Um hábito herdado do passado que hoje traz mais riscos do que proteção
Durante décadas, políticas de segurança digital exigiam que funcionários alterassem suas senhas a cada 60, 90 ou 120 dias. Essa prática, conhecida como expiração de senha, foi considerada uma medida essencial de proteção. No entanto, o tempo mostrou que ela não apenas perdeu o sentido — como também pode aumentar os riscos de segurança.
Neste artigo, vamos entender a origem dessa política, por que ela se tornou obsoleta e quais práticas realmente fortalecem a segurança das senhas nos dias atuais.
A origem da expiração de senhas
A política de expiração de senhas surgiu há décadas, quando se estimava que um computador precisaria de cerca de 90 dias para quebrar o hash médio de uma senha. Assim, a ideia era simples: se os hackers levavam três meses para decifrar uma senha, bastava trocá-la dentro desse período para “escapar” de possíveis invasões.
Esse raciocínio, embora lógico à época, acabou se transformando em folclore de segurança. Organizações e normas (como o PCI-DSS) perpetuaram essa prática sem reavaliar o modelo de ameaça — e ela foi sendo aplicada de forma automática por anos, mesmo quando já não fazia mais sentido.
Por que a expiração de senhas não faz mais sentido
1. O modelo de ameaça mudou
Hoje, os hackers não precisam de meses para quebrar uma senha fraca. Com o poder da nuvem e GPUs modernas, senhas simples podem ser descobertas em segundos.
Mas, mais importante: as senhas raramente são “descobertas” — elas são roubadas. Phishing, keyloggers, engenharia social e vazamentos em massa são as principais fontes de comprometimento.
Quando uma senha é coletada, o invasor age em horas, não em meses. Ou seja, mudar a senha a cada 90 dias não protege ninguém.
2. O custo comportamental é alto
Alterar senhas constantemente causa frustração, perda de produtividade e até práticas inseguras — como anotar senhas em post-its ou criar padrões previsíveis (“Senha2023”, “Senha2024”…).
Além do custo técnico, existe um custo cultural: funcionários passam a enxergar a segurança como algo incômodo e burocrático.
3. O risco real aumenta
Ao obrigar trocas frequentes, as pessoas criam senhas fáceis de lembrar e de prever. Isso gera um ciclo vicioso de insegurança.
E se você ainda mantém um histórico de senhas antigas no sistema? Parabéns — você acaba de fornecer ao invasor múltiplos hashes para atacar.
Em suma: expiração de senha não impede ataques — apenas aumenta a superfície de risco.
O que realmente funciona hoje
Em vez de políticas ultrapassadas, especialistas em segurança — incluindo nomes como Per Thorsheim, Dr. Cormac Herley (Microsoft) e Gene Spafford (Purdue) — recomendam práticas modernas e eficazes, como:
1. Use senhas longas (e não apenas complexas)
O comprimento da senha é mais importante do que a mistura de símbolos e números. Uma senha longa e fácil de lembrar (como uma frase) é muito mais segura que uma senha curta e complicada.
2. Use senhas únicas para cada conta
Evite repetir senhas. Utilize um gerenciador de senhas para armazená-las de forma segura.
3. Ative a autenticação multifator (MFA)
Mesmo que sua senha seja comprometida, o invasor dificilmente passará pela segunda camada de verificação.
4. Só mude a senha quando houver suspeita de comprometimento
Em vez de prazos fixos, mude suas senhas apenas quando houver indício real de vazamento ou acesso indevido.
5. Documente controles compensatórios
Se normas de conformidade exigirem a expiração de senhas (como o PCI-DSS), registre formalmente controles alternativos que garantam segurança sem recorrer à troca periódica.
O futuro das senhas
Diretrizes modernas — como o NIST SP800-63B e as recomendações do governo do Reino Unido — já orientam o abandono da expiração de senhas.
Essas normas refletem o que a segurança digital moderna já sabe: segurança efetiva vem de práticas inteligentes, não de tradições automáticas.
Conclusão
A expiração de senhas teve seu papel histórico, mas hoje ela representa um custo alto, pouco benefício e um falso senso de segurança.
É hora de modernizar as políticas de autenticação — adotando senhas longas, MFA e ferramentas de gestão de credenciais.
Porque, no fim das contas, segurança de verdade é aquela que protege — não a que incomoda.
Nenhum comentário! Seja o primeiro.