Do corporativo ao usuário comum, a segurança digital depende de hábitos básicos: senhas longas e protegidas por autenticação multifator
O recente caso do Museu do Louvre, que utilizava “Louvre” como senha para o próprio sistema de segurança, expôs um problema antigo e ainda amplamente negligenciado por empresas e usuários: a fragilidade das senhas e a ausência de políticas eficazes de governança digital.
Em plena era da inteligência artificial, da autenticação biométrica e dos sistemas avançados de proteção de dados, ainda é comum que organizações de grande porte e usuários comuns cometam erros básicos que comprometem a integridade de sistemas e expõem informações sensíveis.
Para o advogado Fernando Moreira, especialista em Direito Empresarial e doutor em Engenharia de Produção com ênfase em Governança e Compliance, o episódio “revela uma cultura de cibersegurança imatura e complacente, na qual a segurança digital é tratada como um custo de TI, e não como um pilar essencial da governança corporativa”.
Senhas reutilizadas
De acordo com a Cybersecurity Ventures, os crimes cibernéticos devem custar ao mundo US$ 10,5 trilhões até 2025, e parte expressiva desses incidentes começa exatamente com senhas frágeis ou reutilizadas.
Segundo Moreira, o caso do museu francês é simbólico porque escancara algumas falhas.
“O erro técnico foi o uso de uma senha óbvia e relacionada ao próprio nome da instituição, a primeira que um invasor tentaria. O erro de gestão foi não haver políticas mínimas que impedissem a criação de senhas tão fracas, além da ausência de auditoria de acessos”, explica.
O que torna uma senha realmente segura
O advogado destaca que, para ser considerada realmente segura, uma senha deve seguir três princípios fundamentais: comprimento, complexidade e unicidade.
“O comprimento é o fator mais importante. O ideal é que tenha entre 12 e 16 caracteres, podendo ser uma frase-senha, mais longa e fácil de lembrar, mas difícil de quebrar. Além disso, ela precisa ser única. Usar a mesma senha em vários lugares é o equivalente digital de usar a mesma chave para casa, carro e escritório”, afirma.
Ele reforça que essa prática de reutilização é uma das mais perigosas e recorrentes tanto entre usuários quanto em empresas.
Risco exponencial
“O uso da mesma senha em diferentes plataformas multiplica o risco de forma exponencial. Esse é o princípio do ataque conhecido como credential stuffing, no qual criminosos utilizam combinações de usuários e senhas obtidas em vazamentos menores para testar automaticamente em serviços de maior valor, como bancos, e-mails corporativos e redes sociais”, alerta Moreira.
Segundo ele, “mesmo que a senha seja considerada ‘forte’, no momento em que ela vaza de um único serviço, todas as outras contas que a compartilham ficam instantaneamente vulneráveis”.
Autenticação: a segunda barreira que faz toda a diferença
A prática antiga de trocar senhas a cada 90 dias já foi superada e hoje é vista como contraproducente, pois estimula o uso de combinações fracas e previsíveis.
O ideal, segundo Moreira, é manter senhas únicas e longas, substituindo-as apenas em caso de suspeita de vazamento ou comprometimento.
O verdadeiro reforço de segurança, no entanto, vem da autenticação de dois fatores (2FA), que cria uma camada adicional de proteção.
“Não basta saber a senha; é preciso ter outro fator de validação, algo que você possui, como um celular que recebe um código, ou algo que você é, como a biometria. Essa segunda barreira neutraliza a principal falha das senhas: o fato de poderem ser roubadas. Mesmo que o invasor descubra a senha, ele será bloqueado se não tiver acesso físico ao dispositivo de verificação”, explica.
Cultura de segurança digital: a base da proteção
O especialista explica que, em grandes organizações, o uso de senhas fracas pode abrir caminho para ataques de ransomware, paralisar operações, expor dados sensíveis e causar prejuízos milionários, além de danos reputacionais e possíveis responsabilizações legais, inclusive perante a Autoridade Nacional de Proteção de Dados (ANPD).
Para o usuário comum, as consequências também são sérias: roubo de identidade digital, invasão de contas em redes sociais e e-mails, frequentemente usados para golpes, e acesso indevido a contas bancárias.
Quando uma senha é comprometida, o advogado recomenda uma resposta rápida e estruturada.
“O usuário individual deve alterar imediatamente a senha afetada, revisar outras contas onde ela possa ter sido reutilizada e ativar a autenticação de dois fatores em todas as plataformas possíveis. Já as empresas precisam seguir um Plano de Resposta a Incidentes, que envolve conter o problema, investigar a origem do vazamento, corrigir vulnerabilidades e comunicar os usuários e autoridades competentes.”
Sistemas obsoletos
O especialista alerta ainda que falhas como a do Louvre são agravadas pelo uso de sistemas obsoletos.
“Softwares e hardwares que atingem o fim de vida deixam de receber atualizações de segurança, o que significa que qualquer falha conhecida permanece aberta indefinidamente. Além disso, esses sistemas antigos muitas vezes não suportam tecnologias modernas, como criptografia forte ou autenticação multifatorial, obrigando a instituição a depender exclusivamente de senhas, o que, por si só, já é um risco enorme.”
Para evitar que falhas básicas se repitam, Moreira defende que a gestão de acessos seja tratada como parte integrante da governança e do compliance das empresas, e não como uma função isolada da área de TI.
Segurança digital
“A primeira linha de defesa deve ser formada pelos próprios gestores de negócio, responsáveis pela revisão periódica de acessos; a segunda, pelas áreas de risco e compliance, que definem políticas obrigatórias, como o uso de MFA e o princípio do privilégio mínimo; e a terceira, pela auditoria, que precisa verificar se essas políticas estão sendo efetivamente aplicadas, e não apenas registradas no papel.”
Na visão do especialista, o caso do Louvre é um lembrete poderoso de que a segurança digital começa nos detalhes mais simples e nas falhas mais humanas.
“A tecnologia pode ser de ponta, mas de nada adianta se for sustentada por práticas frágeis. Segurança da informação deve ser uma cultura, não uma obrigação técnica. Uma senha fraca pode custar milhões, o preço da conscientização é muito menor”, finaliza.
Fonte: Fernando Moreira, advogado especialista em Direito Empresarial e doutor em Engenharia de Produção com ênfase em Governança e Compliance .
°C 
