Senha vazada — o que fazer agora e como descobrir se a sua está comprometida

Passo a passo — o que fazer

1. 1

   Verifique se sua senha vazou

   Acesse haveibeenpwned.com e insira seu endereço de e-mail. O serviço, mantido pelo pesquisador de segurança Troy Hunt e parceiro oficial da NCSC (Reino Unido) e do FBI, verifica seu e-mail contra bilhões de credenciais expostas em vazamentos públicos. Também é possível verificar uma senha específica na aba 'Passwords' — o serviço usa hash k-Anonimato, nunca enviando sua senha completa ao servidor.

2. 2

   Troque a senha vazada imediatamente

   No serviço onde o vazamento ocorreu, crie uma senha nova, longa (mínimo 16 caracteres) e completamente diferente da anterior. O NIST SP 800-63B recomenda frases-senha longas e aleatórias em vez de combinações curtas com símbolos obrigatórios. Use seu gerenciador de senhas para gerar e armazenar a nova credencial.

3. 3

   Identifique e troque todos os sites onde reutilizou a mesma senha

   Este é o passo mais crítico. Se você usou a mesma senha em outros serviços — banco, e-mail, redes sociais, e-commerce — mude-a em todos eles também. Criminosos fazem isso automaticamente com ferramentas de credential stuffing que testam a combinação vazada em centenas de sites em segundos.

4. 4

   Encerre todas as sessões ativas

   Na maioria dos serviços (Google, Facebook, bancos, e-mail), há uma opção de 'sair de todos os dispositivos' ou 'encerrar outras sessões'. Use-a. Isso desconecta qualquer invasor que já possa estar logado com suas credenciais antigas, mesmo após a troca de senha.

5. 5

   Ative autenticação em dois fatores (2FA)

   Com o 2FA ativado, mesmo que alguém tenha sua senha, ainda precisará de um segundo fator — um código gerado por aplicativo (como Google Authenticator ou Authy), um token físico ou reconhecimento biométrico — para acessar sua conta. Prefira aplicativos autenticadores ou chaves de segurança físicas a SMS, que pode ser interceptado por SIM Swap.

6. 6

   Adote um gerenciador de senhas

   Um gerenciador de senhas (Bitwarden, 1Password, Keeper) cria e armazena senhas únicas e complexas para cada conta, eliminando a necessidade de memorizar ou reutilizar credenciais. É a medida isolada mais eficaz para evitar que um único vazamento comprometa dezenas de contas.

7. 7

   Monitore seus alertas de navegador e conta Google/Apple

   Navegadores modernos (Chrome, Firefox, Safari, Edge) e o gerenciador de senhas integrado ao Google e à Apple verificam automaticamente suas credenciais salvas contra bancos de dados de vazamentos e emitem alertas. Mantenha esses alertas ativados e responda a eles imediatamente quando aparecerem.

8. 8

   Verifique se dados bancários ou documentos foram expostos

   Se o serviço vazado armazenava dados financeiros, números de documentos ou informações de cartão de crédito, entre em contato com seu banco e considere solicitar um novo cartão. Acompanhe extratos e ative notificações por SMS ou app para cada transação.

Como descobrir se sua senha vazou: ferramentas e métodos confiáveis

O método mais direto e confiável é o HaveIBeenPwned (haveibeenpwned.com), criado pelo pesquisador australiano Troy Hunt em 2013. A plataforma agrega bilhões de credenciais expostas em vazamentos públicos e permite verificar, de forma anônima, se um endereço de e-mail ou senha aparece em algum desses bancos de dados. Para senhas, o serviço usa uma técnica chamada k-Anonimato: você envia apenas os primeiros cinco caracteres do hash SHA-1 da senha, e o servidor retorna os hashes correspondentes para comparação local — sua senha nunca trafega pela rede em texto claro.

Além do HIBP, navegadores modernos oferecem verificação integrada. O Google Password Manager, integrado ao Chrome e aos dispositivos Android, verifica suas credenciais salvas em tempo real contra bancos de dados de vazamentos e exibe alertas na barra de notificações ou no painel de senhas. O Safari e o iCloud Keychain da Apple fazem o mesmo para usuários de iPhone e Mac. O Firefox Monitor também oferece este recurso, integrado ao navegador Mozilla.

