A forma como as pequenas e médias empresas trabalham mudou definitivamente — mas também mudou a forma como são atacadas. As equipas estão distribuídas, as ferramentas SaaS tratam de tudo, desde o processamento salarial à gestão de projetos, e prestadores de serviços e fornecedores entram e saem regularmente dos sistemas. Com cada nova ferramenta ou colaborador com acesso, aumenta o número de potenciais pontos de entrada.
Essa superfície de ataque em expansão é importante porque os ataques baseados em credenciais, incluindo phishing, tomada de controlo de contas e roubo de palavras-passe, tornaram-se uma das formas mais comuns de comprometer empresas. Funcionam precisamente porque o acesso expandiu-se, o que dificulta o seu acompanhamento. Hoje, tudo o que um atacante tem de fazer é encontrar um conjunto válido de credenciais para contornar as defesas da sua empresa.
Neste contexto, deveria ser animador que mais de metade das pequenas empresas use agora um gestor de palavras-passe para empresas. Mas o SMB Cybersecurity Report 2026 da Proton — um estudo global com 3 000 decisores de PME — concluiu que uma em cada quatro ainda sofreu um incidente no ano passado.a0
Tudo isto aponta para uma lacuna entre a forma como as ferramentas são adotadas e a forma como são realmente utilizadas.
Como as PME utilizam gestores de palavras-passe hoje
A maioria dos gestores de palavras-passe foi concebida para fazer bem uma coisa: ajudá-lo a lembrar-se da sua palavra-passe. Na prática, isso significa criar palavras-passe complexas e únicas e geri-las num cofre encriptado. Isto é substancialmente melhor do que a norma de reutilizar as mesmas credenciais em várias contas e plataformas.
Mas, sendo as palavras-passe o ponto de entrada mais fácil para um atacante, as PME precisam que os gestores de palavras-passe façam muito mais do que apenas resolver problemas de memória e conveniência. Precisam deles para proteger o acesso.
O acesso é uma questão muito mais ampla. As pessoas certas têm as credenciais certas — e saberia a que dão acesso ou o que aconteceria se caíssem nas mãos erradas? E, à medida que as equipas crescem, as subscrições se acumulam e os prestadores de serviços entram e saem, as prioridades da sua organização têm de deixar de se centrar apenas no reforço das palavras-passe e passar a ter em conta ameaças de segurança do mundo real.
Essa é a mudança que a maioria das empresas não faz até algo correr mal.
Onde falham as implementações de gestores de palavras-passe
A principal conclusão do nosso relatório foi que as empresas que adotam gestores de palavras-passe não os utilizam de forma consistente.
A partilha insegura de credenciais continua a verificar-se em taxas surpreendentemente elevadas:
- 33 % partilham-nas em documentos partilhados ou folhas de cálculo
- 30 % partilham credenciais por e-mail
- 27 % partilham-nas através de aplicações de mensagens
- 25 % anotam-nas
- 24 % partilham-nas verbalmente
Isto retrata pessoas ocupadas a seguirem a via mais rápida disponível naquele momento. Em vez de mudarem para a aplicação do gestor de palavras-passe e partilharem uma nova credencial no respetivo cofre, podem colá-la no Slack ou num e-mail.
As soluções improvisadas parecem inofensivas isoladamente. Mas, com o tempo, as credenciais acabam espalhadas por caixas de entrada, históricos de conversas e documentos partilhados, de formas difíceis de desfazer. Quando um colaborador sai, deixa de ser possível revogar o acesso mais tarde. E atualizar palavras-passe de um momento para o outro após um incidente torna-se impossível, a menos que estejam armazenadas num local seguro centralizado.
A formação para fazer cumprir políticas de segurança pode ajudar, mas a nossa investigação revelou que nem isso é suficiente…
Porque a formação de sensibilização para a segurança não é suficiente
O nosso relatório concluiu que 39 % das PME sofreram um incidente de segurança causado por erro humano. É fácil interpretar mal esta estatística; a reação natural é assumir que colaboradores mais cuidadosos significam menos incidentes.
