Reutilização de palavras-passe
O que é Reutilização de palavras-passe?
Reutilização de palavras-passePrática de usar a mesma palavra-passe em várias contas ou serviços, permitindo que uma única violação comprometa muitas delas.
A reutilização de palavras-passe ocorre quando o utilizador escolhe a mesma palavra-passe, ou variantes triviais, para e-mail pessoal, trabalho, banca e dezenas de outros serviços. Se algum desses serviços for comprometido e a palavra-passe for quebrada ou divulgada, os atacantes podem reproduzir a credencial noutros sites via credential stuffing e assumir mais contas. Estudos e relatórios de incidentes mostram que a reutilização é o principal amplificador das violações baseadas em palavras-passe. Defesas incluem palavras-passe únicas por site geradas por um gestor, verificações obrigatórias contra listas de credenciais comprometidas, MFA e migração gradual para opções sem palavra-passe como passkeys.
● Exemplos
- 01
Palavra-passe vazada de um fórum usada depois para entrar no e-mail e armazenamento na nuvem do mesmo utilizador.
- 02
Colaborador que reutiliza a palavra-passe pessoal na conta corporativa de SSO.
● Perguntas frequentes
O que é Reutilização de palavras-passe?
Prática de usar a mesma palavra-passe em várias contas ou serviços, permitindo que uma única violação comprometa muitas delas. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Reutilização de palavras-passe?
Prática de usar a mesma palavra-passe em várias contas ou serviços, permitindo que uma única violação comprometa muitas delas.
Como funciona Reutilização de palavras-passe?
A reutilização de palavras-passe ocorre quando o utilizador escolhe a mesma palavra-passe, ou variantes triviais, para e-mail pessoal, trabalho, banca e dezenas de outros serviços. Se algum desses serviços for comprometido e a palavra-passe for quebrada ou divulgada, os atacantes podem reproduzir a credencial noutros sites via credential stuffing e assumir mais contas. Estudos e relatórios de incidentes mostram que a reutilização é o principal amplificador das violações baseadas em palavras-passe. Defesas incluem palavras-passe únicas por site geradas por um gestor, verificações obrigatórias contra listas de credenciais comprometidas, MFA e migração gradual para opções sem palavra-passe como passkeys.
Como se defender contra Reutilização de palavras-passe?
As defesas contra Reutilização de palavras-passe costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Reutilização de palavras-passe?
Nomes alternativos comuns: Palavra-passe reutilizada, Palavra-passe partilhada entre contas.
● Termos relacionados
- attacks№ 232
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
- identity-access№ 230
Recolha de credenciais
Recolha em larga escala de utilizadores, palavras-passe, tokens e outros segredos de autenticação, geralmente para posterior tomada de conta ou venda.
- attacks№ 800
Pulverização de palavras-passe
Ataque "low and slow" que testa um pequeno conjunto de palavras-passe comuns em muitas contas, mantendo-se abaixo dos limites de bloqueio e rate-limit.
- identity-access№ 793
Passkey
Credencial FIDO2/WebAuthn resistente a phishing: par de chaves assimétricas ligado ao dispositivo ou sincronizável que substitui as palavras-passe por um desafio-resposta criptográfico.
- identity-access№ 797
Gestor de palavras-passe
Aplicação que gera, armazena e preenche automaticamente credenciais únicas e fortes, protegida por uma frase mestra e, cada vez mais, por passkeys.