A sua organização já não se pode dar ao luxo de deixar a segurança das palavras-passe ao critério de cada membro da equipa. Apesar das melhores intenções, os seres humanos tendem a adotar hábitos convenientes, mas arriscados, como guardar credenciais em navegadores, folhas de cálculo ou notas adesivas.
Uma política de palavras-passe robusta estabelece um padrão claro e aplicável sobre como as palavras-passe são criadas, armazenadas, partilhadas, revistas e protegidas em toda a sua organização. Uma política moderna reduz o risco baseado em credenciais, apoia a conformidade e traz consistência à segurança de acesso em todos os sistemas, equipas e fluxos de trabalho.
Isto não é algo que as empresas se possam dar ao luxo de ignorar. O Relatório de Investigação de Violação de Dados de 2025 da Verizon concluiu que o abuso de credenciais representou 22% dos principais vetores de ataque inicial em incidentes confirmados. O custo de uma má segurança de credenciais também se reflete em perturbações operacionais, exposição regulamentar, danos na reputação e no tempo de inatividade prolongado que se segue quando as equipas tentam recuperar o acesso perdido ou comprometido.
Para além de criar uma política de palavras-passe, a sua organização precisa de sistemas e ferramentas que facilitem a adoção de hábitos seguros. As regras não são suficientes para garantir a segurança operacional porque, onde existe fricção, até profissionais bem-intencionados tomam atalhos. O objetivo é fazer da higiene das palavras-passe o caminho de menor resistência.
O modelo de política de palavras-passe abaixo pode ajudar a sua empresa a manter-se fundamentada nas melhores práticas atuais e nas orientações alinhadas com o NIST. Pode adaptá-lo para uma política interna, manual de segurança ou controlo de governação para organizações que necessitem de algo mais prático do que conselhos gerais.
Modelo de política de palavras-passe (exemplo)
| Secção | Requisito da política (exemplo de redação) | Notas de implementação |
| Âmbito | Esta política aplica-se a todos os funcionários, prestadores de serviços, fornecedores e terceiros que acedam aos sistemas ou dados da empresa através de autenticação baseada em palavras-passe. Abrange todos os sistemas, incluindo plataformas SaaS, serviços na nuvem, ferramentas internas, pontos finais e ambientes administrativos. | Certifique-se de que nenhum sistema ou grupo de utilizadores fica fora do âmbito. Inclua fornecedores e ambientes partilhados. |
| Responsabilidades do utilizador | Todos os utilizadores devem criar, armazenar e gerir as palavras-passe em conformidade com esta política. Os utilizadores não devem partilhar credenciais, reutilizar palavras-passe ou armazená-las em locais não aprovados. Suspeitas de comprometimento de credenciais devem ser comunicadas imediatamente. | Inclua no processo de integração e na formação de segurança. |
| Responsabilidades de gestão | Os gestores devem assegurar a comunicação atempada de integrações, alterações de cargo e desvinculações para permitir um controlo de acesso adequado e atualizações de credenciais. | Relacione com os fluxos de trabalho de RH. |
| Responsabilidades de TI e segurança | As equipas de TI e de segurança são responsáveis por aplicar esta política, aprovar ferramentas de gestão de palavras-passe, monitorizar a conformidade e responder a incidentes relacionados com credenciais. | Atribua uma responsabilidade clara internamente. |
| Comprimento da palavra-passe | As palavras-passe devem cumprir os seguintes comprimentos mínimos: 15 carateres (contas padrão), 16 carateres (contas privilegiadas) e 20 carateres (contas partilhadas ou de serviço, sempre que viável). | Os sistemas devem suportar palavras-passe longas (idealmente até 64 carateres). |
| Criação de palavras-passe | As palavras-passe devem ser geradas aleatoriamente utilizando o gestor de palavras-passe empresarial aprovado pela organização. Não são permitidas palavras-passe criadas pelo utilizador com base em padrões, dados pessoais ou estruturas previsíveis. | O Proton Pass for Business pode automatizar a criação de palavras-passe fortes e aleatórias. |
| Exclusividade da palavra-passe | As palavras-passe devem ser exclusivas para cada conta, sistema e serviço. A reutilização em sistemas de trabalho, contas pessoais ou ambientes de clientes é estritamente proibida. | Aplique através de ferramentas e formação, não apenas através da memória. |
