Um levantamento feito em parceria entre as empresas de ciberesegurança, SafeLabs e ISH, mostrou que cerca de 30 milhões de senhas foram vazadas em todo o Brasil em 2022. Apenas no Centro-Oeste, foram 200 mil.

São Paulo lidera a lista dos estados onde mais houve vazamento de senha, com mais de 18 milhões de incidentes, mais que o dobro do segundo colocado, o Rio de Janeiro, que teve pouco mais de 9 milhões.

Quase quatro milhões de usuários do Google Chrome tiveram seus dados expostos por ataques às senhas salvas no navegador. Outro estado que ultrapassou a casa do milhão foi Minas Gerais, com 1.122.777 vazamentos.

Veja a lista completa:

  • São Paulo – 18.666.801
  • Rio de Janeiro – 9.237.689
  • Minas Gerais – 1.122.777
  • Paraná – 155.301
  • Rio Grande do Sul – 124.023
  • Bahia – 112.838
  • Santa Catarina – 105.338
  • Goiás – 94.508
  • Pernambuco – 75.060
  • Ceará – 66.083
  • Pará – 56.558
  • Espírito Santo – 47.935
  • Distrito Federal – 42.062
  • Maranhão – 40.388
  • Mato Grosso – 33.978
  • Amazonas – 32.633
  • Mato Grosso do Sul – 29.184
  • Rio Grande do Norte – 26.861
  • Paraíba – 23.356
  • Alagoas – 18.853
  • Piauí – 18.552
  • Rondônia – 17.384
  • Tocantins – 12.236
  • Amapá – 8.405
  • Roraima – 6.742
  • Sergipe – 6.263
  • Acre – 3.519

Senhas salvas

Outra ponto que chamou a atenção é para o risco do armazenamento incorreto de credenciais. “No dia a dia, buscando facilitar a experiência do usuário, muitos navegadores e sites disponibilizam recursos que armazenam e inserem as credenciais de forma automática, mas essa é uma prática muito perigosa”, explica Caique Barqueta, analista de Malware da ISH.

“Malwares são criados especialmente para o roubo de credenciais salvas em navegadores. Em um incidente, o criminoso passa a ter acesso a todas as contas cuja senha está no navegador, podendo causar prejuízos financeiros e reputacionais”, afirma o especialista.

Ainda conforme o levantamento, o Google Chrome foi o navegador que mais sofreu com roubo de informações armazenadas no Brasil. Ao todo, foram 3.909.813 credenciais vazadas. Em sequência estão o Microsoft Edge e Opera Browser, com 330.025 e 125.888 vazamentos, respectivamente.

Barqueta defende que, além do armazenamento, a utilização de senhas fracas é um grande problema. “Cibercriminosos criam dicionários de senhas, e os utilizam para sucessivas tentativas de invasão e login. Por isso, o ideal é evitar qualquer sequência óbvia do teclado, como “123456” ou “qwerty” (as primeiras seis letras)”, argumenta.

Senhas fortes

Barqueta recomenda dicas para a criação de senhas que não sejam comuns e de fácil adivinhação, bem como outras medidas de segurança.

É importante evitar utilizar senhas que contenham informações pessoais, como o nome, data de nascimento, número de telefones e outros tipos de informações pessoais que podem ser encontradas facilmente na web, como nas redes sociais.

Além disso, é bom utilizar uma combinação de letras maiúsculas e minúsculas, números e símbolos do teclado; o idela é que uma senha tenha pelo menos 15 caracteres.

A utilização de senhas antigas também não é uma boa ideia. No caso de um incidente de segurança, outras contas correrão o risco de serem acessadas por um criminoso.

Se possível, utilize a autenticação de dois fatores, em que poderá ser utilizado, número de telefone, e-mails e até aplicativos para confirmação e autorização de logins.

Outras dicas

  • Não armazene as senhas em locais inseguros, como em navegadores, blocos de notas, post its, arquivos no sistema operacional, dispositivo celular, entre outros;
  • Considere utilizar frases ao invés de palavras, seguindo todas as dicas mencionadas acima;
  • Utilize um gerenciador de senhas, para tornar menos árdua a tarefa de memorizar todas. Para o gerenciador, recomenda-se uma senha fortíssima;
  • Realize a troca periódica de senhas, idealmente a cada 45 dias;
  • Não realize o compartilhamento de senhas com terceiros, mesmo familiares, amigos ou colegas de trabalho;
  • Por fim, é de extrema importância estar atento a notícias sobre vazamentos e ataques cibernéticos a organizações nas quais o usuário tenha alguma conta. Confirmado o incidente, é recomendada a troca imediata de senha.