Come faccio a sapere se una password è stata rubata?

Puoi ricevere un avviso dal browser, dal gestore password o dal servizio che usi. Altri segnali sono accessi sospetti, codici di verifica non richiesti, email di sicurezza insolite o modifiche all’account che non hai fatto tu.

Cosa devo fare per prima cosa se una password è stata rubata?

Devi cambiarla subito dal sito o dall’app ufficiale del servizio. Non usare link ricevuti via email o messaggio. Dopo il cambio, controlla accessi recenti, dispositivi collegati e metodi di recupero.

Basta eliminare la password salvata dal browser?

No. Eliminare una password salvata dal browser o dallo smartphone rimuove solo la credenziale memorizzata. Se la password è stata rubata, devi cambiarla davvero nell’account collegato.

Devo cambiare anche le password degli altri account?

Sì, se hai usato la stessa password o una password molto simile su altri servizi. Il riutilizzo delle password è uno dei principali motivi per cui una singola violazione può mettere a rischio più account.

È utile attivare l’autenticazione a due fattori?

Sì. L’autenticazione a due fattori aggiunge un secondo passaggio oltre alla password e rende più difficile l’accesso non autorizzato, anche se qualcuno conosce la tua password.

Cosa faccio se non riesco più ad accedere all’account?

Usa la procedura ufficiale di recupero account del servizio. Evita link sospetti, prepara i dati necessari per dimostrare che l’account è tuo e controlla anche email, telefono e dispositivi collegati.

Una passkey è più sicura di una password?

In molti casi sì, perché non si basa su una password tradizionale da digitare e riutilizzare. Le passkey riducono il rischio di phishing, ma richiedono comunque dispositivi protetti e metodi di recupero ben configurati.

Quando devo avvisare la banca?

Devi avvisare la banca o il servizio di pagamento se noti movimenti sospetti, se l’account compromesso aveva carte salvate o se pensi di aver inserito dati bancari in una pagina falsa.

Senha roubada: o que fazer imediatamente para proteger suas contas

Descobrir que uma senha pode ter sido roubada é uma situação que não deve ser subestimada. Às vezes percebemos isso porque recebemos um aviso do navegador, do gerenciador de senhas ou do serviço que usamos. Outras vezes a suspeita surge por um acesso incomum, um e-mail de segurança, uma mensagem de recuperação de senha que não solicitamos ou por movimentos estranhos em uma conta. A coisa mais importante é não entrar em pânico, mas agir de forma organizada. Uma senha comprometida não significa automaticamente que todas as suas contas foram violadas, mas pode se tornar um problema sério se a mesma senha foi usada em vários serviços.

Neste guia, veremos o que fazer se uma senha foi roubada, quais verificações realizar imediatamente, como alterar as credenciais corretamente e quais configurações ativar para proteger melhor e-mail, redes sociais, serviços em nuvem, aplicativos bancários e contas pessoais.Nota importante: se uma senha foi roubada, não basta eliminá-la do navegador ou do telefone. Você precisa alterá-la no site ou no aplicativo do serviço afetado e verificar se alguém já teve acesso à sua conta.

Sumário

Como entender se uma senha foi roubada

Nem sempre uma senha roubada é usada imediatamente. Em muitos casos, as credenciais acabam em bancos de dados furtados durante violações de dados, são vendidas online ou usadas automaticamente para tentar acessar outros serviços. Existem alguns sinais que devem fazer você agir rapidamente:

você recebe um aviso de que a senha está comprometida;
o navegador ou o gerenciador de senhas indica uma senha roubada ou reutilizada;
você recebe códigos de verificação que não solicitou;
chegam e-mails de acesso de dispositivos ou locais que você não reconhece;
alguém tenta redefinir a senha de uma de suas contas;
você percebe mensagens enviadas do seu perfil sem sua intervenção;
encontra alterações em e-mail, número de telefone, nome de usuário ou configurações de segurança;
um serviço informa que sofreu uma violação de dados.