| Teste de força da palavra-passe | As palavras-passe não devem ser fracas, reutilizadas ou previamente expostas em incidentes de dados conhecidos. | Utilize sistemas que suportem a deteção de palavras-passe comprometidas em incidentes, sempre que possível. |
| Práticas proibidas | São proibidas as seguintes práticas: reutilização de palavras-passe; utilização de termos relacionados com a pessoa ou a empresa; padrões previsíveis; armazenamento de palavras-passe em texto simples; partilha de credenciais por e-mail, chat ou notas. | Mantenha esta secção explícita para remover ambiguidades. |
| Autenticação de vários fatores (MFA) | A MFA deve estar ativada em todos os sistemas que a suportem, particularmente no e-mail, fornecedores de identidade, acesso remoto, sistemas financeiros, plataformas de RH e contas administrativas. | Priorize primeiro os sistemas de alto risco. |
| Armazenamento de palavras-passe | Todas as credenciais devem ser armazenadas apenas no gestor de palavras-passe aprovado pela organização. O armazenamento em navegadores ou ferramentas locais não é permitido, a menos que seja gerido e aprovado centralmente. | O Proton Pass for Business fornece cofres encriptados com acesso controlado. |
| Métodos de armazenamento proibidos | As palavras-passe não devem ser armazenadas em folhas de cálculo, documentos, rascunhos de e-mail, sistemas de bilheteira, unidades partilhadas ou notas pessoais. | Audite estas situações regularmente, pois são muito comuns. |
| Partilha de palavras-passe | As palavras-passe não devem ser partilhadas através de canais informais. Quando a partilha for necessária, deve ocorrer através de sistemas seguros aprovados que suportem o controlo de acesso, auditoria e revogação. | O Proton Pass for Business permite a partilha segura de credenciais sem expor a própria palavra-passe. |
| Contas partilhadas | As credenciais de conta partilhada ou de serviço devem ter um proprietário designado, acesso limitado, armazenamento seguro e revisão regular. As credenciais devem ser rodadas quando ocorrem alterações de pessoal ou se houver suspeita de que foram comprometidas. | Privilegie contas individuais sempre que possível. |
| Formação e sensibilização | Todos os utilizadores devem concluir a formação de segurança de palavras-passe e credenciais durante a integração e periodicamente após a mesma. A formação deve incluir a gestão de palavras-passe, a utilização de MFA, a sensibilização para o phishing e o relato de incidentes. | Mantenha a formação prática e atualizada. |
| Resposta a incidentes | Qualquer suspeita ou confirmação de que as credenciais foram comprometidas deve ser comunicada imediatamente. As credenciais afetadas devem ser repostas, as sessões revogadas e o acesso revisto. Os incidentes devem ser documentados. | A velocidade da resposta é mais importante do que a perfeição. |
| Requisitos de comunicação | Os utilizadores devem comunicar qualquer suspeita de exposição de credenciais através do canal de comunicação designado. Nenhuma ação disciplinar resultará de comunicações feitas de boa-fé. | Incentiva a comunicação atempada. |
| Monitorização e registo | A atividade de autenticação deve ser registada sempre que viável, incluindo tentativas de início de sessão, alterações de credenciais e acesso privilegiado. Os registos devem ser revistos periodicamente para detetar anomalias. | Concentre-se primeiro nos sistemas de alto risco. |
| Cessação de funções e revogação de acesso | Após a alteração de cargo ou rescisão, o acesso deve ser removido imediatamente. As credenciais partilhadas devem ser revistas e rodadas quando necessário. | Essencial, uma vez que este é um dos pontos de falha mais comuns para as organizações. |
| Alinhamento de conformidade | Esta política apoia a conformidade organizacional com estruturas reconhecidas, tais como os requisitos de controlo de aceder do NIST e da ISO 27001. | Útil para auditorias e governação. |
| Aplicação | O incumprimento desta política pode resultar em nova formação, restrições de acesso ou ação disciplinar, dependendo da gravidade. | Aplicar de forma consistente. |
| Ciclo de revisão | Esta política deve ser revista, pelo menos, anualmente ou na sequência de alterações significativas nos sistemas, riscos ou requisitos regulamentares. | Atribua um proprietário para as atualizações. |
O que é uma política de palavras-passe? Definição, objetivo e metas
Uma política de palavras-passe é um conjunto formal de regras que define como as credenciais são criadas, geridas, armazenadas e protegidas nos sistemas de uma organização.
