Por que 81% dos ataques ignoram seu gerenciador de senhas

A tranca digital que voce confia tem uma chave mestra

Voce gastou quinze minutos criando uma senha aleatoria de 24 caracteres para sua conta bancaria. Ativou a autenticacao em dois fatores. Seu gerenciador de senhas funciona com desbloqueio biometrico e criptografia de conhecimento zero. Pelo manual de boas praticas, voce fez tudo certo.

Nada disso importou quando um infostealer extraiu 1.861 cookies de sessao de um unico dispositivo infectado.

O numero vem da analise da SpyCloud sobre dados exfiltrados por malware em 2025, que recuperou mais de 20 bilhoes de cookies de sessao roubados em um unico ano. A implicacao e grave: invasores nao precisam mais da sua senha. Precisam de um cookie do seu navegador que diz "essa pessoa ja fez login", e com isso atravessam sua fortaleza de 24 caracteres, seu prompt de MFA e ate suas novas passkeys.

Seu gerenciador de senhas tem um problema maior do que voce imagina

Em fevereiro de 2026, pesquisadores da ETH Zurich e da Università della Svizzera italiana publicaram resultados que deveriam fazer qualquer usuario de gerenciador de senhas parar para pensar. Foram 25 ataques distintos de recuperacao de senha nos quatro gerenciadores mais populares: o Bitwarden enfrentou 12 cenarios, o LastPass sete, o Dashlane seis. Juntas, essas plataformas protegem mais de 60 milhoes de usuarios e 125 mil empresas.

Os ataques variam de vazamento de metadados a comprometimento total do cofre. Os pesquisadores demonstraram que a "criptografia de conhecimento zero", o argumento de venda de todo gerenciador, pode ser contornada por meio de exploracao de custodias de chave, criptografia falha no nivel do item e vulnerabilidades nos recursos de compartilhamento.

Isso nao significa que voce deva deletar seu gerenciador amanha. Significa que a ferramenta e uma base necessaria, nao o escudo de seguranca que a maioria acredita ter.

Sequestro de sessao: o ataque que torna a autenticacao irrelevante

O padrao desconfortavel e este: 87% dos ciberataques bem-sucedidos em 2024 envolveram sequestro de sessao apos login valido com MFA. O invasor nao quebra sua senha nem intercepta seu codigo unico. Ele espera voce provar quem e, depois rouba o token de sessao que o navegador gera apos a autenticacao.

Pense assim: sua senha e a chave, o MFA e a tranca reforcada. Mas o cookie de sessao e a porta escancarada depois que voce ja passou por ela, e ela fica aberta por dias, as vezes semanas.

Malwares como RedLine e Raccoon operam em escala industrial. Uma unica campanha de malware consegue colher 548 milhoes de senhas e 17 bilhoes de cookies de sessao simultaneamente. Criminosos empacotam essas sessoes roubadas em produtos comercializados no submundo digital, completos com impressoes digitais de navegador e enderecos IP para personificar vitimas sem levantar suspeitas.

Ataques de phishing do tipo adversary-in-the-middle (AiTM) cresceram 146% em 2025, com quase 40 mil incidentes detectados diariamente. Eles se posicionam entre voce e a pagina de login legitima, capturando credenciais e tokens de sessao em tempo real.

Passkeys eliminam a superficie de ataque, mas quase ninguem consegue usa-las

Passkeys representam uma mudanca arquitetural genuina. Em vez de transmitir um segredo compartilhado ao servidor, a passkey usa criptografia de chave publica vinculada ao seu dispositivo especifico. Nao ha nada para roubar do lado do servidor porque a chave privada nunca sai do hardware. A FIDO Alliance reporta que passkeys ja habilitam mais de 15 bilhoes de contas a autenticar sem senha, com taxa de sucesso de 93% contra 63% das credenciais tradicionais.

Servicos que adotaram passkeys reportam taxas de tomada de conta proximas de zero.

O problema que ninguem discute com honestidade: apenas 48% dos 100 maiores sites suportam passkeys. Fora dessa elite, o suporte cai drasticamente. Seu banco, seu portal de saude, a VPN da empresa onde voce trabalha provavelmente ainda funcionam com senhas e MFA por SMS.

Enquanto isso, 16 bilhoes de credenciais foram expostas em meados de 2025 em 30 conjuntos de dados da dark web. Muitas dessas senhas tinham sido colhidas recentemente por infostealers, estavam ativas e em uso no momento da exposicao.

O que realmente protege voce hoje

A verdade contraintuitiva nao e que gerenciadores de senhas sao inuteis. E que eles resolvem o problema de ontem enquanto os ataques de hoje migraram para tokens de sessao e vetores pos-autenticacao.

Uma postura de seguranca adequada para 2026 inclui: manter o gerenciador de senhas sem trata-lo como invencivel; ativar passkeys em todos os servicos que as oferecem; tratar a higiene de sessao com a mesma seriedade que a higiene de senhas, fazendo logout de contas sensiveis e isolando sessoes bancarias em perfis de navegador separados; usar protecao de endpoint que detecte infostealers; e ficar atento a phishing AiTM, fechando qualquer pagina de login que pareca minimamente diferente do habitual.

Seu gerenciador de senhas nao e obsoleto. Mas o modelo de ameaca para o qual ele foi projetado, sim. A senha de 24 caracteres que protege sua conta bancaria ainda importa, so que nao pelas razoes que voce imagina. A verdadeira batalha acontece depois do login, e essa e uma luta que seu gerenciador nunca foi construido para vencer.