25 falhas no seu cofre de senhas: o que a ETH Zurich descobriu
Você provavelmente fez a coisa certa. Criou uma conta em um gerenciador de senhas, escolheu uma senha mestra forte e dormiu tranquilo achando que seu cofre digital estava blindado. Pesquisadores da ETH Zurich acabaram de provar que não está.
Em fevereiro de 2026, uma equipe da ETH Zurich e da Università della Svizzera italiana publicou descobertas que deveriam preocupar qualquer pessoa que usa gerenciador de senhas. Eles encontraram 25 vetores de ataque distintos no Bitwarden, no LastPass e no Dashlane, os três serviços que protegem cerca de 60 milhões de usuários no mundo. Os ataques iam desde a leitura de senhas armazenadas até o comprometimento de todos os cofres de uma organização. O título do estudo não deixa dúvidas: "Zero Knowledge (About) Encryption". Essas empresas vendem a ideia de arquitetura de conhecimento zero, prometendo que não conseguem acessar seus dados. Sob um cenário de servidor comprometido, essa promessa desmoronou.
Sua senha mestra é o elo mais fraco da segurança digital
Cada credencial no seu cofre é tão segura quanto um único segredo: a senha mestra. Se um invasor ganha acesso ao servidor, o cenário complica rápido. O Verizon DBIR 2025 revelou que apenas 3% das senhas comprometidas atendiam requisitos básicos de complexidade. A equipe da ETH Zurich mostrou que downgrades na função de derivação de chave (KDF) podem acelerar ataques de força bruta em até 300.000 vezes. Uma senha mestra que levaria séculos para ser quebrada em condições normais pode cair em horas quando as proteções do servidor são enfraquecidas.
A crise de credenciais continua crescendo. O SpyCloud reportou que 2,8 bilhões de senhas apareceram em plataformas criminosas só em 2024. Quando 54% das vítimas de ransomware já tinham credenciais em logs de infostealers (programas que roubam dados) antes do ataque, o padrão fica evidente: invasores não estão arrombando portas, estão usando chaves que já existem, incluindo credenciais roubadas que suas ferramentas de segurança não detectam.
O vácuo de transição que hackers adoram explorar
As passkeys (chaves de acesso biométricas) deveriam resolver tudo isso. Autenticação biométrica vinculada ao seu dispositivo, sem segredos compartilhados, sem senhas que possam ser roubadas por phishing. O relatório da Dashlane de 2025 mostrou que autenticações por passkey dobraram em um ano, com o Google registrando aumento de 352% depois de tornar passkeys o padrão.
No entanto, nos Estados Unidos, apenas 36% dos adultos usam algum gerenciador de senhas, e no Brasil a adoção tende a ser ainda menor. Entre os que não usam, 37% dizem que não precisam de um. A distância entre "passkeys existem" e "passkeys te protegem" é enorme, e é exatamente nesse espaço que se concentram os ataques que ignoram completamente seu gerenciador de senhas.
Mesmo organizações com passkeys enfrentam um problema híbrido. Setores regulados ainda dependem de sistemas legados. O Verizon DBIR revelou que 88% dos ataques básicos a aplicações web ainda envolvem credenciais roubadas. Para o invasor, pouco importa que sua conta Google use passkey se o portal do plano de saúde ainda aceita "Verao2025!" como senha válida.
O que seu gerenciador de senhas não consegue proteger
As descobertas da ETH Zurich revelaram algo que os conselhos de segurança costumam ignorar: funcionalidades de conveniência são inimigas da criptografia. Recuperação de senha, compartilhamento de contas e compatibilidade retroativa expandiram a superfície de ataque de maneiras que o marketing de "conhecimento zero" nunca divulgou.
Isso importa porque os atalhos diários de cibersegurança que acumulam risco vão além de senhas fracas. Incluem confiar em uma arquitetura que nunca foi tão segura quanto prometido. Como passkeys já superam senhas em todas as métricas, a questão não é se a transição vai acontecer, mas quantos vazamentos vão ocorrer durante o intervalo.
O que fazer antes que as passkeys substituam tudo
Trate sua senha mestra como se já estivesse comprometida. Ative as configurações mais fortes de derivação de chave que seu gerenciador oferece (Argon2id, se disponível, ou PBKDF2 com pelo menos 600.000 iterações). Habilite passkeys em todo serviço que já suporta, começando por e-mail e banco. Verifique se suas credenciais já aparecem em bases de infostealers pelo Have I Been Pwned.
A verdade desconfortável é que as grandes empresas de tecnologia estão silenciosamente aposentando as senhas não por generosidade, mas porque o sistema atual falha com frequência demais. As 25 vulnerabilidades encontradas pela ETH Zurich não são bugs: são o resultado previsível de empilhar conveniência moderna sobre uma arquitetura de senhas que já tem décadas.
Seu gerenciador de senhas é melhor do que nenhum gerenciador. Só que, se você acha que ele te torna seguro, é exatamente o tipo de usuário com quem os invasores contam.
Leitura relacionada:
Fontes e Referências
- ETH Zurich — Researchers discovered 25 distinct attack vectors across Bitwarden, LastPass, and Dashlane, affecting 60 million users.
- Verizon DBIR 2025 — Only 3% of compromised passwords met basic complexity requirements, and 88% of basic web application attacks involved stolen credentials.
- SpyCloud / Verizon DBIR — 2.8 billion passwords appeared on criminal platforms in 2024. 54% of ransomware victims had credentials in infostealer logs.
- Security.org — Only 36% of US adults use a password manager (94 million users).
- Dashlane — Passkey authentications doubled in one year. Google saw 352% increase after making passkeys default.
Conheça nossos padrões editoriais →