O conceito de uma política de palavras-passe parece simples, mas o seu impacto é amplo. É muito mais do que apenas obrigar à utilização de um gestor de palavras-passe empresarial para as credenciais da empresa. Nas organizações modernas, as políticas de palavras-passe servem de base para a segurança da identidade.
Sem uma política consistente que regule a forma como as credenciais são tratadas nos vários sistemas, as práticas de palavras-passe tendem a fragmentar-se e as organizações perdem gradualmente a visibilidade sobre a forma como o acesso está a ser gerido.
O objetivo de uma política de palavras-passe robusta
Uma política de palavras-passe bem definida aborda as lacunas de segurança ao definir expectativas claras sobre como as credenciais devem ser tratadas em toda a organização. Estabelece padrões consistentes para a criação, armazenamento, partilha e gestão do ciclo de vida das palavras-passe.
As políticas de palavras-passe também desempenham um papel importante na governação e conformidade. Estruturas de segurança, como as Diretrizes de Identidade Digital do NIST(nova janela) e normas como a ISO 27001(nova janela), enfatizam a importância de práticas de autenticação robustas como parte do controlo de acesso moderno.
Espera-se cada vez mais que as organizações que lidam com dados sensíveis, nomeadamente informações pessoais, registos financeiros ou informações comerciais proprietárias, demonstrem que o acesso a esses sistemas é regido por controlos de segurança documentados.
Com uma política de palavras-passe, a sua organização define os requisitos mínimos para criar, armazenar, partilhar e gerir as palavras-passe utilizadas para aceder aos sistemas, serviços, dispositivos, aplicações e dados da empresa.
O que deve uma política de palavras-passe fazer?
O documento da política de palavras-passe destina-se a:
- Reduzir incidentes de segurança relacionados com palavras-passe
- Prevenir a reutilização de palavras-passe e práticas de armazenamento inseguras
- Exigir práticas seguras de criação e gestão de palavras-passe
- Apoiar o acesso seguro entre colaboradores, fornecedores e sistemas
- Reforçar a prontidão para auditorias e a governação de acessos
- Definir procedimentos de resposta para credenciais comprometidas
Em conjunto, estes objetivos ajudam a garantir que a segurança das palavras-passe seja tratada como um padrão operacional e não como uma expectativa informal.
Política de palavras-passe: âmbito, cargos e responsabilidades
Uma política de palavras-passe robusta deve tornar duas coisas explícitas. Primeiro, deve definir claramente quais os utilizadores, sistemas e dados que devem aderir à política.
Segundo, deve clarificar quem é responsável por seguir, implementar e manter esses padrões em toda a sua organização.
Defina o âmbito da sua política de palavras-passe
Nas organizações modernas, o acesso raramente está limitado a colaboradores a tempo inteiro em redes internas. Contratados, fornecedores e prestadores de serviços podem todos necessitar de aceder aos sistemas corporativos, pelo que a política deve estender-se a todos os que interagem com os sistemas ou dados da empresa através de autenticação baseada em palavra-passe.
Deve também aplicar-se a todo o ambiente tecnológico, incluindo:
- Plataformas de nuvem
- Ferramentas SaaS
- Sistemas internos
- Ambientes de desenvolvimento
- Consolas administrativas
- Contas operacionais partilhadas
Isto é importante porque os atacantes raramente distinguem entre sistemas principais e secundários quando procuram pontos de entrada.
Defina cargos e responsabilidades dentro da sua política de palavras-passe
Sem uma propriedade clara, a gestão de palavras-passe torna-se fragmentada. Os funcionários assumem que o departamento de TI trata da segurança automaticamente, enquanto as TI assumem que os utilizadores seguem as melhores práticas de forma independente. Uma segurança de credenciais eficaz requer coordenação em toda a sua organização.
Embora os funcionários e contratados mantenham a segurança das palavras-passe nas suas interações diárias com os sistemas, os gestores supervisionam a governação de acessos durante a integração, mudanças de cargo e rescisões. As equipas de TI e de segurança serão responsáveis pela implementação de controlos técnicos e pela monitorização da conformidade. Os proprietários dos sistemas também garantirão que as normas são aplicadas nas aplicações e ambientes que gerem.
Diretrizes da política de palavras-passe sobre o comprimento mínimo e requisitos de entropia
O comprimento da palavra-passe é um dos fatores mais importantes para determinar a força de uma credencial. Palavras-passe mais longas aumentam drasticamente o número de combinações possíveis que um atacante precisaria de testar durante um ataque de força bruta.