Em todos esses casos, é aconselhável agir imediatamente, começando pela conta mais importante: geralmente o e-mail principal. Se um invasor conseguir entrar na sua caixa de e-mails, pode tentar recuperar as senhas de muitos outros serviços vinculados.

O que fazer imediatamente se uma senha foi roubada

Quando você suspeita que uma senha foi roubada, a primeira coisa a fazer é alterá-la no site oficial do serviço. Não use links recebidos por e-mail ou mensagem, especialmente se o tom for urgente ou ameaçador. Acesse diretamente o site digitando o endereço no navegador ou use o aplicativo oficial. O procedimento correto é o seguinte:

abra o site ou o aplicativo oficial do serviço;
acesse sua conta, se ainda conseguir entrar;
vá para as configurações de segurança;
altere a senha imediatamente;
escolha uma senha nova, longa e diferente de todas as outras;
salve a nova senha de forma segura;
ative a autenticação de dois fatores, se disponível;
verifique dispositivos conectados, sessões ativas e atividades recentes.

Se você não conseguir mais acessar, use o procedimento oficial de recuperação de conta. Também nesse caso, evite links suspeitos e sempre comece pela página oficial do serviço.

Regra prática: se a senha roubada era usada também em outras contas, você deve alterá-la em todas elas. Não basta alterá-la apenas no site que apontou o problema.

Altere primeiro a senha do e-mail principal

O email principal é frequentemente o centro da sua identidade digital. Serve para receber códigos de verificação, confirmações de acesso, links para recuperação de senha, faturas, documentos, comunicações bancárias e notificações das redes sociais. Por esse motivo, se suspeitar de uma invasão, deve dar prioridade à caixa de email mais importante. Verifique imediatamente:

se a senha do email é única e não usada em outros lugares;
se há acessos recentes de dispositivos desconhecidos;
se foram criadas regras de encaminhamento automático;
se existem filtros estranhos que movem ou ocultam mensagens;
se o email de recuperação e o número de telefone ainda são seus;
se a autenticação de dois fatores está ativa.

Um atacante que entra no seu email pode buscar mensagens contendo dados pessoais, senhas antigas, documentos, recibos, dados fiscais ou referências a serviços que você usa. Pode também tentar redefinir a senha de outras contas conectadas.

Use uma senha nova e diferente de todas as outras

Ao mudar uma senha roubada, não faça pequenas variações da antiga. Mudar uma letra, adicionar um número ou colocar um símbolo no final não é uma solução segura. Se a senha anterior era conhecida, até mesmo variantes similares podem ser fáceis de adivinhar. Uma boa senha deve ser:

longa;
única para essa conta;
não relacionada ao seu nome, data de nascimento ou outras informações pessoais;
não reutilizada em outros sites;
difícil de adivinhar mesmo para quem te conhece.

Você pode usar um gerenciador de senhas para gerar e armazenar credenciais complexas. É muito melhor ter senhas longas e diferentes salvas de forma segura do que usar a mesma senha simples em muitas contas.

Se quiser primeiro verificar ou remover as credenciais salvas nos seus dispositivos, leia também o guia sobre como excluir as senhas salvas no Chrome, Android e iPhone.

Verifique se a mesma senha foi usada em outros lugares

O maior risco nem sempre é a senha roubada individualmente, mas reutilizar a mesma senha em várias contas. Isto porque muitos ataques automáticos testam pares de email e senha já roubados de outros sites. Por exemplo, se você usa a mesma combinação de email e senha em um fórum antigo, em uma rede social e em um serviço de email, a violação do fórum antigo pode colocar em risco também outras contas. Faça, portanto, uma verificação mental e prática:

onde você usou a mesma senha?
quais contas possuem o mesmo email de acesso?
quais serviços contêm dados pessoais ou pagamentos?
quais contas permitem recuperar outras contas?
quais senhas são similares à roubada?

Comece pelas contas mais sensíveis: email, home banking, serviços de pagamento, redes sociais, cloud, e-commerce, conta Apple, conta Google, ferramentas de trabalho e serviços com dados pessoais.