O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), vinculado ao NIC.br, mantém a Cartilha de Segurança para Internet com orientações específicas sobre como proceder após um vazamento. É uma referência nacional gratuita e tecnicamente sólida. Empresas brasileiras que sofreram vazamentos têm obrigação legal de notificar os titulares afetados sob a Lei Geral de Proteção de Dados (LGPD), mas a detecção proativa via HIBP não depende dessa notificação.

Credential stuffing: por que reutilizar senha é o maior risco que existe

Credential stuffing é o ataque que transforma um vazamento isolado em uma catástrofe em cascata. Quando uma empresa é invadida e suas credenciais vazam, criminosos compram ou obtêm essa lista e alimentam ferramentas automatizadas que testam cada combinação de e-mail e senha em centenas de outros serviços — bancos, e-commerce, redes sociais, serviços de streaming, e-mail corporativo — em questão de horas.

A eficácia do ataque depende diretamente da reutilização de senhas. Estudos do setor apontam que entre 50% e 65% dos usuários reutilizam a mesma senha em múltiplos serviços. Isso significa que um único vazamento em um serviço de menor relevância — como um fórum, uma loja online pequena ou um serviço descontinuado — pode comprometer contas de banco, e-mail ou redes sociais do mesmo usuário. O relatório Verizon Data Breach Investigations Report (DBIR) aponta consistentemente o uso de credenciais comprometidas como o vetor de ataque mais frequente em violações de dados.

O NIST SP 800-63B, documento de referência internacional sobre autenticação, recomenda explicitamente que sistemas verifiquem novas senhas contra listas de credenciais comprometidas conhecidas e rejeitem aquelas que aparecerem — exatamente para quebrar esse ciclo. A mesma diretriz desaconselha regras arbitrárias de complexidade (letras maiúsculas obrigatórias, símbolos específicos) em favor de senhas longas e únicas por serviço, que são o que realmente dificulta o credential stuffing.

Senhas fortes, gerenciadores e passkeys: como se proteger de vez

Uma senha forte, segundo o NIST SP 800-63B, é antes de tudo longa — 16 caracteres ou mais. Frases-senha (sequências de palavras aleatórias como 'cadeira-azul-planeta-vento-47') são fáceis de lembrar e exponencialmente mais difíceis de quebrar por força bruta do que senhas curtas repletas de símbolos. O problema é que senhas longas e únicas para dezenas de serviços são impossíveis de memorizar — e é aí que o gerenciador de senhas se torna indispensável.

Gerenciadores de senhas como Bitwarden (código aberto, gratuito), 1Password e Keeper geram, armazenam e preenchem automaticamente credenciais únicas e complexas para cada site. Você memoriza apenas uma senha mestra forte para o gerenciador, e ele cuida do resto. O risco de comprometimento do gerenciador é real, mas substancialmente menor do que o risco de reutilizar senhas — e os principais gerenciadores implementam criptografia de ponta a ponta, onde nem o próprio fornecedor consegue acessar seu cofre.

Passkeys representam o futuro — e já são o presente em grandes plataformas como Google, Apple, Microsoft, GitHub e Shopify. Uma passkey substitui a senha por um par de chaves criptográficas: uma privada, armazenada no seu dispositivo e protegida por biometria (impressão digital ou rosto), e uma pública registrada no servidor. Não há senha para vazar porque nenhuma senha é transmitida. Mesmo que o banco de dados do serviço seja invadido, as passkeys dos usuários não são comprometidas. O FIDO Alliance, consórcio que padronizou a tecnologia, a descreve como a solução mais robusta disponível hoje para autenticação de consumidores.

A ponte que poucos percebem: senha pessoal reutilizada no trabalho

Um dos vetores de ataque corporativo mais subestimados é exatamente este: o colaborador que usa a mesma senha do e-mail pessoal, do streaming ou de um fórum antigo na conta de trabalho — ou que usa uma variação óbvia ('MinhasSenha2024!' no pessoal, 'TrabalhoBom2024!' no corporativo). Quando esse e-mail ou variação vaza em um breach de consumidor, o atacante testa a combinação também nos sistemas da empresa.

