Pare de trocar senhas periodicamente

Durante anos, a troca periódica de senhas foi tratada como um dogma: “você precisa trocar as senhas a cada 30/60/90 dias ou o mundo vai acabar”. Hoje, com evidência empírica, telemetria real de ataques, estudos sérios e frameworks modernos, o consenso técnico nos diz que forçar a troca de senhas oferece pouco valor e, às vezes, reduz a segurança.

Por que trocar senhas não melhora a segurança (e às vezes a prejudica)

O atacante não “espera” a troca

Se uma senha foi comprometida o dano ocorre em minutos ou horas, não em 89 dias. Atacantes raramente esperam meses para usar uma senha. Mesmo em casos onde o dano não seja percebido imediatamente, o mais provável é que o atacante se mova lateralmente e assegure o acesso comprometendo outras credenciais ou contas de serviço, ou instalando algum tipo de ameaça persistente.

Alguns exemplos de ataques:

• Phishing → acesso imediato
• Malware/ransomware → acesso prolongado ou exfiltração instantânea
• Credential stuffing → automatizado e massivo, acesso imediato

Trocar senhas a cada X dias não mitiga nada disso. É como trocar a fechadura uma vez por trimestre, depois que já invadiram.

NIST SP 800-63B, em sua publicação de 2024 (atualizada em julho de 2025) diz explicitamente   :

Os verificadores NÃO DEVERIAM exigir que segredos memorizados sejam trocados arbitrariamente (por exemplo, periodicamente). No entanto, os verificadores DEVEM forçar a troca se houver evidência de comprometimento do autenticador.

A Microsoft também removeu políticas de expiração de senha de sua baseline de segurança do Windows   , considerando-as pouco úteis comparadas à autenticação multifator (MFA) e monitoramento de incidentes.

Trocar gera senhas mais fracas (o “síndrome Password2025!”)

A troca periódica assume que os usuários podem memorizar segredos novos e sólidos sem recorrer a métodos menos seguros, mas o comportamento humano é previsível e bem estudado. Quando se força a troca, acontecem coisas como:

• MinhaEmpresa2024! → MinhaEmpresa2025!
• SenhaSegura1 → SenhaSegura2

Atacantes modelam isso perfeitamente, e de forma automatizada se necessário.

Em outros casos, a senha pode acabar anotada em um papel ou nota digital insegura, com o mesmo efeito negativo para a segurança do sistema.

Em resumo, em vez de adicionar entropia real à autenticação, trocas forçadas de senha adicionam lixo que enfraquece o sistema, gerando, no melhor cenário, esforço mínimo extra para o atacante e falsa sensação de segurança para a organização.

Aumenta o risco operacional

Essa prática também eleva o risco operacional ao gerar problemas práticos e humanos. Ao exigir mudanças frequentes, aumentam os tickets de reset, consumindo tempo e recursos, e também aumentando a probabilidade de usuários tomarem atalhos: anotando senhas em lugares inseguros ou reutilizando em múltiplos sistemas. Isso aumenta a chance de credenciais serem vazadas ou exploradas por atacantes.

A fricção adicional também leva funcionários a “bypasses” temporários, como não trocar a senha corretamente ou usar métodos menos seguros, criando risco persistente. E o mais perigoso: na maioria dos incidentes graves, o problema não é criptográfico —a força da senha em si— mas como humanos e processos operacionais lidam (ou mal lidam) com essas senhas.

Não protege contra ataques reais

Analisando ataques reais que dominam o cenário atual, fica claro que a troca periódica de senhas é, no melhor caso, irrelevante.

Na prática, só é útil contra ataques offline extremamente lentos, tentando quebrar um hash por meses sem acesso prévio… cenário cada vez mais raro. Em 2025, ataques são rápidos, automatizados e de acesso imediato, e aí a troca periódica chega tarde e mal.

Então… o que fazer em vez de trocar senhas?

A resposta não é uma tecnologia única, mas uma mudança de abordagem: de controles rituais e estáticos para mecanismos que realmente reduzem erros humanos e bloqueiam ataques reais. Em vez de trocar senhas periodicamente sem contexto, fortaleça a identidade, reduza dependência de segredos reutilizáveis, detecte compromissos cedo e reaja conforme o risco. Abaixo alguns controles que elevam a segurança hoje.

