123456, admin e password são as senhas que os usuários escolhem com mais frequência para proteger o acesso às suas contas em serviços digitais. Mas, considerando a facilidade com que são adivinhadas, elas fazem justamente o contrário: colocam a segurança das contas em risco.

O portal especializado Comparitech compilou as cem senhas mais usadas em 2025, uma tabela criada a partir de dados agregados de mais de 2 bilhões de credenciais vazadas em canais criminosos, após verificar aquelas que foram atualizadas para o ano corrente.

Domínio das sequências numéricas

Em seu ranking, 123456 aparece como a senha mais usada, especificamente em 7.618.192 contas analisadas. Ela é seguida por 12345678, presente em 3.676.487 contas, e 123456789, registrada em 2.866.100 contas.

Em seguida, vem a senha “admin”, que protege 1.987.808 contas. “password” (1.082.010 vezes), “111111” (326.154 vezes) e “admin123” (306.343 vezes) estão entre os exemplos de senhas fracas que figuram entre as 20 mais frequentes. Finalmente, em 100º lugar, aparece “minecraft” (69.464 vezes).

O ranking revela o uso disseminado de senhas fracas, que não representam desafio para os cibercriminosos, pois são facilmente adivinhadas. Uma das categorias predominantes é a de combinações compostas apenas por números, que representam um quarto das mil senhas mais comuns, segundo o site especializado.

Palavras comuns e pouca complexidade

Também é comum usar palavras simples e fáceis de lembrar, como admin, qwerty (que segue a ordem de uma fileira de teclas no teclado) e password. Em termos de comprimento, as senhas mais frequentes têm oito caracteres (18%), enquanto as de 15 caracteres representam apenas 7%.

Recomendações para uma senha segura

Atualmente, as senhas não são consideradas uma medida de proteção suficiente, sendo recomendado complementá-las com um segundo fator de segurança — um código único ou aprovação via celular — para evitar que seu roubo permita o acesso à conta da vítima.

Alternativamente, ganha espaço o uso de chaves de acesso ou passkeys, que exigem apenas que o usuário se autentique com rosto, impressão digital ou um código PIN. Elas são baseadas no padrão Fast IDentity Online 2 (FIDO2), que protege o login com uma chave criptográfica.

Essa chave é pública na web e privada na conta do usuário onde está armazenada (como contas da Microsoft ou do Google), o que significa que, caso o site sofra uma violação de segurança, a conta permanece protegida.

Ainda assim, as senhas seguem muito populares e, por isso, é importante lembrar que precisam ser fortes para cumprir sua função. Para isso, evite combinações muito curtas ou fáceis de adivinhar — como as incluídas na classificação da Comparitech — além daquelas que contenham informações pessoais.

As senhas devem ter pelo menos oito caracteres — quanto mais longas, melhor — e incluir letras maiúsculas e minúsculas, números e símbolos. Elas também devem ser exclusivas para cada conta. Se você tiver dificuldade para se lembrar delas, a recomendação é usar um gerenciador de senhas, que armazena suas combinações e permite atualizá-las quando necessário.