Password Cracking: O que é, como funciona e como proteger a sua empresa

Num mundo cada vez mais digital, a segurança das contas online nunca foi tão crítica. Uma password fraca pode ser a porta de entrada para um ataque devastador — com consequências que vão desde o roubo de informações pessoais até prejuízos financeiros de grande escala. O password cracking é o processo de descobrir palavras-passe através de técnicas automatizadas. Os atacantes recorrem a ferramentas capazes de testar milhões de combinações por segundo, tornando contas desprotegidas
extremamente vulneráveis.
Existem várias técnicas utilizadas neste tipo de ataque. O ataque de força bruta testa sistematicamente todas as combinações possíveis. O ataque de dicionário compara a password com listas de palavras reais e passwords comuns. O ataque híbrido combina estas wordlists com variações automáticas como adição de números ou substituição de letras por símbolos. Por fim, o Rainbow Table Attack utiliza tabelas pré-calculadas de hashes para reverter passwords de forma extremamente rápida.
Para executar estes ataques, os agentes maliciosos recorrem a ferramentas especializadas. O Hydra é focado em ataques online a serviços de rede como SSH, FTP e HTTP, testando combinações de credenciais diretamente contra sistemas ativos. Já o John the Ripper e o Hashcat operam em modo offline, fazendo cracking de hashes de passwords obtidos previamente — sendo o Hashcat particularmente rápido por tirar partido do poder de processamento das GPUs e suportar centenas de tipos de hash.
Um dos incidentes mais emblemáticos da história aconteceu em 2009, quando a plataforma RockYou foi vítima de uma intrusão que expôs cerca de 32 milhões de credenciais de utilizadores armazenadas em texto simples, sem qualquer encriptação. Os dados foram divulgados publicamente e a lista extraída tornou-se uma das wordlists mais usadas até hoje, integrada por defeito em sistemas como
o Kali Linux.
A boa notícia é que estes ataques são evitáveis. A primeira linha de defesa passa por adotar passwords fortes, com no mínimo 12 caracteres e combinação de letras, números e símbolos, evitando sequências previsíveis ou palavras comuns.
A implementação de autenticação multifator (MFA) é igualmente essencial: mesmo que a password seja comprometida, o acesso continua protegido por um segundo fator de verificação. A par disso, as organizações devem garantir que as passwords são armazenadas com algoritmos de hashing seguros como bcrypt, Argon2 ou scrypt.
A nível operacional, é fundamental limitar as tentativas de login, bloqueando ou atrasando acessos após várias falhas consecutivas, e implementar sistemas de monitorização em tempo real capazes de detetar comportamentos anómalos, como logins de localizações incomuns.
Não menos importante, a formação dos colaboradores continua a ser um pilar insubstituível. Educar as equipas sobre boas práticas de segurança e os riscos associados a passwords fracas é uma das medidas de maior retorno para qualquer organização. A adoção de um gestor de passwords corporativo como Bitwarden, 1Password ou Dashlane pode ainda simplificar este processo, gerando e armazenando credenciais únicas e complexas para cada serviço.
O password cracking continua a ser uma das formas mais eficazes de ataque, mas a resposta não exige recursos ilimitados — exige consciência, boas práticas e tecnologia adequada. Numa era digital, a segurança não é uma opção: é uma responsabilidade.

