Uma análise de mais de 19 bilhões de senhas expostas  publicamente entre abril de 2024 e abril de 2025 mostrou que apenas 6% das combinações usadas pelos internautas são únicas, segundo levantamento do site de cibersegurança Cybernews.

O estudo mostrou que  94% das senhas vazadas são reutilizadas ou duplicadas.

Esse índice revela que a esmagadora maioria dos usuários reutiliza senhas fracas em diferentes serviços, criando uma situação em que basta um único vazamento para que várias contas fiquem vulneráveis a ataques automatizados.

Ao considerar apenas os dados tornados públicos em cerca de 200 incidentes de segurança, os pesquisadores identificaram 1 143 815 266 senhas distintas, número que representa a pequena parcela de credenciais realmente exclusivas.

O estudo também apontou que 42% das senhas analisadas têm entre oito e dez caracteres, sendo oito o comprimento mais frequente, e que 27% delas são compostas apenas por letras minúsculas e números.

Em contrapartida, apenas 19% das combinações testadas misturam maiúsculas, minúsculas, dígitos e símbolos, o que diminui substancialmente sua resistência a tentativas de adivinhação por meio de ataques de força bruta.

Sequências previsíveis, como “ 1234 ”, aparecem em quase 4% dos casos, mais de 727 milhões de senhas, e, quando estendida para “ 123456 ”, somam outros 338 milhões de registros.

Senhas sem segurança

Além de padrões numéricos repetidos, muitos internautas recorrem a nomes próprios e termos comuns para criar suas senhas.

A palavra “Ana” figura em 1% dos exemplos estudados, o que representa cerca de 178,8 milhões de combinações.

Palavras com conotação positiva, como “love” (87 milhões), “sol” (34 milhões) e “alegria” (6,9 milhões), bem como referências da cultura pop, como “Mario” (9,6 milhões), “Batman” (3,9 milhões) e “Elsa” (2,9 milhões), também aparecem com frequência.

Mesmo expressões de baixo calão marcam presença significativa: “fuck” surge em 16 milhões de senhas, “shit” em 6,5 milhões, “cock” e “bitch” em 3,2 milhões cada uma.

“Estamos enfrentando uma epidemia generalizada de reutilização de senhas fracas. Apenas 6% das senhas são únicas, o que deixa os usuários altamente vulneráveis a ataques de dicionário. Para a maioria, a segurança depende da autenticação de dois fatores, se ela estiver habilitada”, alertou Neringa Macijauskaitė, pesquisadora de segurança da informação da Cybernews.

Ela reforça que a ativação da autenticação multifator deve ser a regra básica para qualquer plataforma que ofereça essa opção.

Para ajudar os usuários a reforçarem sua proteção, os especialistas recomendam o uso de gerenciadores de senhas, como 1Password, Google Password Manager e LastPass, que geram e armazenam combinações fortes e exclusivas para cada conta.

Além disso, sugerem criar senhas de no mínimo 12 caracteres, com mistura de maiúsculas, minúsculas, números e símbolos especiais, e evitar termos reconhecíveis ou sequências triviais.

A adoção sistemática de boas práticas de higiene digital e a revisão periódica de credenciais expostas são apontadas como medidas fundamentais para reduzir o risco de invasões e efeitos cascata decorrentes de violação de dados.