Senhas longas, únicas e estáveis

Mudar o paradigma de senhas curtas, complexas e rotativas, e focar no que realmente traz segurança: senhas longas, únicas e sem expiração arbitrária.

Dentro das recomendações atuais do NIST, ENISA e Microsoft encontramos:

• Mínimo de 12–14 caracteres (melhor 16+)
• Permitir passphrases
• Não forçar símbolos absurdos
• Bloquear senhas conhecidas/vazadas

Sob a abordagem proposta por essas organizações, uma passphrase longa, única e não comprometida não precisa ser trocada por calendário porque sua força não se degrada com o tempo, devendo ser alterada apenas quando houver evidência de exposição.

Autenticação multifator (MFA), mas não qualquer uma

O uso de MFA forte é, hoje, a medida individual que mais impacto real tem contra ataques baseados em credenciais, mas somente se implementado corretamente. Não basta ter MFA para marcar o item de conformidade: nem todo MFA oferece o mesmo nível de proteção. Os mecanismos mais fracos, como SMS, estão expostos a ataques de SIM swap, vulnerabilidades estruturais do protocolo e phishing em tempo real; até alguns esquemas de OTP reutilizável sem vínculo forte com o dispositivo ou sessão podem ser interceptados ou reenviados por malware. Nesses casos, o segundo fator existe, mas sua capacidade de barrar um atacante determinado é limitada.

Um MFA bem implementado aumenta drasticamente o custo do ataque. Soluções como TOTP via aplicativos, notificações push com number matching, certificados por usuário ou dispositivo e, especialmente, chaves de hardware FIDO2 reduzem significativamente a efetividade de phishing e credential stuffing.

O nível mais alto é atingido com MFA resistente a phishing, como FIDO2/WebAuthn, passkeys ou smart cards, onde não existe um segredo reutilizável que o usuário possa entregar por engano e onde a autenticação está criptograficamente ligada à origem legítima do serviço.

A Microsoft demonstrou que o MFA bloqueia mais de 99% dos ataques baseados em credenciais. Diante disso, a rotação periódica de senhas se mostra um controle de baixo impacto que não impede ataques reais e que sobrevive apenas por inércia.

Em resumo:

Ruim:

• SMS
• OTP reutilizável sem binding

Bom:

• TOTP (apps)
• Notificações push com number matching
• Certificados
• Hardware keys (FIDO2)

Excelente (MFA resistente a phishing):

• FIDO2 / WebAuthn
• Passkeys
• Smart Cards

Autenticação moderna: passwordless

O futuro e o presente da autenticação não se tratam de criar senhas melhores, mas de eliminar a senha como vetor de risco, o que chamamos de passwordless.

Em vez de depender de segredos que podem ser roubados, reutilizados ou adivinhados, utilizam-se mecanismos criptográficos vinculados de forma única ao usuário e ao dispositivo. Hoje existem várias implementações maduras dessa ideia: passkeys baseadas em FIDO2 combinadas com biometria local, certificados emitidos por dispositivo, smart cards ou chaves de hardware como YubiKeys, e soluções integradas em ambientes corporativos como Windows Hello for Business.

Esses mecanismos apresentam várias vantagens: não há segredo reutilizável, não são vulneráveis a ataques como phishing ou credential stuffing, e não há rotação (com o desgaste que isso gera para usuários e administradores).

Implementar autenticação passwordless elimina classes inteiras de ataques, não apenas os dificulta um pouco.

Detecção de comprometimento e rotação reativa

Aqui está a diferença chave: trocar por calendário é inútil, mas trocar por evento é efetivo.

Existem eventos que sim justificam a troca imediata de senhas:

• Phishing confirmado
• Malware no dispositivo
• Login anômalo
• Token roubado
• Brecha de terceiros
• Credential leak detectado

É claro que, para detectar e gerenciar isso adequadamente, são necessárias tecnologias como gestão de identidades (IAM) com telemetria, UEBA   , acesso condicional e alertas em tempo real. Isso ajuda a implementar uma autenticação segura e com gestão baseada em sinais.

