Política de senhas para empresas: como criar e implementar em 2026

Introdução

A senha ainda é a primeira linha de defesa dos sistemas corporativos, e a mais frequentemente ignorada. Senhas fracas, reutilizadas em múltiplos sistemas ou compartilhadas entre funcionários são responsáveis por mais da metade das violações de segurança em empresas segundo o relatório Verizon DBIR 2025.

O problema é que a maioria das empresas não tem uma política de senhas documentada. Cada funcionário escolhe a própria senha, frequentemente algo fácil de lembrar e fácil de adivinhar. "123456", "accertiva2024", o nome do pet ou a data de aniversário, senhas que caem em minutos em um ataque de força bruta.

Este artigo explica como criar e implementar uma política de senhas eficaz para PMEs em 2026, baseada nas recomendações mais recentes do NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) que mudaram significativamente nos últimos anos.

O que mudou nas recomendações de senhas em 2026

Durante anos, o conselho de segurança era: use senhas com letras maiúsculas, minúsculas, números e símbolos, e troque a cada 90 dias. O NIST publicou novas diretrizes (SP 800-63B) que contradizem boa parte desse conselho tradicional.

O que o NIST recomenda hoje:

Comprimento é mais importante que complexidade. Uma senha longa de palavras comuns ("cavalomacacoazulchuva") é mais segura do que uma senha curta com símbolos ("Tr0ub4dor&3"), e muito mais fácil de lembrar.

Não exija troca periódica obrigatória. Forçar troca a cada 90 dias faz com que os usuários escolham senhas fracas e previsíveis ("Accertiva1", "Accertiva2"...). Troque senhas apenas quando houver suspeita de comprometimento.

Não exija complexidade artificial. Exigir símbolo, número, maiúscula e minúscula resulta em senhas difíceis de lembrar e fáceis de adivinhar por padrão ("P@ssw0rd").

Verifique contra listas de senhas comprometidas. Não permita que usuários escolham senhas que já apareceram em vazamentos, independentemente da complexidade.

O que uma política de senhas para empresas deve incluir

1. Comprimento mínimo. Mínimo de 12 caracteres para contas regulares. Para contas administrativas e sistemas críticos, mínimo de 16 caracteres. Sem limite máximo arbitrário, frases longas devem ser permitidas.

2. Proibição de senhas comuns e comprometidas. Bloquear senhas que aparecem em listas de vazamentos (HaveIBeenPwned tem base com bilhões de senhas comprometidas). Bloquear senhas óbvias relacionadas à empresa: nome da empresa, CNPJ, endereço, nome dos sócios.

3. Autenticação multifator obrigatória. A política de senhas mais robusta do mundo não protege se a senha for comprometida. MFA (autenticador por app, SMS ou chave física) deve ser obrigatório para todos os sistemas com acesso a dados sensíveis.

4. Senhas únicas por sistema. Cada sistema deve ter senha diferente. Um funcionário que usa a mesma senha no e-mail corporativo, no LinkedIn e em um site de notícias, quando o site de notícias vaza os dados, o e-mail corporativo também está comprometido.

5. Proibição de compartilhamento. Nenhuma senha deve ser compartilhada entre funcionários. Se múltiplas pessoas precisam acessar um sistema, cada uma deve ter seu próprio usuário e senha.

6. Processo para senhas esquecidas. O processo de recuperação de senha deve verificar a identidade do usuário por um segundo canal antes de permitir a redefinição. Recuperação apenas por e-mail é insuficiente se o e-mail também foi comprometido.

7. Troca imediata em caso de suspeita. Se um dispositivo for roubado, perdido ou infectado por malware, todas as senhas do funcionário devem ser trocadas imediatamente, não na próxima troca periódica.

Gerenciadores de senhas corporativas, a solução prática

Uma política de senhas só funciona se os funcionários conseguirem segui-la. Senhas únicas de 16 caracteres para dezenas de sistemas são impossíveis de memorizar. A solução é um gerenciador de senhas corporativo.

