Ferramenta de senhas Voltar ao gerador

Guia de segurança

Como verificar se uma senha foi vazada

Aprenda maneiras seguras de responder a possíveis vazamentos de senha sem colar senhas reais em sites não confiáveis.

Resumo

Se você suspeitar que uma senha foi vazada, a resposta mais segura geralmente é substituí-la em vez de colá-la em sites desconhecidos. Uma verificação de vazamento só é útil quando o serviço tem um design de privacidade confiável e você entende o que está sendo enviado.

Use o verificador de força de senha para análise local de padrões, mas não o trate como um banco de dados de violações.

O que fazer primeiro

Altere a senha a partir de um dispositivo confiável. Se a mesma senha foi reutilizada, altere todas as contas afetadas. Comece com e-mail, banco, trabalho, armazenamento em nuvem e contas de recuperação do gerenciador de senhas.

Revise o estado da conta

Revogue sessões ativas, verifique as configurações de e-mail e telefone de recuperação, revise regras de encaminhamento, remova acesso suspeito de aplicativos e ative MFA ou chaves de acesso.

Orientação detalhada

Este guia foca em verificar se uma senha pode ter aparecido em violações sem expô-la descuidadamente. Ele é escrito para usuários que ouviram falar de uma violação e querem responder com segurança, então o objetivo prático não é criar uma alegação dramática de segurança. O objetivo é escolher um hábito de senha que possa sobreviver ao uso diário: formulários de login, gerenciadores de senhas, teclados de dispositivos móveis, recuperação de conta, dispositivos compartilhados e o serviço ocasional com regras de validação estranhas. Uma recomendação segura só é útil se uma pessoa real puder segui-la consistentemente.

O ponto de partida mais seguro é aleatoriedade mais exclusividade. Aleatoriedade significa que o valor é selecionado de um espaço grande por uma fonte aleatória criptograficamente adequada, não inventado a partir de um aniversário, nome de animal de estimação, padrão de teclado ou citação favorita. Exclusividade significa que a mesma senha não é usada em nenhum outro lugar. Uma senha longa, mas reutilizada, pode falhar rapidamente após uma violação não relacionada, enquanto uma senha aleatória exclusiva limita o dano à única conta onde foi usada.

Para este tópico, uma predefinição prática é análise local de padrões primeiro, depois serviços confiáveis de alerta de violação quando necessário. Você pode aplicar essa predefinição com o verificador de força de senha e então armazenar o valor final em um gerenciador de senhas confiável. O PwdGen gera valores localmente no navegador com Web Crypto; a senha gerada não é enviada para um servidor PwdGen. Esse design local reduz a exposição no lado do servidor, mas não protege contra todas as ameaças. Uma extensão de navegador maliciosa, um dispositivo comprometido, uma página de phishing ou manuseio inseguro da área de transferência ainda podem expor um segredo após sua geração.

Os problemas mais comuns a evitar são digitar senhas reais em sites desconhecidos, pesquisar senhas exatas em logs e assumir que nenhum resultado significa nenhum risco. Esses problemas importam porque os atacantes raramente precisam forçar todas as senhas possíveis quando os hábitos humanos lhes dão um atalho. Credential stuffing, phishing, listas de senhas vazadas e abuso de recuperação de conta são frequentemente mais realistas do que uma busca matemática pura. É por isso que o melhor conselho combina qualidade da senha com controles no nível da conta, como MFA, chaves de acesso, armazenamento de códigos de recuperação e revisão regular das configurações de e-mail ou telefone de recuperação.

Use esta lista de verificação ao aplicar a recomendação:

Se um site rejeitar a configuração ideal, não force a senha manualmente em um padrão mais fraco. Ajuste uma variável de cada vez. Se símbolos forem rejeitados, mantenha maiúsculas, minúsculas e números ativados e aumente o comprimento. Se o comprimento máximo for baixo, use o maior comprimento aceito e certifique-se de que o valor seja exclusivo. Se uma senha precisar ser lida em voz alta, impressa ou digitada em uma tela de televisão ou roteador, considere excluir caracteres confusos e aumentar o comprimento para compensar o alfabeto menor.

Finalmente, lembre-se do limite do conselho sobre senhas. Uma senha forte é uma camada de defesa, não uma garantia. Ela não pode tornar uma página de phishing segura, corrigir malware ou compensar um serviço que armazena credenciais de forma inadequada. O hábito útil é chato, mas durável: gere um valor exclusivo, armazene-o com segurança, proteja o caminho de recuperação e substitua-o rapidamente se suspeitar de exposição.

Um próximo passo seguro

Após ler este guia, faça uma pequena auditoria de conta em vez de tentar consertar tudo de uma vez. Escolha a conta que causaria mais problemas se fosse assumida, confirme que sua senha é exclusiva e verifique o e-mail de recuperação, telefone de recuperação, método MFA e armazenamento de código de backup. Se qualquer parte dessa cadeia estiver fraca, melhore essa parte antes de passar para contas de menor risco. Essa ordem mantém o trabalho gerenciável e protege as contas que os atacantes têm mais probabilidade de usar como trampolim. Para saber como verificar se uma senha foi vazada, o melhor resultado é um hábito repetível: gerar localmente, armazenar com cuidado e evitar reutilização.

Perguntas frequentes

Devo colar minha senha em sites aleatórios de verificação de vazamento?

Não. Use apenas serviços confiáveis de verificação de violação com design de privacidade claro, ou altere a senha em vez de testá-la.

O que devo fazer após um vazamento?

Altere a senha afetada, altere senhas reutilizadas, revogue sessões, revise as configurações de recuperação e ative MFA.

O PwdGen pode verificar bancos de dados de violação?

Não. O PwdGen fornece estimativas locais de força e tempo de quebra, não uma consulta remota de senhas violadas.

Fontes