De facto, o NIST recomenda(nova janela) dar prioridade ao comprimento da palavra-passe em detrimento de regras de composição rigorosas. Em vez de forçar os utilizadores a incluir combinações específicas de símbolos, números e letras maiúsculas, as políticas modernas focam-se em garantir que as palavras-passe são suficientemente longas e verificadas contra credenciais comprometidas conhecidas.
Consequentemente, as organizações devem também garantir que os seus sistemas suportam palavras-passe mais longas e complexas onde quer que seja tecnicamente viável. Fazê-lo permite que as equipas de segurança adotem normas de credenciais mais fortes ao longo do tempo e garante que a sua organização está preparada para cumprir os requisitos de segurança em constante evolução no futuro.
Uma palavra-passe forte deve cumprir ou exceder estes requisitos fundamentais:
- Comprimento suficiente para resistir a tentativas de força bruta e quebra automática
- Única para uma única conta ou serviço, evitando a reutilização de credenciais em vários sistemas
- Difícil de adivinhar, evitando informações pessoais, referências à empresa ou padrões previsíveis
- Aleatória ou altamente imprevisível, idealmente gerada por um gestor de palavras-passe aprovado
- Não exposta anteriormente em incidentes de dados conhecidos ou presente em listas de palavras-passe comuns
Note que as palavras-passe baseadas em nomes, aniversários, termos da empresa ou padrões simples de teclado podem muitas vezes ser quebradas rapidamente utilizando ferramentas automáticas, independentemente do seu comprimento. Consulte o nosso guia detalhado sobre requisitos para palavras-passe fortes para indivíduos e empresas.
Aleatoriedade e complexidade das palavras-passe
As estruturas de segurança modernas recomendam a geração aleatória de palavras-passe em vez de pedir aos utilizadores que as inventem manualmente. As palavras-passe aleatórias geradas por ferramentas de gestão de palavras-passe aprovadas oferecem uma proteção significativamente maior porque evitam padrões previsíveis e podem ser criadas com comprimentos impraticáveis de memorizar.
Por exemplo, pode usar o gerador de palavras-passe seguras e as práticas de gestão de credenciais seguras integradas no Proton Pass. Em conjunto, estas ferramentas ajudam a gerar palavras-passe fortes e imprevisíveis, ao mesmo tempo que abordam desafios comuns em torno do armazenamento, partilha e gestão do ciclo de vida das palavras-passe.
Os seguintes requisitos mínimos podem ser incluídos numa política de palavras-passe para desencorajar o uso de palavras-passe fracas ou reutilizadas:
- As palavras-passe de contas de utilizador padrão devem ter pelo menos 15 caracteres.
- As palavras-passe de contas privilegiadas ou de administrador devem ter pelo menos 16 caracteres.
- As credenciais de contas partilhadas ou de serviço devem ter pelo menos 20 caracteres onde for tecnicamente viável.
- Os sistemas devem suportar palavras-passe de pelo menos 64 caracteres, sempre que possível.
- As frases-passe longas podem ser utilizadas onde forem suportadas e adequadas.
- As palavras-passe devem cumprir os requisitos de força e verificação aprovados pela organização antes de serem utilizadas.
Utilização de palavras-passe únicas por sistema ou serviço
A reutilização de palavras-passe é uma das causas mais comuns de incidentes de segurança baseados em credenciais. Quando a mesma palavra-passe é utilizada em vários serviços, um único incidente pode expor o acesso a vários sistemas de uma só vez.
Os atacantes exploram rotineiramente este comportamento utilizando uma técnica conhecida como credential stuffing, na qual nomes de utilizador e palavras-passe roubados de um serviço são testados automaticamente noutras plataformas.
Por esta razão, a exclusividade é um requisito inegociável. Cada conta, serviço e sistema deve ter a sua própria palavra-passe que nunca é reutilizada noutro local.
Gerir dezenas ou centenas de palavras-passe únicas seria irrealista sem o apoio de ferramentas de gestão de palavras-passe seguras. As ferramentas de gestão de palavras-passe empresariais tornam este requisito prático ao gerar palavras-passe fortes automaticamente e ao guardá-las de forma segura, permitindo que os colaboradores mantenham credenciais únicas sem dependerem da memória.
Requisitos de autenticação de vários fatores (MFA)
A autenticação de vários fatores (MFA) é uma das formas mais eficazes de reduzir o risco de acesso não autorizado, particularmente em ambientes onde as credenciais podem ser expostas através de phishing, malware(nova janela) ou incidentes de dados externos.
