Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 010

Bloqueio de Conta

Revisado porCybersecurity entrepreneur & security researcher

O que é Bloqueio de Conta?

Bloqueio de ContaControlo que bloqueia, temporaria ou permanentemente, tentativas de login apos um numero configurado de falhas consecutivas para travar adivinhacao em linha.


O bloqueio de conta desativa uma conta quando se atinge um limite de tentativas de autenticacao falhadas, elevando o custo de forca bruta e password spraying online. Active Directory, Entra ID, Okta e a maioria das plataformas de autenticacao expoem o trio: numero maximo de tentativas, janela de observacao e duracao do bloqueio (por exemplo 10 falhas em 10 minutos que levam a 30 minutos de bloqueio).

O bloqueio e uma faca de dois gumes. O NIST SP 800-63B recomenda explicitamente rate limiting e throttling inteligente em vez de bloqueios agressivos, porque um atacante que conhece nomes de utilizador validos pode acionar bloqueios de forma deliberada para causar uma negacao de servico, deixando utilizadores reais de fora da folha de pagamento, do correio ou da VPN. Limites agressivos tambem empurram os atacantes para o password spraying: testar uma palavra-passe comum contra milhares de contas mantem-se abaixo de qualquer contador por conta, que e exatamente como os ataques de 2020 atribuidos a grupos APT contra tenants de Office 365 contornaram o bloqueio.

Por isso, as implementacoes modernas preferem controlos mais inteligentes: atrasos progressivos (exponenciais) entre tentativas, throttling por IP de origem e ASN, CAPTCHA apos algumas falhas e sinais de risco. O Microsoft Smart Lockout distingue o utilizador legitimo do atacante atraves de telemetria de localizacao e dispositivo conhecidos, bloqueando apenas a origem maliciosa e preservando os logins reais, e regista os ultimos hashes de palavras-passe erradas para que erros identicos repetidos nao consumam o orcamento. A mitigacao mais solida e remover por completo a palavra-passe como segredo unico: MFA resistente a phishing ou passkeys tornam a adivinhacao online irrelevante.

flowchart TD
  A[Tentativa de login] --> B{Credenciais validas?}
  B -->|Sim| C[Conceder acesso · repor contador]
  B -->|Nao| D[Incrementar contador de falhas]
  D --> E{Contador >= limite<br/>dentro da janela?}
  E -->|Nao| F[Adicionar atraso progressivo · CAPTCHA] --> A
  E -->|Sim| G{Sinal inteligente:<br/>dispositivo / localizacao conhecidos?}
  G -->|Sim utilizador legitimo| H[Permitir · desafio leve]
  G -->|Nao origem atacante| I[Bloquear conta ou origem<br/>durante a duracao do bloqueio]
  I --> J[Alerta / motor de risco]

Exemplos

  1. 01

    Microsoft Entra ID Smart Lockout bloqueia o IP do atacante apos 10 tentativas falhadas sem afetar o utilizador real noutra rede.

  2. 02

    Portal bancario que bloqueia o acesso do cliente durante 30 minutos apos 5 PIN errados.

Perguntas frequentes

O que é Bloqueio de Conta?

Controlo que bloqueia, temporaria ou permanentemente, tentativas de login apos um numero configurado de falhas consecutivas para travar adivinhacao em linha. Pertence à categoria Identidade e acesso da cibersegurança.

O que significa Bloqueio de Conta?

Controlo que bloqueia, temporaria ou permanentemente, tentativas de login apos um numero configurado de falhas consecutivas para travar adivinhacao em linha.

Como se defender contra Bloqueio de Conta?

As defesas contra Bloqueio de Conta costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Bloqueio de Conta?

Nomes alternativos comuns: Politica de bloqueio, Bloqueio de login.

Termos relacionados