Mas este enquadramento ignora algo importante: Os sistemas de segurança que dependem de um comportamento perfeito sob a pressão do dia a dia acabarão sempre por falhar perante a realidade. Os erros não acontecem porque as pessoas não se importam — acontecem porque a opção segura exige muitas vezes mais esforço e tempo do que a PME típica pode suportar. Mesmo equipas bem-intencionadas procurarão soluções alternativas quando têm recursos limitados.
A solução duradoura não passa por mais formação. Passa por conceber sistemas em que a opção segura seja também a mais fácil.
Quando partilhar o acesso de forma segura não exigir mais esforço do que colocar uma palavra-passe numa mensagem de chat, as pessoas irão fazê-lo.a0
Quando o problema do acesso foge ao controlo
O problema das credenciais agrava-se à medida que as equipas crescem.
86 % das PME dependem agora de serviços baseados na nuvem para as operações do dia a dia. Isso significa normalmente que as credenciais se espalham por ferramentas de gestão de projetos, plataformas financeiras, software de marketing, armazenamento de ficheiros e sistemas de clientes, cada um com as suas próprias permissões e histórico de acesso.
O acesso não se dispersa apenas entre sistemas; espalha-se por toda a organização, circulando entre equipas, parceiros externos, prestadores de serviços e antigos colaboradores que ainda podem manter uma forma de entrar.
Isto significa que, na prática, as credenciais se acumulam, os acessos antigos continuam ativos e o número de pessoas que têm — ou tiveram — as chaves dos seus sistemas mais sensíveis cresce para além do que é fácil de acompanhar.
Ter ferramentas não é o mesmo que estar protegido
As PME que sofreram incidentes no ano passado não estavam a facilitar: 92 % estavam a investir ativamente em ferramentas de segurança. Tinham gestores de palavras-passe, e-mail encriptado, programas de formação e políticas escritas em vigor. Por outras palavras, as suas configurações pareciam sólidas no papel.
O que faltava a muitas era consistência na aplicação dessas medidas. A autenticação multifator (MFA) estava ativada, mas não era obrigatória, os gestores de palavras-passe tinham sido implementados, mas não incorporados nos hábitos diários, e os processos de integração e de saída eram tratados de forma informal, em vez de sistemática. Suspeitamos, dada a popularidade dos gestores de palavras-passe do navegador, que muitas nem sequer utilizavam uma plataforma centralizada para a equipa — dependendo, em vez disso, de um conjunto fragmentado de opções menos seguras a nível individual.
Cada uma destas falhas é pequena e permanece invisível até deixar de o ser.
A verdadeira medida de uma configuração de segurança não está nas ferramentas que constam da lista, mas em saber se essas ferramentas resistem à pressão diária da forma como as pessoas realmente trabalham.
Eis algumas práticas para aproximar esta realidade da sua empresa:
- Utilize um gestor de palavras-passe concebido para equipas. Os gestores de palavras-passe dos navegadores não são apenas menos seguros, como também não têm as ferramentas de administração de que os gestores precisam para manter o controlo total sobre as suas contas. A menos que tenha um gestor de palavras-passe empresarial que seja fácil de usar, não será suficiente.
- Verifique quem tem atualmente acesso a quê. Consulte as listas de utilizadores nas suas ferramentas mais sensíveis e veja se algum dos nomes lhe parece inesperado.
- Substitua os inícios de sessão partilhados por contas individuais. Embora seja fácil partilhar inícios de sessão num gestor de palavras-passe, não é uma boa prática: os inícios de sessão partilhados reduzem a visibilidade ao nível da conta, tornando mais difícil identificar e reagir a um incidente.
- Torne a autenticação multifator um requisito. A MFA é uma das proteções mais eficazes disponíveis — mas apenas quando é imposta por predefinição, e não deixada como uma definição opcional.
- Torne o processo de saída sistemático. Cada saída, seja de um colaborador, prestador de serviços ou fornecedor, deve desencadear imediatamente uma revisão de acessos, em vez de ser tratada como algo secundário.
Quer saber o que mais poderá descobrir no nosso inquérito a 3.000 líderes empresariais em seis mercados-chave? Leia mais no nosso Relatório de Cibersegurança para PME 2026. Ficará a saber o que causa incidentes e quanto realmente custam, onde o erro humano surge com mais frequência e como a adoção da nuvem e da IA está a criar novos pontos cegos. Também inclui medidas práticas para reforçar a proteção que funcionam em condições reais.
