Principiando com uma nova investigação da NordPass revela que os sites mais populares do mundo incentivam silenciosamente maus hábitos de palavras-passe. Porém, não pelo que dizem, mas pelo que não exigem.
Com efeito, depois de analisar os 1000 sites mais visitados em todo o mundo, os investigadores do NordPass descobriram que a maioria dos sites ainda facilita demasiado a criação de palavras-passe fracas.
Aliás, desde plataformas de compras a portais governamentais, até os maiores nomes da Internet muitas vezes ignoram os princípios básicos da criação de palavras-passe fortes.
Estudo expõe fraqueza de sites
“A Internet ensina-nos a iniciar sessão e, há décadas, tem-nos ensinado as lições erradas. Se um site aceitar a palavra-passe “password123″, os utilizadores pensam que isso é suficiente. As pessoas normalizaram o esforço mínimo para o risco máximo”, diz Karolis Arbačiauskas, Chefe de Produto da NordPass.
O paradoxo das palavras-passe segundo a NordPass
Em primeiro lugar, no que diz respeito à segurança básica, a maioria dos sites ainda apresenta deficiências. A propósito, a NordPass encontrou uma inconsistência generalizada na forma como as plataformas lidam com a proteção por palavra-passe.
Com efeito, alguns sites impõem requisitos básicos, enquanto outros não têm nenhum, e apenas um número reduzido segue uma abordagem clara e padronizada.
Como resultado, os utilizadores enfrentam expectativas completamente diferentes de uma plataforma para outra. Por exemplo, num site, podem ter de criar uma palavra-passe longa e complexa, noutro, algo tão simples como “123456” ainda seria aceite.
Em suma, esta inconsistência não só confunde os utilizadores, como também reduz silenciosamente o padrão global de segurança online.
Conclusões da NordPass
- 61% dos sites exigem uma palavra-passe, mas nenhum cumpre totalmente os padrões de segurança do NIST ou do NordPass.
- 58% não exigem caracteres especiais e 42% não impõem nenhum comprimento mínimo.
- 11% não têm quaisquer requisitos de palavra-passe.
- Apenas 1% dos sites incluídos no estudo exigem todos os elementos certos: palavras-passe longas e complexas com letras maiúsculas, símbolos e números.
Os setores que lidam com alguns dos dados mais sensíveis (governo, saúde e alimentação e bebidas) tiveram o pior desempenho.
“Não se trata apenas de dizer aos utilizadores para terem mais cuidado. A segurança tem de ser uma parceria. Os sites podem fomentar hábitos mais seguros, orientando os utilizadores através de um melhor design: regras claras, indicadores visuais ou até mesmo autenticação moderna, como chaves de acesso”, continua Arbaciauskas.
Análise mais aprofundada do panorama digital
Além das palavras-passe, a investigação também examinou a forma como os sites abordam a autenticação em geral e os números revelam a lentidão com que a inovação se dissemina.
- 39% dos sites permitem que os utilizadores iniciem sessão com início de sessão único (SSO), principalmente através do Google.
- Apenas 2% suportam chaves de acesso, a moderna tecnologia sem palavras-passe apoiada pela FIDO Alliance.
- Apenas cinco sites (bahn.de, cuisineaz.com, fedex.com, interia.pl e ups.com) cumpriram os critérios de palavra-passe mais rigorosos definidos pelo NordPass e pelo NIST.
Embora alguns sites se destaquem como exemplos de aplicação de palavras-passe fortes, a maioria ainda prioriza a conveniência em detrimento da segurança.
“O descuido com as palavras-passe não surgiu do nada. Quando os sites deixam de exigir credenciais fortes, os utilizadores deixam de as criar. O que vemos realmente é uma mudança cultural tanto nos utilizadores como nos programadores da Internet. Está é uma mudança que precisamos urgentemente de reverter”, diz Arbačiauskas.
Porque é que é importante?
Numa era de crescentes fugas de dados e ferramentas de hacking automatizadas, a qualidade das palavras-passe já não é um simples pormenor. Todavia, mas sim a primeira linha de defesa. Em suma, a aplicação fraca cria um efeito cascata. Por isso, se até mesmo os maiores sites não definem padrões elevados, os mais pequenos raramente os seguem.
Seguidamente, a aplicação de palavras-passe fracas não coloca apenas as pessoas em risco, mas também empresas, setores e governos. Por isso, sempre que uma plataforma importante aceita uma palavra-passe fraca. Ou seja, isso atrasa a implementação do padrão global de segurança online.
Ademais, os cibercriminosos exploram essa lacuna. Aliás, palavras-passe simples, combinadas com tecnologias em ascensão como a inteligência artificial, tornam os ataques de força bruta e de preenchimento de credenciais mais fáceis do que nunca. Desse modo, colocando milhões de contas de utilizadores em risco em todos os setores.
Metodologia empregue pela NordPass
Por fim, um total de 1000 dos sites mais visitados foi selecionado com base nos 1000 sites mais visitados do mundo. Isto segundo as estimativas de tráfego de pesquisa orgânica da Ahrefs em fevereiro de 2025.
Em suma, o ranking reflete o número estimado de visitas mensais que cada site recebe a partir de pesquisas orgânicas. Em seguida, verificámos quais eram os métodos de autenticação e os requisitos de palavra-passe de cada um deles na época. Por fim, os dados refletem o período de 26 de fevereiro a 6 de março de 2025.
Fica mais conectado: