Politica de senhas em 2026: o que mudou e o que sua empresa precisa

O colapso das senhas tradicionais: por que tudo mudou em 2026

Durante mais de duas décadas, as políticas de senha corporativas seguiram um manual praticamente imutável: obrigue o usuário a misturar maiúsculas, minúsculas, números e caracteres especiais; force a troca a cada 60 ou 90 dias; bloqueie a conta após três tentativas erradas. Esse modelo nasceu em um contexto em que o principal vetor de ataque era o ataque de força bruta e em que a criatividade humana ainda era considerada a melhor defesa contra adivinhação. O problema é que, em 2026, nada disso corresponde à realidade dos ataques que chegam às caixas de entrada das empresas brasileiras.

Os dados que sustentam essa mudança são contundentes. Relatórios do Verizon Data Breach Investigations Report dos últimos três anos apontam consistentemente que mais de 80% das violações envolvem credenciais comprometidas, e o vetor dominante deixou de ser a força bruta para se tornar o credential stuffing — o uso automatizado de bases vazadas de usuário e senha contra portais corporativos. Nesse cenário, a complexidade da senha importa muito menos do que o fato de ela já estar exposta em algum dump público. Uma senha de 14 caracteres com símbolos que foi reaproveitada do LinkedIn vazado em 2012 é, na prática, uma senha pública.

O NIST (National Institute of Standards and Technology), referência normativa dos Estados Unidos que pauta boa parte das políticas de segurança no Brasil, publicou em 2024 a revisão 4 da SP 800-63B e consolidou uma virada de chave: políticas de senha agora devem favorecer comprimento sobre complexidade, memorização sobre rotação forçada e verificação contra bases de vazamento sobre regras de composição. Essa é a base da mudança que toda empresa precisa absorver em 2026.

O que o NIST SP 800-63B revisão 4 determina agora

A nova orientação do NIST inverte boa parte do que se ensinava. As regras centrais da revisão 4 podem ser resumidas em um conjunto claro de diretrizes que todo CIO e gestor de TI deveria internalizar antes de auditar sua própria política. Abaixo, as mudanças mais relevantes:

• Comprimento mínimo de 15 caracteres para senhas usadas em autenticação de fator único, e mínimo de 8 quando combinadas com MFA. O antigo patamar de 8 caracteres passou a ser considerado insuficiente.
• Proibição de regras de composição obrigatórias. Não se deve mais exigir maiúscula + número + caractere especial. Essas regras produzem senhas previsíveis (Senha@123 é o exemplo clássico) e não aumentam a entropia real.
• Fim da rotação periódica compulsória. Senhas só devem ser trocadas em caso de evidência de comprometimento. Rotação a cada 60 ou 90 dias estimula padrões fracos e anotações em post-its.
• Verificação obrigatória contra bases de senhas vazadas. Toda nova senha precisa ser checada em listas de credenciais já comprometidas, como a base do Have I Been Pwned (mais de 13 bilhões de senhas catalogadas).
• Permissão e incentivo ao uso de passphrases — frases longas de 4 a 6 palavras com espaços, porque aumentam entropia e memorização ao mesmo tempo.
• Suporte obrigatório a gerenciadores de senha, inclusive permitindo o comando "colar" nos campos de autenticação, prática antes bloqueada por muitos sistemas.
• Proibição de "pistas" (hints) e de perguntas de segurança baseadas em informações públicas (nome da mãe, cidade de nascimento, primeiro carro).

Essas diretrizes não são recomendações vagas — elas estão sendo incorporadas por frameworks como ISO/IEC 27001:2022, pelo controle 8.5 do CIS Controls v8, pela LGPD na avaliação de medidas técnicas adequadas e, em contratos B2B, por auditorias SOC 2 Type II. Ou seja, empresas que permanecem em políticas dos anos 2010 começam a falhar em avaliações de fornecedor e em ciclos de due diligence comercial.

Passkeys, FIDO2 e o caminho para o fim da senha

Paralelamente ao reposicionamento das senhas tradicionais, 2026 consolida a adoção em larga escala das passkeys — credenciais criptográficas baseadas no padrão FIDO2/WebAuthn que substituem completamente a senha. Apple, Google e Microsoft padronizaram o suporte em seus ecossistemas, e serviços corporativos como Microsoft 365, Google Workspace, AWS, GitHub e os principais ERPs brasileiros já oferecem login por passkey como opção primária.

A diferença de modelo de ameaça é profunda. A passkey armazena uma chave privada no dispositivo do usuário (protegida por biometria ou PIN) e nunca transmite um segredo compartilhado pela rede. Isso significa que ataques de phishing, credential stuffing e man-in-the-middle — responsáveis pela esmagadora maioria dos incidentes de 2023 a 2025 — deixam de funcionar. Um usuário não tem como "digitar sua passkey em um site falso", porque ela simplesmente não é digitada.

Segundo a FIDO Alliance, organizações que migraram para passkeys em fluxos de autenticação primária relataram queda média de 87% em incidentes relacionados a credenciais e redução de 75% nos chamados de help desk para reset de senha — impacto direto no custo operacional de TI.

Para empresas brasileiras, a pergunta em 2026 não é mais "devemos adotar passkeys?", mas "em quais fluxos começar a migração?". A recomendação prática é priorizar contas administrativas, acessos a consoles de nuvem, repositórios de código e sistemas financeiros — ambientes onde o ganho de segurança é imediato e a base de usuários é controlada o suficiente para pilotar a mudança sem fricção.

MFA obrigatório, phishing-resistant e o fim do SMS

Mesmo onde a senha ainda existe, ela não pode mais ser o único fator. Autenticação multifator deixou de ser diferencial de maturidade para se tornar baseline regulatório. A Microsoft anunciou em 2024 a exigência de MFA para acesso ao portal Azure, Entra e Microsoft 365 Admin Center, e em 2026 essa exigência foi estendida para uma lista crescente de aplicações. Bancos, adquirentes e operadoras de cartão no Brasil adotaram postura semelhante, com o Banco Central reforçando recomendações via resoluções específicas.

O ponto de atenção é a qualidade do segundo fator. SMS e chamadas telefônicas estão formalmente desaconselhados pelo NIST desde a revisão 3, em função de ataques de SIM swap cada vez mais comuns no Brasil — especialmente em operações de fraude financeira. Em 2026, a hierarquia recomendada para o segundo fator é:

1. Passkey / chave de segurança FIDO2 (YubiKey, Titan Key, ou passkey residente no dispositivo) — resistente a phishing.
2. Aplicativo autenticador com number matching (Microsoft Authenticator, Google Authenticator, Authy) — bom equilíbrio entre segurança e usabilidade.
3. Códigos TOTP de 6 dígitos — aceitável como fallback.
4. SMS e ligação de voz — apenas como último recurso, jamais como fator primário em contas privilegiadas.

Empresas que ainda operam com MFA por SMS em contas administrativas estão, na prática, assinando uma brecha conhecida. Um relatório da CISA de 2025 mostrou que 78% dos comprometimentos de conta em ambientes Microsoft 365 envolveram bypass de MFA baseado em SMS ou em notificações push sem number matching.

Como implementar uma política de senhas moderna passo a passo

Traduzir as novas diretrizes em uma política corporativa aplicável exige mais do que reescrever o documento interno. A implementação bem-sucedida combina configuração técnica, comunicação interna e monitoramento contínuo. A sequência abaixo funciona bem para empresas de 50 a 1.000 colaboradores, a faixa típica dos clientes atendidos pela Duk:

• 1. Inventário de sistemas de autenticação. Liste Active Directory/Entra ID, VPN, ERP, CRM, e-mail, ferramentas SaaS, portais internos e acessos de fornecedores. Sem inventário, a política é fantasia.
• 2. Configure o Entra ID (ou AD) para o novo padrão. Desative expiração automática via GPO "Password never expires" combinada com política de comprimento mínimo 15. Ative "Banned password list" no Entra ID para bloquear senhas fracas e sazonais (ex.: "Brasil2026!", "Empresa@123").
• 3. Ative MFA phishing-resistant para todos os usuários, com prioridade absoluta para contas privilegiadas, administradores globais, TI e financeiro. Use Conditional Access para exigir MFA em acessos fora da rede corporativa.
• 4. Implante um gerenciador de senhas corporativo (1Password Business, Bitwarden Enterprise, Keeper). Isso elimina a justificativa "não consigo lembrar de senhas longas" e acaba com o compartilhamento via planilha ou WhatsApp.
• 5. Verifique credenciais vazadas continuamente. Integre o tenant com serviços como Have I Been Pwned Enterprise ou as funcionalidades nativas do Entra ID Premium P2, que alertam sobre credenciais corporativas em dumps públicos.
• 6. Reescreva a política formal, atrelando-a à LGPD (art. 46, medidas técnicas adequadas) e à norma interna de segurança. Publique no compliance, colete assinatura digital, inclua no onboarding.
• 7. Treine os usuários com foco em passphrases e phishing. Simulações regulares (phishing tests) reduzem em até 60% a taxa de cliques em e-mails maliciosos ao longo de 12 meses.
• 8. Monitore e audite. Alertas de login impossível (impossible travel), tentativas de spray de senha, uso de credenciais em horário atípico — tudo deve alimentar o SIEM ou a solução de XDR.

O ponto mais subestimado dessa jornada é a comunicação. Usuários acostumados a trocar senha a cada 60 dias estranham quando a TI anuncia que "a senha não vai mais expirar". É preciso explicar o racional: a rotação forçada incentivava padrões fracos, e agora a defesa está em comprimento, MFA e monitoramento. Sem esse alinhamento, a política nova vira boato interno de que "a TI relaxou a segurança".

Como a Duk implementa política de senhas moderna em empresas brasileiras

A Duk Informática & Cloud acompanha a evolução das diretrizes NIST e FIDO desde as primeiras revisões e implementa políticas de autenticação modernas nos 550+ clientes que atende em todo o Brasil. Como Microsoft Gold Partner com 18+ anos de experiência em ambientes corporativos, nossa equipe combina conhecimento profundo de Entra ID, Conditional Access, Intune e Defender com a realidade operacional das PMEs e médias empresas brasileiras — onde o orçamento de segurança precisa ser cirúrgico e o ROI precisa aparecer no primeiro trimestre.

Nosso processo começa com um diagnóstico gratuito do ambiente de identidade: quantos usuários têm MFA ativo, quantos usam SMS como segundo fator, quantas contas administrativas existem sem controle de privilégio, quais senhas do tenant aparecem em bases vazadas. A partir desse retrato, desenhamos um plano de remediação em ondas — priorizando contas privilegiadas, migrando para MFA phishing-resistant, ativando banned password lists, integrando gerenciador de senhas corporativo e, quando faz sentido, pilotando passkeys em grupos técnicos. Tudo acompanhado por SLA de suporte com tempo médio de primeira resposta de 3,7 minutos, garantindo que a transição não deixe nenhum usuário travado.

Se sua empresa ainda opera com política de senhas dos anos 2010, se auditores começaram a questionar a ausência de MFA em sistemas críticos ou se você quer entender como passkeys podem reduzir em até 87% os incidentes de credencial no seu ambiente, fale com a Duk. Um especialista em segurança avalia seu cenário, sugere os próximos passos e entrega um plano aplicável em 30 dias.

Fale agora com um especialista Duk pelo WhatsApp: wa.me/5511957024493 — diagnóstico de política de senhas e MFA sem compromisso.