Porque é que mudar a palavra-passe com regularidade já não é recomendado?

Porque a rotação forçada sai pela culatra na prática. Quando as pessoas são obrigadas a mudar de palavra-passe muitas vezes, escolhem palavras mais fracas, seguem padrões previsíveis (Primavera2026, depois Verao2026) e reutilizam variações em vários sites. O NIST abandonou o conselho de rotação rotineira em 2017 exatamente por isto. Uma única palavra-passe forte e única que mantém é mais segura do que uma série de palavras fracas que é obrigado a inventar de poucas em poucas semanas.

O que devo fazer em vez de mudar de palavra-passe com frequência?

Três coisas. Use uma palavra-passe longa e única para cada conta — um gestor de palavras-passe cria-as e memoriza-as, para que nunca reutilize nenhuma. Ative a autenticação de dois fatores, que bloqueia uma palavra-passe roubada por si só. E vigie as fugas de dados, para saber exatamente quando uma palavra-passe precisa mesmo de ser mudada. Essa combinação protege-o muito melhor do que mudar de palavras-passe por calendário.

Com Que Frequência Deve Mudar a Palavra-passe? (Orientação 2026)

Q: Com que frequência deve mudar a palavra-passe?

Na maioria das contas, não deve mudar uma palavra-passe forte e única num horário fixo. A orientação moderna de entidades como o NIST diz para mudar uma palavra-passe só quando há um motivo — uma fuga de dados conhecida, uma palavra-passe partilhada ou fraca, ou sinais de que alguém tem acesso. Uma palavra-passe forte e única protegida por autenticação de dois fatores não precisa de rotação rotineira. Mudá-la a cada 30 ou 90 dias sem motivo tende a piorar a segurança, não a melhorá-la.

Q: Quando deve mesmo mudar uma palavra-passe?

Mude uma palavra-passe de imediato se: o serviço anunciar uma fuga de dados; descobrir que a palavra-passe é fraca, reutilizada ou partilhada; vir início de sessão ou atividade desconhecidos; a tiver introduzido num site de phishing ou num dispositivo não fiável; ou se alguma vez a tiver enviado a alguém. Nesses casos, mude-a logo e ative a autenticação de dois fatores. Fora de um motivo real como estes, uma palavra-passe forte e única não precisa de mudança rotineira.

Se o seu departamento de informática ou um velho hábito lhe diz para mudar todas as palavras-passe a cada 90 dias, a resposta moderna pode surpreendê-lo: na maioria das contas, não. A orientação de segurança mudou. Este guia explica com que frequência deve mesmo mudar uma palavra-passe, porque a rotação forçada foi abandonada e o que fazer em vez disso.

A resposta curta

Não mude uma palavra-passe forte e única num horário fixo. Mude-a só quando há um motivo real. É este o consenso atual das entidades de segurança, incluindo o NIST, que abandonou o conselho de rotação rotineira em 2017. Uma palavra-passe forte que mantém, protegida por autenticação de dois fatores, vale mais do que uma série de palavras mais fracas que é obrigado a reinventar.

Porque é que "mudar a cada 90 dias" sai pela culatra

A velha regra parecia prudente, mas piorou as coisas na prática. Quando as pessoas são obrigadas a mudar de palavra-passe muitas vezes, não inventam palavras fortes. Fazem pequenos ajustes previsíveis — Primavera2026! torna-se Verao2026! — e reutilizam padrões em várias contas. O resultado são palavras-passe mais fracas e mais fáceis de adivinhar, e mais reutilização, que é exatamente com o que os atacantes contam.

Uma ampulheta com areia a escorrer, contra um fundo azul

Quando deve mesmo mudar uma palavra-passe

A rotação deve ser desencadeada por eventos, não pelo calendário. Mude uma palavra-passe de imediato se:

O serviço anunciar uma fuga de dados ou encontrar a sua conta numa.
A palavra-passe for fraca, reutilizada ou partilhada com alguém.
Notar inícios de sessão desconhecidos ou atividade estranha na conta.
A tiver escrito num site de phishing ou num dispositivo não fiável.
Alguma vez a tiver enviado a alguém, mesmo a si próprio, por mensagem ou email.

Em qualquer destes casos, mude-a de imediato e ative a autenticação de dois fatores.

Crie uma palavra-passe única para cada conta — BitwardenGestor de palavras-passe de código aberto e auditado que cria e memoriza palavras-passe fortes e únicas, para nunca reutilizar nem mudar à mão→

O que fazer em vez disso

Mudar por rotina é o hábito errado. Estes três são os certos:

Use uma palavra-passe única para cada conta. Um gestor de palavras-passe cria e guarda palavras-passe longas e aleatórias, para que nunca reutilize nem se esqueça de nenhuma.
Ative a autenticação de dois fatores. Bloqueia uma palavra-passe roubada por si só, o que importa muito mais do que a frequência da rotação.
Vigie as fugas de dados. Assim sabe exatamente quando uma palavra-passe precisa mesmo de ser mudada — em vez de adivinhar por horário.

A conclusão

A resposta honesta e atual à pergunta "com que frequência devo mudar a palavra-passe" é: não por horário — só quando algo acontece. A rotação forçada era bem-intencionada, mas empurrava as pessoas para palavras-passe mais fracas e repetidas. Troque esse hábito por palavras-passe fortes e únicas, um gestor para as guardar e autenticação de dois fatores. É isso que mantém mesmo as contas seguras em 2026.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Obter NordPassGarantia de reembolso de 30 dias · Plano gratuito disponível→