Zero Trust, controles adaptativos

Do modelo Zero Trust (“Confiança zero”) podemos falar bastante, é muito interessante e uma forma robusta de proteger nossos sistemas, mas neste artigo pretendo focar em um de seus pilares: a identidade. Este modelo redefine a segurança em torno da premissa de que nunca se deve confiar cegamente na identidade, mesmo que esta tenha sido autenticada corretamente. Nesse enfoque, a identidade se torna um de vários indicadores de confiança, avaliados em tempo real segundo múltiplos fatores: quem é o usuário, qual dispositivo utiliza, de qual localização tenta acessar, o nível de risco associado, o contexto da operação e o comportamento histórico dessa identidade. Cada tentativa de acesso é analisada dinamicamente e decide-se quais medidas aplicar, criando um sistema adaptativo que responde ao risco em vez de aplicar regras estáticas.

Ao avaliar usuário, dispositivo, localização, risco, contexto e comportamento, são tomadas decisões adaptadas conforme a necessidade, tais como: aplicar MFA apenas se houver risco, bloquear o dispositivo se estiver fora de conformidade com as políticas de segurança (ex.: desatualizado ou de alguma forma comprometido), reautenticação quando o contexto muda, ou autenticação por etapas (step-up authentication) para operações sensíveis, entre outros possíveis.

A senha não é a barreira principal, é um sinal a mais que se combina com outros fatores para avaliar a legitimidade do acesso. Isso reduz radicalmente a exposição a ataques baseados em credenciais comprometidas, o que, em conjunto com a segurança dos demais pilares do Zero Trust (além da Identidade: Dispositivo, Rede, Aplicação e Dados), oferece uma postura de segurança certamente robusta.

E no PAM? Aí sim trocamos, mas é preciso fazer direito

Há uma exceção importante ao que foi mencionado anteriormente: no contexto da Gestão de Acesso Privilegiado (PAM), a rotação de credenciais faz sentido, mas deve ser aplicada de maneira estritamente controlada e automatizada, porque aqui estamos falando de contas privilegiadas, não de usuários humanos comuns. Nesses casos, os segredos — sejam senhas, chaves API ou certificados — são trocados automaticamente, com frequência e sem que administradores ou usuários humanos os conheçam. Isso evita a exposição acidental ou maliciosa de credenciais críticas e garante que os acessos privilegiados não dependam da memória ou do comportamento das pessoas.

Um sistema PAM bem implementado inclui várias práticas-chave: um cofre centralizado para armazenar e gerenciar segredos, rotação pós-uso de credenciais para que cada sessão gere um segredo novo, processos de check-in/check-out para controlar quem e quando acessa (idealmente incorporando fluxos de verificação/aprovação), gravação de sessões para auditar ações, e acesso Just-In-Time (JIT) para conceder privilégios apenas pelo tempo necessário.

Isso não contradiz o que foi dito antes: funciona em paralelo com a gestão de identidade de usuários humanos, que deve se basear em controles que proporcionem uma identidade forte, enquanto máquinas ou contas privilegiadas operam com segredos efêmeros, minimizando assim os riscos específicos dessas contas.

Em resumo, a rotação periódica de senhas deixou de ser uma medida efetiva: não impede ataques modernos, gera senhas fracas devido ao comportamento humano, cria carga operacional desnecessária e oferece uma falsa sensação de segurança. As estratégias que realmente aumentam a proteção são aquelas que atacam o risco real: usar passphrases longas e únicas, implementar MFA forte e resistente a phishing, avançar para autenticação passwordless, monitorar e detectar comprometimentos em tempo real, aplicar rotação de credenciais apenas quando houver evidência de exposição, adotar uma abordagem Zero Trust e gerenciar corretamente os acessos privilegiados por meio de uma plataforma PAM sólida. Se sua política ainda se concentra em mudanças de senha conforme um calendário, você não está protegendo sua organização, apenas mantendo um ritual que tranquiliza, mas não oferece proteção real.