É seguro guardar todas as palavras-passe num único sítio?

Sim, se for um gestor reputado, com cifragem ponta-a-ponta e 2FA na conta. O risco de reutilizar palavras-passe sem gestor é muito maior do que o risco do próprio gestor ser comprometido.

E se esquecer a master password?

Na maioria dos gestores, perder a master = perder o cofre (é essa a garantia de segurança). Por isso é fundamental guardar uma cópia física em local seguro, e códigos de recuperação quando o gestor os fornece.

Passkeys vão eliminar as palavras-passe?

Estão a caminho. Passkeys (Apple, Google, Microsoft) substituem palavra-passe + 2FA por biometria do dispositivo. Active sempre que o serviço oferecer. Entretanto, gestor + 2FA continua a ser a melhor combinação.

Todos os guias

5 min · Actualizado em 23/05/2026

Higiene de palavras-passe: o que fazer (e o que parar de fazer)

Reutilizar a mesma palavra-passe em vários sites é, em conjunto com a falta de 2FA, a causa nº1 de contas comprometidas. Este guia mostra como ter palavras-passe únicas e fortes em todos os serviços sem ter de as decorar.

Porque é que reutilizar palavras-passe é tão perigoso

Todos os meses, milhões de credenciais são expostas em fugas de dados de serviços que sofreram ataques. Os atacantes pegam nessa lista (email + palavra-passe) e testam automaticamente em centenas de outros serviços, é o chamado credential stuffing.

Se usar a mesma palavra-passe na conta de um fórum obscuro e no email principal, no dia em que esse fórum for atacado, o seu email cai junto.

O que torna uma palavra-passe forte

→Comprimento: pelo menos 14–16 caracteres. Mais importante que ter símbolos.
→Aleatoriedade: 'cavalo-bateria-grampo-correcto' é mais forte que 'P@ssw0rd2026!'.
→Única para cada serviço. Nunca reutilize.
→Não óbvia: sem nomes de filhos, datas de nascimento, equipa de futebol, matrícula.

A solução prática: gestor de palavras-passe

Um gestor de palavras-passe gera e guarda uma palavra-passe única para cada site. Só precisa de decorar uma, a master password do gestor. Preenche automaticamente nos sites e apps.

→Bitwarden, gratuito, código aberto, recomendado para a maioria.
→1Password, pago, melhor experiência de utilizador, bom para famílias.
→Apple Passwords / iCloud Keychain, integrado em iPhone, iPad e Mac. Suficiente se vive só no ecossistema Apple.
→Google Password Manager, integrado em Chrome e Android. Aceitável como degrau acima do nada.
→Evite guardar palavras-passe em ficheiro Word, Notas, ou no browser sem chave-mestra.

Master password: o único segredo que precisa de decorar

Como toda a sua segurança depende desta palavra-passe, escolha-a com cuidado: longa (20+ caracteres), uma frase memorável que só você diria, sem ligação evidente a si.

Active 2FA no próprio gestor (por app ou chave física). Guarde uma cópia da master e dos códigos de recuperação num envelope fechado em local seguro físico.

Verificar se o seu email já apareceu em fugas

Vá a haveibeenpwned.com e introduza o seu email. O site mostra em que fugas conhecidas apareceu. Para cada serviço afectado, mude a palavra-passe e active 2FA.

Perguntas frequentes

É seguro guardar todas as palavras-passe num único sítio?: Sim, se for um gestor reputado, com cifragem ponta-a-ponta e 2FA na conta. O risco de reutilizar palavras-passe sem gestor é muito maior do que o risco do próprio gestor ser comprometido.
E se esquecer a master password?: Na maioria dos gestores, perder a master = perder o cofre (é essa a garantia de segurança). Por isso é fundamental guardar uma cópia física em local seguro, e códigos de recuperação quando o gestor os fornece.
Passkeys vão eliminar as palavras-passe?: Estão a caminho. Passkeys (Apple, Google, Microsoft) substituem palavra-passe + 2FA por biometria do dispositivo. Active sempre que o serviço oferecer. Entretanto, gestor + 2FA continua a ser a melhor combinação.