O que um gerenciador de senhas faz: armazena todas as senhas criptografadas em um cofre seguro. O usuário precisa lembrar apenas uma senha mestra forte. O gerenciador preenche automaticamente as senhas nos sistemas. O administrador de TI tem visibilidade sobre quais sistemas cada funcionário acessa e pode revogar acessos quando necessário.

Opções para PMEs:

1Password Business: interface intuitiva, excelente para equipes. A partir de US$ 7,99/usuário/mês.

Bitwarden Teams: open source, muito mais barato. A partir de US$ 3/usuário/mês. Pode ser hospedado na própria infraestrutura da empresa (self-hosted) sem custo de licença.

LastPass Teams: popular mas teve incidentes de segurança relevantes em 2022. Ainda usado por muitas empresas mas requer avaliação.

Keeper Business: forte em recursos de auditoria e compliance. Boa opção para empresas com exigências regulatórias.

Como implementar a política de senhas na prática

Passo 1, documente a política. Escreva a política em linguagem clara e objetiva. Não use jargão técnico. A política deve ser compreensível para o funcionário do administrativo, não apenas para o técnico de TI.

Passo 2, comunique antes de implementar. Avise a equipe com antecedência sobre as mudanças. Explique o motivo, não apenas o que vai mudar, mas por que é importante. Funcionários que entendem o risco aceitam melhor as restrições.

Passo 3, implemente o gerenciador de senhas. Antes de exigir senhas complexas únicas, forneça a ferramenta que torna isso viável. Instale e configure o gerenciador de senhas para toda a equipe e faça um treinamento de uso.

Passo 4, configure os sistemas para exigir o padrão. Microsoft 365, Google Workspace e a maioria dos sistemas modernos permitem configurar políticas de senha no painel de administração, comprimento mínimo, bloqueio de senhas comprometidas, MFA obrigatório.

Passo 5, monitore e audite. Verifique periodicamente se a política está sendo seguida. Identifique contas que nunca trocaram a senha ou que usam padrões suspeitos.

Como a Accertiva implementa políticas de segurança para empresas em SP

A Accertiva auxilia PMEs em São Paulo a documentar e implementar políticas de segurança, configurar gerenciadores de senhas corporativos, habilitar MFA em todos os sistemas e treinar a equipe em boas práticas de segurança.

Saiba mais sobre Segurança e continuidade para empresas, Zero Trust: o que é e como aplicar e Engenharia social: como criminosos enganam funcionários.

Perguntas frequentes sobre política de senhas para empresas

Com que frequência devo exigir troca de senha?

Segundo as diretrizes mais recentes do NIST, não é recomendado exigir troca periódica sem motivo específico. Troque senhas quando houver suspeita de comprometimento, quando um funcionário sair da empresa ou quando um sistema integrado sofrer vazamento de dados. Trocas forçadas frequentes levam a senhas mais fracas, não mais fortes.

Posso usar o gerenciador de senhas do navegador (Chrome, Firefox)?

Para uso pessoal, é razoável. Para uso corporativo, não é recomendado, o gerenciador do navegador não tem controle centralizado pelo administrador de TI, não permite auditoria de acessos e os dados ficam vinculados à conta pessoal do funcionário. Use um gerenciador corporativo dedicado.

O que fazer com as senhas de sistemas quando um funcionário é demitido?

Troque imediatamente todas as senhas dos sistemas que o funcionário acessava, não apenas desative a conta dele. Se ele sabia a senha de uma conta compartilhada, essa senha deve ser trocada no dia do desligamento. Gerenciadores de senhas corporativos facilitam esse processo com visibilidade de quais sistemas cada usuário acessava.

Senha de 12 caracteres realmente é mais segura que 8 com símbolos?

Sim. O tempo para quebrar uma senha por força bruta cresce exponencialmente com o comprimento. Uma senha de 8 caracteres com todos os tipos de caracteres tem aproximadamente 6 quadrilhões de combinações possíveis. Uma senha de 12 caracteres apenas com letras minúsculas tem mais de 95 quintilhões, 15.000 vezes mais combinações.

Leia também

• Zero Trust: o que é e como aplicar
• Segurança e continuidade para empresas