Ative a autenticação de dois fatores

A autenticação de dois fatores adiciona uma segunda etapa além da senha. Pode ser um código gerado por um app, uma notificação no telefone, uma chave de segurança física, um código recebido por SMS ou outro método previsto pelo serviço. É uma proteção importante porque dificulta o acesso mesmo se alguém souber a senha. Não é garantia absoluta, mas reduz muito o risco de acessos não autorizados. Quando puder escolher, prefira:

app de autenticação;
passkey;
chaves de segurança físicas;
notificações de confirmação em dispositivo confiável.

Os SMS são melhor que nada, mas podem ser menos seguros em comparação com outros métodos. De qualquer forma, ativar um segundo fator quase sempre é uma escolha melhor do que usar apenas a senha.

Para lembrar: depois de ativar a autenticação de dois fatores, salve também os códigos de recuperação em um local seguro. Eles são úteis se você perder o telefone ou não puder usar o método principal de verificação.

Saia de todos os dispositivos conectados

Depois de alterar uma senha comprometida, verifique as sessões ativas. Muitos serviços permitem ver de quais dispositivos, navegadores ou apps o acesso foi feito. Procure termos como:

dispositivos conectados;
sessões ativas;
acessos recentes;
atividades de segurança;
onde você fez login;
gerenciar dispositivos.

Se encontrar um dispositivo que você não reconhece, desconecte-o. Se o serviço oferecer a opção Sair de todos os dispositivos, use-a depois de alterar a senha. Isso faz com que eventuais sessões abertas por outras pessoas sejam encerradas. Este passo é especialmente importante para e-mails, redes sociais, contas Google, Apple Account, serviços em nuvem, plataformas de trabalho e apps ligadas a pagamentos.

Verifique e-mail, número de telefone e métodos de recuperação

Quando alguém consegue entrar em uma conta, pode alterar os dados de recuperação para manter o acesso mesmo após a mudança da senha. Por isso, você deve verificar se o e-mail, número de telefone e métodos de recuperação ainda estão corretos. Confirme:

e-mail principal;
e-mail secundário;
número de telefone;
dispositivos confiáveis;
apps de autenticação conectadas;
chaves de segurança;
códigos de backup;
perguntas de segurança, se ainda existirem.

Se encontrar algum dado que não reconhece, remova-o imediatamente. Depois mude a senha novamente, porque a conta pode já ter sido manipulada.

Verifique apps conectadas e permissões

Muitas contas permitem que apps, extensões ou serviços externos acessem seus dados. Isso é conveniente, mas pode se tornar um risco se, ao longo do tempo, você tenha autorizado ferramentas que não usa mais ou que não reconhece. Após uma possível compromissão, entre na seção dedicada às apps conectadas e remova tudo que não for necessário. Verifique especialmente:

apps de terceiros conectadas à conta;
extensões do navegador;
serviços que têm acesso a e-mail, calendário, arquivos ou contatos;
integrações antigas ou que não são mais usadas;
apps instaladas fora das lojas oficiais;
ferramentas que exigem permissões muito amplas.

Se você acha que o problema surgiu por um anexo ou download suspeito, o guia sobre como descobrir se um arquivo é perigoso antes de abri-lo.

Verifique o dispositivo: pode haver malware

Uma senha pode ser roubada de várias maneiras: violação de um site, phishing, malware, extensões maliciosas, apps não confiáveis, rede Wi-Fi comprometida ou páginas falsas que imitam serviços conhecidos. Se a senha foi roubada após instalar algo, abrir um anexo ou clicar em um link suspeito, não se limite a trocar a senha. Verifique também o dispositivo.

Você pode fazer estes passos:

atualize o sistema operacional, navegador e apps;
remova programas ou apps que você não reconhece;
desinstale extensões do navegador inúteis ou suspeitas;
execute uma varredura com um software de segurança confiável;
verifique se o navegador abre páginas estranhas ou mostra notificações suspeitas;
evite mudar a senha de um dispositivo que você pensa estar infectado.

Se você tiver uma dúvida séria, troque as senhas mais importantes de um dispositivo diferente e confiável. Mudá-las em um computador comprometido pode expor imediatamente as novas credenciais.