A MFA funciona exigindo que os utilizadores verifiquem a sua identidade através de, pelo menos, dois fatores independentes antes de obterem acesso a uma conta. Estes incluem:
- Algo que o utilizador conhece (uma palavra-passe)
- Algo que o utilizador tem (como uma chave de segurança, aplicação de autenticação ou dispositivo móvel)
- Algo que o utilizador é (autenticação biométrica, como impressão digital ou reconhecimento facial).
Como os atacantes raramente têm acesso a todos estes fatores simultaneamente, a MFA reduz significativamente a probabilidade de as credenciais roubadas serem utilizadas isoladamente para comprometer uma conta.
As diretrizes de organizações como o NIST e a CISA incentivam vivamente(nova janela) a utilização da autenticação multifator sempre que for utilizado o acesso baseado em palavra-passe, particularmente em sistemas que contenham dados sensíveis ou forneçam privilégios administrativos.
Integrar a MFA na sua política de palavras-passe
A sua organização pode reforçar ainda mais a adoção de MFA utilizando ferramentas que tornam a autenticação de dois fatores mais fácil de implementar e gerir em todas as contas. Por exemplo, o Proton Pass pode guardar e efetuar o preenchimento automático de palavras-passe de utilização única (TOTP) juntamente com as credenciais guardadas, simplificando os fluxos de início de sessão enquanto mantém os dados de autenticação encriptados.
Para organizações que preferem separar os fatores de autenticação, a Proton também oferece uma aplicação dedicada, a Proton Authenticator, que gera códigos de verificação seguros de seis dígitos e pode sincronizá-los entre dispositivos utilizando encriptação ponto a ponto. O autenticador funciona offline e é de código aberto, permitindo às organizações implementar a MFA em contas empresariais, mantendo a transparência e fortes proteções de privacidade.
Práticas seguras de partilha de palavras-passe
Embora muitas diretrizes de segurança desaconselhem totalmente a partilha de palavras-passe, os ambientes de negócios do mundo real ainda o exigem. Contas de serviço, acesso de fornecedores e procedimentos de emergência podem ocasionalmente exigir que vários utilizadores autorizados acedam às mesmas credenciais.
Quando a partilha ocorre informalmente, como através de e-mail, chat ou comunicação verbal, as credenciais ficam expostas e tornam-se difíceis de controlar. Uma vez partilhadas através destes canais, normalmente não existe uma forma fiável de rastrear quem tem acesso ou de o revogar mais tarde.
As políticas de palavras-passe devem, portanto, definir como e quando a partilha é permitida. Na maioria das organizações, esta deve ocorrer apenas através de ferramentas de gestão de credenciais aprovadas que forneçam controlos de acesso, auditoria e a capacidade de revogar o acesso quando necessário.
Procedimentos de saída e de revogação de acesso
Quando os colaboradores mudam de cargo, saem da organização ou as relações com fornecedores terminam, o acesso deve ser revisto e ajustado prontamente. A falha ao revogar as credenciais de forma atempada é uma das fontes mais comuns de acesso não autorizado.
Uma política de palavras-passe robusta deve integrar-se com os processos de entrada e saída, garantindo que os privilégios de acesso são atualizados imediatamente para refletir as mudanças de cargo ou as saídas, incluindo a desativação de contas, a rotação de credenciais partilhadas e a revogação de acessos desnecessários ao sistema.
Se vários indivíduos tinham acesso a uma conta de serviço partilhada, a palavra-passe deve ser rodada assim que ocorrerem mudanças de pessoal para evitar que antigos colaboradores ou contratados mantenham o acesso após as suas contas terem sido desativadas.
Bridge a lacuna entre a política de palavras-passe e os hábitos humanos
As políticas de palavras-passe só são eficazes se as pessoas as seguirem.
Na maioria das organizações, as falhas não acontecem por falta de políticas; acontecem porque as políticas não estão incorporadas nos fluxos de trabalho diários. Os colaboradores utilizam atalhos quando os processos não são claros, as ferramentas são inadequadas ou as expectativas não são reforçadas. Quando implementada corretamente (e em combinação com um gestor de palavras-passe para empresas), uma política de palavras-passe robusta substitui hábitos informais por controlos consistentes, reduz o risco relacionado com credenciais e torna a gestão de acesso seguro parte das operações quotidianas, e não apenas um pensamento tardio.
