A senha não morreu, mas o perímetro que ela protegia, sim

Todos os anos, na primeira quinta-feira de maio, o Dia Mundial da Senha retorna ao calendário como um lembrete necessário. A data foi criada há 13 anos pela Intel Security, atual McAfee, com três objetivos, conscientizar usuários, incentivar o uso de senhas mais seguras e disseminar práticas como autenticação multifator e gerenciadores de senhas. Treze anos depois, esses objetivos continuam válidos. O problema é que ficaram pequenos diante da complexidade do ambiente corporativo atual.

A chamada "higiene de senhas" segue como um ponto cego na maioria das organizações, e não por falta de informação. O colaborador que usa combinações simples ou anota a senha num papel colado ao monitor já sabe que não deveria agir desse modo. Ainda assim, mesmo quando a senha é forte, ela foi criada para um mundo que já não existe mais. Ela pressupõe um usuário, um dispositivo e um sistema.

Hoje, esse modelo não se sustenta. O ambiente corporativo reúne dezenas de sistemas, centenas de integrações e um número crescente de agentes de inteligência artificial operando em nome das pessoas. Esses agentes acessam dados, executam tarefas e tomam decisões sem que nenhuma senha seja digitada. Nesse contexto, a limitação deixa de ser comportamento individual e passa a ser estrutural. A senha continua protegendo o acesso humano, mas o risco já não está restrito a ele.

Esse descompasso fica ainda mais evidente quando novas ferramentas entram em operação sem o mesmo nível de controle. Quando uma solução de IA generativa é adotada por um departamento sem passar pela área de segurança, ela pode herdar permissões e ter acesso a dados que, a princípio, estariam restritos a poucos usuários ou sistemas. Em muitos casos, também retém informações que nunca deveriam sair do ambiente corporativo. Não se trata de senha fraca, mas de falta de governança sobre o que pode ser acessado, por quem e por quanto tempo. E esse tipo de exposição não aparece em nenhum relatório de senhas, justamente porque nenhuma credencial foi comprometida.

É nesse intervalo entre o que a empresa acredita controlar e o que realmente acontece nos seus sistemas que os dados começam a revelar o tamanho do problema. O Relatório de Resiliência e Confiança de Dados de 2026 da Veeam, baseado em respostas de mais de 900 executivos de TI, segurança e risco, mostra que, embora 90% dos líderes afirmem estar preparados para se recuperar rapidamente após um ataque, apenas 28% conseguem restaurar totalmente os dados comprometidos. Na prática, as organizações recuperam, em média, 72% dos dados.

Quando o backup falha na hora que mais importa, não se trata de um evento isolado. Na maioria dos casos, o caminho que permitiu o comprometimento passa por uma credencial mal gerenciada e, cada vez mais, por um agente automatizado operando além do que deveria. O problema deixa de ser pontual e passa a refletir um padrão.

Esse padrão tem origem em um modelo de segurança que funcionou por décadas. A proteção sempre foi estruturada a partir de uma fronteira clara entre dentro e fora da rede, com firewalls na borda, controle de acesso físico e políticas restritas a dispositivos homologados. Tudo isso partia de uma premissa simples na qual a empresa sabia exatamente o que estava conectado ao seu ambiente.

Essa premissa deixou de existir. O crescimento do Shadow IT tornou essa ruptura visível na prática. Ferramentas, integrações e fluxos passam a ser adotados diretamente pelas áreas de negócio, muitas vezes sem validação ou acompanhamento da segurança. O resultado aparece no dia a dia. Um colaborador que compartilha dados por um drive pessoal, uma automação conectada sem autenticação adequada, um parceiro que mantém acesso mesmo após o fim do contrato. Situações como essas não são exceções, são parte da operação cotidiana de organizações com equipes distribuídas e múltiplas integrações.

O resultado é um aumento significativo no número de identidades em circulação. Organizações deixaram de lidar com dezenas para lidar com milhares, muitas delas sem mapeamento formal. Colaboradores, prestadores de serviço, sistemas integrados, dispositivos conectados e processos automatizados formam uma teia de acessos que precisa ser criada, monitorada e encerrada no momento certo.

Nesse cenário, gerenciar apenas senhas não é suficiente. É como reforçar a fechadura de uma porta enquanto outras entradas continuam abertas. Por isso, a gestão de identidades e acessos passou a ocupar um papel estratégico. Não por tendência, mas porque o custo de ignorar esse controle se tornou alto demais.

Dessa forma, isso desloca o foco da senha para a identidade como um todo. Esse movimento ganha ainda mais relevância em um ambiente onde usuários, aplicações e agentes de IA compartilham os mesmos sistemas e dados. Ainda assim, essa transição não acontece de forma imediata. Sistemas legados, cultura organizacional e desafios de implementação fazem com que a senha continue presente por algum tempo. O que não pode continuar é a ideia de que sua gestão, isoladamente, é suficiente para proteger uma organização que já não opera dentro de fronteiras definidas.

O Dia Mundial da Senha continua sendo uma oportunidade válida para revisar credenciais, ativar autenticação multifator e reforçar boas práticas. Mas talvez o principal valor dessa data, hoje, seja provocar uma mudança de foco. Não sobre como criar senhas melhores, mas sobre como entender, de forma clara, quem e o que tem acesso aos sistemas da empresa. Se essa resposta não vier com facilidade, esse já é o sinal mais importante. E se um dia essa data se chamar Dia Mundial da Autenticação, será porque a conversa finalmente evoluiu para onde já deveria estar.

Sobre o autor: Marcio de Freitas é gerente de Engenharia de Sistemas da Veeam no Brasil. Marcio é Engenheiro de Sistemas com 21 anos de experiência no mercado de TI, participando em diversas áreas como suporte de manutenção a clientes, suporte técnico de segundo e terceiro nível para clientes e técnicos de manutenção, treinamentos para equipes técnicas, implementações de Sistemas e serviços profissionais para clientes e o apoio a times comerciais e parceiros no processo de vendas de soluções de TI.