe são utilizadas pelas pessoas em diferentes serviços, e se estas variam ou não.

Palavras-passe que os portugueses adoraram em 2023 — os suspeitos do costume e as tendências globais

Entre as 20 palavras-passe mais comuns em Portugal, que estão listadas abaixo, encontrámos não só velhas conhecidas como algumas novidades. A lista completa com palavras-passe globais, listas individuais para 35 países, e 8 tipos de plataformas pode ser consultada aqui: https://nordpass.com/most-common-passwords-list/.

1. admin
2. 123456
3. user
4. 123456789
5. 12345678
6. password
7. 12345
8. benfica
9. graciete10
10. merda123
11. Oliveira11
12. diogo123
13. Password
14. jorge123456
15. 1234567890
16. catarina
17. qwerty
18. xandrito
19. portugal
20. benfica91

Ainda que as palavras-passe variem consideravelmente de país para país (sendo que Portugal não é exceção), existem algumas tendências globais evidentes:

• O estudo concluiu que as pessoas usam as palavras-passe mais fracas para as suas contas de streaming. Em contraste, as palavras-passe mais fortes são usadas em contas financeiras.

• Em vez de melhorarem os seus hábitos de criação de palavras-passe, os internautas fizeram o contrário ao adotar palavras-passe previamente configuradas. “admin,” que é muito provavelmente uma palavra-passe que as pessoas não se deram ao trabalho de mudar, chegou ao topo da lista de palavras-passe mais comuns não só em Portugal como no México, Grécia, ou Estónia.

• Os internautas usam números nas suas palavras-passe com frequência. Este ano, a palavra-passe mais comum do mundo, “123456,” foi a segunda mais utilizada em Portugal. De resto, quase um terço (31%) das palavras-passe mais utilizadas em todo o mundo consiste numa sequência numérica semelhante, tal como “123456789,” “000000,” e “12345.”

• O futebol é uma inspiração comum para as palavras-passe de internautas, que recorrem frequentemente a nomes de equipas ou jogadores. Os portugueses optaram muitas vezes por “benfica,” “Oliveira11,” e outras palavras-passe semelhantes. No Reino Unido, por exemplo, “liverpool,” “arsenal,” e “chelsea” dominam a lista.

• Até 70% das palavras-passe na lista global deste ano podem ser decifradas em menos de um segundo.

Contas de streaming encontram-se protegidas com as palavras-passe mais fracas

Este estudo também revelou quais são as palavras-passe que as pessoas utilizam em diferentes plataformas, e de que forma estas variam em termos de eficácia

As palavras-passe mais fracas são usadas em contas de streaming. Segundo Tomas Smalakys, o Chief Technology Officer (CTO) da NordPass, tal acontece para que as pessoas possam gerir contas conjuntas mais facilmente, utilizando palavras-passe mais fáceis de memorizar.

Previsivelmente, as pessoas prestam mais atenção a contas diretamente associadas com dinheiro. Assim, estas acabam por utilizar as suas palavras-passe mais fortes em serviços financeiros.

Hackers têm como alvo palavras-passe guardadas em navegadores

Para determinar que palavras-passe são empregues pelos utilizadores em diferentes plataformas, os investigadores analisaram uma base de dados com 6.6 TB exposta por malware stealer, um tipo de ataque que os especialistas consideram ser uma enorme ameaça à cibersegurança das pessoas.

Ataques de malware são particularmente perigosos porque os logs de malware contêm muitos dados acerca da vítima. Malware pode, por exemplo, roubar informação armazenada nos seus navegadores, tais como palavras-passe e outras credenciais, cookies do site de origem, ou dados de preenchimento automático. Além disso, também conseguem roubar ficheiros do computador da vítima tais como endereços de IP e detalhes do sistema como a versão OS.