Atenção aos falsos e-mails de violação de dados

Após uma violação real ou presumida, podem chegar e-mails de golpe que fingem avisar você sobre um problema de segurança. A mensagem pode convidar você a clicar em um link, baixar um arquivo ou inserir a senha para “verificar” a conta. Esses mensagens frequentemente usam frases urgentes, logos semelhantes aos originais e tons alarmistas. O conselho é simples: não clique nos links contidos no e-mail. Vá diretamente ao site oficial ou abra o app oficial do serviço.

Preste atenção se a mensagem:

pede para inserir a senha em uma página acessada por link;
contém erros estranhos ou um domínio semelhante mas não idêntico ao oficial;
ameaça o fechamento imediato da conta;
pede códigos de verificação ou dados bancários;
convida a baixar anexos;
vem de um remetente que não corresponde ao serviço real.

Uma regra útil é esta: senhas não se comunicam por e-mail, chat ou telefone. Se alguém pedir, é quase certamente uma tentativa de golpe.

O que fazer se você não conseguir mais acessar

Se a senha foi alterada por outra pessoa e você não consegue mais entrar na conta, deve usar o procedimento oficial de recuperação. Cada serviço tem um caminho diferente, mas em geral pedirá para confirmar sua identidade via e-mail, número de telefone, dispositivo já reconhecido ou documentos. Nesta situação:

não crie imediatamente uma nova conta se puder recuperar a antiga;
use somente a página oficial de recuperação;
verifique também a caixa de spam ou lixo eletrônico;
prepare dados úteis para provar que a conta é sua;
avise seus contatos se a conta foi usada para enviar mensagens suspeitas;
se houver pagamentos vinculados, verifique movimentos e métodos de pagamento.

Se a conta comprometida estiver ligada ao trabalho, pagamentos, documentos ou dados sensíveis, considere também contatar o suporte do serviço e, nos casos mais graves, o banco ou as autoridades competentes.

Quando avisar o banco, contatos ou suporte

Nem todas as senhas roubadas têm o mesmo nível de risco. Se a senha era de um fórum antigo ou de uma conta secundária, pode ser suficiente alterá-la e verificar eventuais reutilizações. Se, por outro lado, diz respeito a email, banco, redes sociais ou serviços profissionais, é necessário mais atenção. Avise o banco ou o serviço de pagamento se:

você notar operações que não reconhece;
a senha roubada estava ligada a uma conta com cartões salvos;
receber notificações de pagamentos suspeitos;
sua conta foi usada para fazer compras;
você inseriu dados bancários em uma página suspeita.

Avise seus contatos se:

mensagens estranhas foram enviadas do seu perfil;
alguém está usando seu nome para pedir dinheiro ou códigos;
a conta social foi usada para publicar conteúdos que não são seus;
emails de phishing foram enviados da sua caixa de entrada.

Pode ser constrangedor, mas é melhor avisar imediatamente. Assim, você reduz o risco de outras pessoas caírem na fraude usando a confiança que têm no seu nome.

Como prevenir o problema no futuro

Você não pode controlar todas as violações de dados que ocorrem online, mas pode reduzir muito os riscos seguindo algumas boas práticas.

use uma senha diferente para cada conta;
ative a autenticação de dois fatores nos serviços mais importantes;
use um gerenciador de senhas confiável;
evite salvar senhas em dispositivos compartilhados;
mantenha o sistema operacional, navegador e apps atualizados;
não instale extensões desnecessárias ou desconhecidas;
não clique em links suspeitos recebidos por email, SMS ou chat;
verifique periodicamente dispositivos conectados e acessos recentes;
remova as contas que você não usa mais;
prefira passkeys quando o serviço as suportar.

Antes de agir, pode ser útil verificar quais credenciais ainda estão salvas no navegador ou smartphone: neste guia explicamos como ver as senhas salvas no Chrome, Android e iPhone.