O impacto de uma credencial corporativa comprometida é incomparavelmente maior do que o de uma conta pessoal. Com acesso a uma conta de e-mail corporativo, um invasor pode realizar ataques de BEC (Business Email Compromise), redirecionar pagamentos, acessar sistemas internos, exfiltrar dados de clientes ou instalar ransomware. O relatório DBIR da Verizon aponta que mais de 80% das violações envolvendo hacking exploram credenciais roubadas ou fracas.

A proteção começa no indivíduo: use senhas completamente diferentes para contas pessoais e de trabalho, jamais reutilize entre os dois contextos, e ative 2FA em todas as contas corporativas sem exceção. Empresas que implementam políticas de senhas baseadas no NIST SP 800-63B, verificam credenciais de colaboradores contra bancos de dados de vazamentos e monitoram ativamente tentativas de credential stuffing reduzem drasticamente esse risco. Não basta proteger o perímetro de rede se a porta de entrada é a conta de e-mail de um colaborador com senha reutilizada.

O que as empresas precisam fazer além do que os colaboradores podem

Enquanto o indivíduo pode verificar seu próprio e-mail no HIBP e trocar suas senhas, as empresas enfrentam uma superfície de exposição muito maior: centenas ou milhares de credenciais corporativas, dezenas de sistemas internos e uma cadeia de fornecedores que também pode ser comprometida. Monitorar manualmente se alguma dessas credenciais apareceu em vazamentos é inviável sem automação.

Plataformas de gestão de ameaças fazem esse trabalho continuamente: monitoram dark web, fóruns clandestinos, repositórios públicos e bancos de dados de breach em busca de credenciais, documentos, dados de clientes ou menções à empresa que não deveriam estar acessíveis publicamente. Quando uma credencial corporativa aparece em um vazamento, o time de segurança recebe o alerta e pode agir antes que o atacante explore a janela de oportunidade.

A Decripte atende exclusivamente empresas — do MEI ao Enterprise — que precisam dessa visibilidade contínua. O plano gratuito de Gestão de Ameaças mostra o que já vazou do domínio da sua empresa: e-mails corporativos comprometidos, senhas expostas, dados de clientes ou documentos que aparecem em fontes abertas. Não é necessário sofrer um incidente para descobrir que já está exposto. Acesse decripte.com.br e veja agora o que os atacantes podem estar vendo sobre a sua empresa.

Termos importantes

Credential stuffing

Ataque automatizado que usa listas de combinações de e-mail e senha obtidas em vazamentos para tentar acesso em outros serviços. A eficácia depende da reutilização de senhas pela vítima: se a mesma senha é usada em múltiplos sites, um único vazamento pode comprometer todas essas contas. Ferramentas de credential stuffing podem testar milhões de combinações por hora, tornando a reutilização de senhas um risco crítico mesmo quando a senha original é complexa.

Gerenciador de senhas

Software que gera, armazena e preenche automaticamente senhas únicas e complexas para cada serviço, protegidas por uma única senha mestra forte. O usuário precisa memorizar apenas essa senha mestra; o gerenciador cuida de todas as demais. Exemplos incluem Bitwarden (código aberto e gratuito), 1Password e Keeper. A adoção de um gerenciador elimina na prática a necessidade de reutilizar senhas e é considerada a medida de proteção individual mais eficaz contra credential stuffing.

2FA (autenticação em dois fatores)

Método de segurança que exige dois tipos de verificação distintos para acessar uma conta: normalmente algo que você sabe (senha) e algo que você tem (um código gerado por aplicativo, um token físico ou uma mensagem SMS). Mesmo que sua senha seja roubada ou vazada, o atacante ainda precisará do segundo fator para acessar a conta. Aplicativos autenticadores (Google Authenticator, Authy) são mais seguros que SMS, que pode ser vulnerável a SIM Swap.

Passkey

Tecnologia de autenticação sem senha baseada em criptografia de chave pública, padronizada pelo FIDO Alliance e suportada por Apple, Google e Microsoft. Uma passkey substitui a senha por um par de chaves matemáticas: a chave privada fica no dispositivo do usuário, protegida por biometria, e a pública é registrada no servidor. Como nenhuma senha é transmitida ou armazenada, ataques de phishing, credential stuffing e vazamentos de banco de dados se tornam ineficazes contra contas protegidas por passkeys.

Perguntas frequentes