No dia 15 de junho de 2026, o serviço gratuito Have I Been Pwned incluiu de uma vez só uma coleção de "stealer logs" com 56,3 milhões de endereços de e-mail e 124 milhões de senhas únicas. Todas viraram pesquisáveis na base pública de senhas vazadas. Se a sua senha estava ali, trocar de senha "a cada 90 dias por costume" não te salvou — porque o problema não é o calendário, é a senha que já está circulando na mão de criminosos.
Aqui vai a parte que surpreende muita gente: o NIST, o instituto americano que define as regras técnicas de senha (documento SP 800-63B, revisão de 2025), determina que sistemas não devem obrigar a troca periódica de senha. A troca só deve ser forçada quando há evidência de que a senha vazou. Ou seja, aquela exigência chata de "crie uma nova senha a cada três meses" é justamente o que a referência oficial mandou parar de fazer. Você troca quando há indício de vazamento — não por hábito.
Como funciona a checagem de vazamento
O Have I Been Pwned (HIBP) foi criado por Troy Hunt em dezembro de 2013. Você digita seu e-mail no site e ele responde se aquele endereço apareceu em vazamentos conhecidos. A busca básica é gratuita e não exige cadastro. Dá ainda para ativar o recurso Notify me, que avisa por e-mail caso o seu endereço caia em algum vazamento futuro.
Tem também o Pwned Passwords, que checa uma senha específica. E aqui está o detalhe que dá confiança: a verificação usa uma técnica chamada k-anonimato. A senha é transformada num código (hash) dentro do seu próprio aparelho, e só os cinco primeiros caracteres desse código viajam pela internet. A senha em si nunca sai do seu dispositivo, nunca chega ao serviço. O sistema processa mais de 18 bilhões de consultas por mês com esse método.
Os checadores que já vêm no seu celular ou navegador usam a mesma lógica de privacidade. O Google Password Checkup (no Chrome ou em passwords.google.com) compara as senhas que você salvou contra bases de vazamento e marca as expostas, repetidas e fracas. O Monitoramento de Senhas da Apple, no app Senhas e no iCloud, faz o mesmo enviando apenas um pedaço minúsculo (um prefixo de 15 bits) de um código — as senhas reais nunca são compartilhadas com a Apple.
Sinais de alerta
- Você recebeu um e-mail de uma empresa avisando que houve vazamento de dados de clientes.
- Seu e-mail aparece no Have I Been Pwned como parte de um ou mais vazamentos.
- O Chrome, o iPhone ou seu gerenciador de senhas marcou alguma senha como "comprometida", "vazada" ou "reutilizada".
- Você usa a mesma senha (ou uma quase igual) em vários sites — basta um deles vazar para abrirem todos.
- Suas contas dependem só de senha, sem nenhum segundo fator de verificação ligado.
Um aviso honesto: o HIBP é um agregador de vazamentos conhecidos. Não aparecer lá é uma boa notícia, mas não é garantia de que sua senha esteja segura. Encare como um alerta que dispara quando algo deu errado, não como um selo de "tudo certo".
Como se proteger
O caminho que FTC, CISA e NIST recomendam é mais simples do que parece e gira em torno de três pilares:
- Senha longa. A FTC pede pelo menos 12 caracteres; o NIST e a CISA recomendam pelo menos 15. Priorize o comprimento, não a salada de símbolos. Uma frase com palavras aleatórias ("cavalo-bateria-grampo-melancia") é forte e fácil de lembrar. O NIST inclusive diz para os sistemas não exigirem regras de composição (misturar maiúscula, número, símbolo) e permitirem colar a senha — exatamente para você poder usar um gerenciador.
- Senha única por site. Cada conta com a sua. Assim, um vazamento isolado não vira efeito dominó. A CISA chama isso de uma das ações essenciais da campanha "Secure Our World".
- Gerenciador de senhas. Ele cria senhas longas e aleatórias e guarda tudo para você. Pode ser o do Google, o da Apple, ou um aplicativo dedicado. Você só precisa lembrar de uma senha-mestra forte.
E ligue a autenticação de dois fatores (2FA). A FTC compara a duas fechaduras na porta: mesmo que o criminoso descubra seu usuário e sua senha, ele não entra sem o segundo fator. Sobre qual segundo fator escolher, a CISA é clara: prefira um app autenticador ou uma passkey (chave de acesso) em vez de código por SMS. O SMS ainda é melhor do que nada, mas é vulnerável à troca de chip (SIM swap) e à interceptação. Em comparativos citados pela CISA, o SMS barrou cerca de 76% dos ataques direcionados, contra perto de 99% dos avisos no próprio aparelho e 100% das chaves físicas de segurança. Trate isso como ordem de grandeza, não número sagrado — a mensagem é: migre do SMS quando der.
Se você já caiu
Achou sua senha em um vazamento? Mantenha a calma e aja na ordem certa. Troque aquela senha primeiro e, em seguida, toda conta onde você usou senha igual ou parecida — esse é o ponto que a FTC mais reforça. Comece pelo e-mail principal e pelas contas de banco, que são as que dão acesso a todo o resto. Ligue o 2FA por app nessas contas na sequência.
Se o vazamento já virou roubo de identidade — alguém abriu conta, fez compra ou pediu crédito no seu nome — vá direto ao IdentityTheft.gov, da FTC. Você preenche online ou liga 1-877-438-4338, e o relatório gera proteções federais e cartas prontas para enviar a credores e aos bureaus de crédito. É gratuito e foi feito para guiar você passo a passo, mesmo sem inglês avançado.
Onde denunciar e saber mais
- Have I Been Pwned — checar se seu e-mail ou telefone vazou (grátis)
- Pwned Passwords — checar se uma senha específica já vazou (k-anonimato, grátis)
- Google — verificar senhas comprometidas (Password Checkup)
- Apple — trocar senhas fracas ou comprometidas no iPhone
- FTC — criar senhas fortes e proteger suas contas
- FTC — usar autenticação de dois fatores (2FA)
- CISA — usar senhas fortes (Secure Our World)
- CISA — autenticação de múltiplos fatores (MFA)
- NIST SP 800-63B — diretrizes oficiais de senha (Rev. 4)
- IdentityTheft.gov — denunciar roubo de identidade e montar plano de recuperação (FTC)
- FTC reportfraud — denunciar fraude ou golpe