Senha roubada e passkey: qual a diferença

As passkeys são um sistema de acesso diferente das senhas tradicionais. Em vez de digitar uma senha, você confirma o acesso com o dispositivo, o rosto, a impressão digital ou um código de desbloqueio. Isso reduz o risco de phishing porque não há uma senha clássica para copiar e reutilizar. Nem todos os serviços ainda suportam passkeys, mas quando estão disponíveis podem ser uma boa escolha, especialmente para as contas mais importantes. Mesmo assim, é preciso proteger bem o dispositivo, manter ativos os métodos de recuperação e saber o que fazer se perder o telefone ou o computador. As passkeys não eliminam todos os riscos, mas reduzem um dos problemas mais comuns: a reutilização da mesma senha em vários sites.

Erros a evitar após uma senha roubada

Após uma possível violação, algumas reações instintivas podem piorar a situação. Aqui estão os erros mais comuns a evitar.

Mudar apenas uma senha: se a mesma credencial foi usada em outros lugares, você deve trocá-la também nas outras contas.
Usar uma variação parecida: adicionar um número ou símbolo à senha antiga não é suficiente.
Clicar em links recebidos por email: sempre acesse pelo site oficial ou pelo app oficial.
Esquecer o email principal: geralmente é a conta mais importante a proteger.
Não verificar os dispositivos conectados: alguém pode ainda ter uma sessão aberta.
Não verificar apps e permissões: um app conectado pode continuar a acessar os dados.
Trocar a senha de um dispositivo suspeito: se o dispositivo estiver infectado, a nova senha também pode ser roubada.

Em resumo

Se uma senha foi roubada, você deve agir imediatamente, mas com método. Mude a senha no site oficial, escolha uma credencial nova e única, verifique se a mesma senha foi usada em outros lugares e ative a autenticação em dois fatores. Logo depois, verifique acessos recentes, dispositivos conectados, métodos de recuperação, apps autorizados e possíveis atividades suspeitas. Se a conta envolve email, banco, pagamentos ou dados sensíveis, dê máxima prioridade à proteção e não espere.

A regra mais importante é simples: uma senha roubada nunca deve permanecer válida e nunca deve ser usada em várias contas. Quanto mais únicas forem suas senhas, mais difícil será que um único problema se transforme em uma violação maior.

Perguntas frequentes

Como sei se uma senha foi roubada?

Você pode receber um aviso do navegador, do gerenciador de senhas ou do serviço que usa. Outros sinais são acessos suspeitos, códigos de verificação não solicitados, emails de segurança estranhos ou alterações na conta que você não fez.

O que devo fazer primeiro se uma senha foi roubada?

Você deve mudá-la imediatamente no site ou app oficial do serviço. Não use links recebidos por email ou mensagem. Após a troca, verifique acessos recentes, dispositivos conectados e métodos de recuperação.

É suficiente eliminar a senha salva no navegador?

Não. Apagar uma senha salva no navegador ou smartphone remove apenas a credencial armazenada. Se a senha foi roubada, você deve realmente mudá-la na conta vinculada.

Devo mudar também as senhas das outras contas?

Sim, se você usou a mesma senha ou uma senha muito similar em outros serviços. A reutilização de senhas é uma das principais razões pelas quais uma única violação pode colocar várias contas em risco.

É útil ativar a autenticação em dois fatores?

Sim. A autenticação em dois fatores adiciona um segundo passo além da senha e torna o acesso não autorizado mais difícil, mesmo que alguém conheça a sua senha.

O que faço se não conseguir mais acessar a conta?

Use o procedimento oficial de recuperação de conta do serviço. Evite links suspeitos, prepare os dados necessários para provar que a conta é sua e verifique também e-mails, telefone e dispositivos conectados.

Uma passkey é mais segura que uma senha?

Em muitos casos, sim, porque não se baseia em uma senha tradicional para digitar e reutilizar. As passkeys reduzem o risco de phishing, mas ainda exigem dispositivos protegidos e métodos de recuperação bem configurados.

Quando devo avisar o banco?

Você deve avisar o banco ou o serviço de pagamento se notar movimentações suspeitas, se a conta comprometida tinha cartões salvos ou se achar que inseriu dados bancários em uma página falsa.