“O mais assustador é que as vítimas podem nem sequer perceber que o seu computador foi infetado. Os criminosos tendem a ocultar malware em e-mails de phishing cuidadosamente elaborados, imitando uma organização legítima como o seu banco ou empresa,” refere Smalakys.

O futuro das palavras-passe

Nos cinco anos em que a NordPass realizou esta pesquisa, “123456” foi a palavra-passe mais comum em quatro ocasiões. Segundo Smalakys, este é um sinal claro de que mudanças na autenticação online são essenciais.

Passkeys, ou chaves de acesso, são uma nova forma de autenticação. Essencialmente, o utilizador não precisa de inventar uma palavra-passe nova — tudo é feito automaticamente. Quando adere a um site que utiliza passkeys, o dispositivo do utilizador gera um par de chaves complementares — uma pública e outra privada. A chave privada é guardada no dispositivo, enquanto a chave pública é guardada no servidor do site. Isoladas, as duas chaves são inúteis. Caso o utilizador seja positivamente identificado pelos seus dados biométricos, as duas passkeys são correspondidas e este pode finalizar o log in.

“Esta tecnologia vai ajudar a eliminar palavras-passe horríveis, contribuindo para a segurança de todos os utilizadores. Contudo, como acontece com qualquer inovação, a autenticação sem palavra-passe não será adotada da noite para o dia. Por sermos um dos primeiros gestores de palavras-passe a providenciar esta tecnologia, sabemos que as pessoas têm cada vez mais curiosidade em testá-la. Mesmo assim, a segurança de palavras-passe continua a ser um problema e ainda há muito trabalho por fazer,” diz Smalakys.

Dicas para gerir credenciais com segurança

Como as passkeys ainda vão demorar até chegar ao mainstream, a higiene de palavras-passe e cibersegurança continua a ser de extrema importância.

• Crie palavras-passe longas e complexas. “123456 já não funciona,” refere Smalakys. Palavras-passe fáceis de adivinhar equivalem, essencialmente, a portas de casa destrancadas. É por isso que Smalakys nos aconselha a utilizar palavras-passe arbitrárias com mais de 20 caracteres que incluam letras, símbolos, e números.
• Evite guardar os seus segredos no navegador e adote um gestor de palavras-passe. Devido aos ataques de malware stealer que têm como alvo as credenciais do seu navegador, software externo de gestão de palavras-passe é visto como uma alternativa mais segura para o armazenamento de credenciais.
• Comece a utilizar passkeys. Cada vez mais sites oferecem opções de acesso às suas com contas com passkeys em vez de palavras-passe. As passkeys ainda não estão prontas para substituir as palavras-passe por completo, mas constituem, sem dúvida, o futuro da autenticação online.
• Mantenha-se alerta. Para se proteger de malware stealer, preste muita atenção a todos os seus downloads. O malware é habitualmente distribuído em e-mails de phishing — por isso, aprenda a reconhecê-los.

Metodologia de pesquisa: A lista de palavras-passe foi compilada em parceria com investigadores independentes especializados no estudo de incidentes de cibersegurança. Estes avaliaram uma base de dados de 4.3 TB extraída de várias fontes de acesso público, incluindo fontes da dark web. Nenhum tipo de informação pessoal foi comprada ou adquirida pela NordPass para a realização deste estudo.

Os investigadores dividiram os dados por vários setores, o que lhes permitiu realizar uma análise estatística por país. A informação estatística recebida pela NordPass foi exclusivamente facultada pelos investigadores, sem qualquer referência aos dados pessoais de internautas.

Os investigadores externos analisaram uma base de dados de palavras-passe adicional com 6.6 TB. Estas foram roubadas por via de malware stealer tais como Redline, Vidar, Taurus, Raccoon, Azorult, e Cryptbot. Os logs de malware incluíam não só palavras-passe como o site de origem. Os investigadores dividiram as palavras-passe mais populares por tipo de plataforma e partilharam as suas descobertas estatísticas agregadas com a NordPass