Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
EnglishEspañolItalianoFrançaisDeutschPortuguês
Segurança de Dados
Governança de AlGestão da Postura de Segurança de DadosGovernança de Acesso a DadosPrevenção de Perda de DadosDescoberta e Classificação de Dados
Segurança de Identidade
Detecção e Resposta a Ameaças de IdentidadeGovernança e Administração de IdentidadeGestão da Postura de Segurança de IdentidadeGerenciamento de Acesso PrivilegiadoSegurança do Diretório

O futuro da segurança dos dados

A Plataforma Netwrix 1Secure™

Explorar
Soluções
Casos de Uso em Destaque Ver todos os casos de uso
Segurança do Active DirectoryDefesa de Identidade Não HumanaProntidão do CopilotImplantação LocalDetecção e Análise de Risco de IdentidadeProvedores de Serviços GerenciadosFusões, Aquisições e DesinvestimentosConformidade RegulamentarSegurança do Microsoft 365Zero Trust
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint ProtectorNetwrix Privilege SecureGerenciador de Identidade Netwrix

O checkout self-service está disponível para organizações com até 150 funcionários

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Compre Agora Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinarsMicrosoft Alliance
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Password spraying: 97% dos ataques não invadem — apenas fazem login

Password spraying: 97% dos ataques não invadem — apenas fazem login

Apr 6, 2026

A Microsoft acaba de lançar suas últimas orientações sobre ameaças críticas à infraestrutura junto com seu último Digital Defense Report.

E se você ler nas entrelinhas, há uma história muito clara:

Os atacantes não estão mais quebrando janelas.
Eles entram pela porta da frente… silenciosamente… com suas credenciais.

Deixe-me repetir.

Eles estão fazendo login. Não invadindo.

Password spray: o ataque mais chato (e eficaz) do mundo

Password spraying soa quase... inofensivo.

Não é.

  1. Tente senhas comuns em várias contas.
  2. Mantenha-se abaixo dos limites de bloqueio.
  3. Aguarde um login bem-sucedido.

É isso. Sem zero-days. Sem montagem de hacking ao estilo Hollywood. Sem música de Missão Impossível.

Apenas paciência.

E funciona. Muito.

Se você ouvir números como “97% dos ataques começam assim”, isso não é um erro de arredondamento. São fatos que não podemos ignorar.

Para ser concreto, a Microsoft está dizendo duas coisas importantes agora.

Do Relatório de Defesa Digital da Microsoft

97% dos ataques de identidade foram ataques de password spray.

null

Essa pequena caixa diz tudo.

Isso mesmo.

Mesmo com a evolução das táticas, os atacantes ainda vencem com senhas fracas e muito usadas.

Reserve um minuto e leia as orientações da Microsoft e o relatório para obter o contexto completo. Depois volte aqui quando terminar.

Porque você pode passar o dia todo falando sobre ameaças avançadas… enquanto os atacantes continuam entrando pela porta da frente.

Você deveria usar acesso sem senha.

Sim. Você deveria.

FIDO2. Windows Hello. Biometria. Tudo isso.

Esse é o destino.

Mas sejamos honestos conosco mesmos por um segundo…

Sua organização não está lá.

Você tem aplicativos legados. Dependências de VPN. Contas de serviço. E usuários que ainda digitam “Summer2024!”.

E agora?

É correto simplesmente ignorar a realidade até que a “transformação sem senha” esteja completa?

Isso não é uma estratégia. Ou se for, é uma estratégia arriscada na melhor das hipóteses. Honestamente, é esperar e rezar para que um problema não ocorra.

E como já dissemos antes:

Esperança não é uma estratégia. Política é.

A lacuna sobre a qual ninguém quer falar

Há uma grande e desconfortável lacuna entre onde a Microsoft quer que você esteja (utopia sem senha) e onde você realmente está (senhas em toda parte).

Essa lacuna?

É aí que os atacantes vivem.

E os próprios dados da Microsoft basicamente dizem:

“Ei… é daqui que vêm os ataques.”

Então, a verdadeira pergunta é:

O que você está fazendo a respeito hoje?

Apresentamos: o software do tipo “Por que eu não tinha isso antes?”

Imagine isto:

Um usuário tenta definir uma senha.

Nos bastidores, seu sistema verifica isso contra um enorme banco de dados de senhas comprometidas conhecidas.

Se for fraca, reutilizada ou já comprometida?

Bloqueado. Imediatamente.

Sem debate. Sem exceção. Sem “vamos consertar depois.”

É isso que Netwrix Password Policy Enforcer faz.

Ele se conecta diretamente ao Active Directory e aos eventos de alteração de senha híbridos, verifica essas senhas antecipadamente contra Have I Been Pwned e bloqueia essas senhas comprometidas e/ou fracas antes que se tornem um problema.

Funciona com o que você já tem — ambientes híbridos Active Directory e/ou Entra ID — sem necessidade de substituição.

Isto não é reinventar a identidade.

Está tornando seu sistema de identidade existente… realmente aplicável.

Ou como eu gosto de dizer:

Nós não reinventamos a roda. Nós tornamos a roda mais redonda.

Bloqueie credenciais fracas, reutilizadas e comprometidas com o software de política de senha do Active Directory. Baixe a avaliação gratuita

Por que isso importa mais do que nunca

Voltemos ao ponto da Microsoft:

Os atacantes estão estabelecendo persistência. Sentados silenciosamente. Esperando.

Password spray é frequentemente o primeiro dominó.

Se eles entrarem uma vez — mesmo com uma conta de baixo privilégio — não precisam de fogos de artifício.

Eles precisam de tempo.

E a partir daí, é movimento lateral. Escalada de privilégios. Técnicas living-off-the-land.

Jogo acabado… só que mais lento.

A mudança: da detecção à prevenção

Aqui está a verdade desconfortável:

EDR detecta após o fato. SIEM alerta após o fato. A resposta a incidentes aparece após o fato.

Prevenção contra ataques de pulverização de senhas?

Isso é antes do fato.

Essa é a diferença entre perseguir atacantes e pará-los na porta.

Ou melhor ainda… nunca deixar que encontrem uma porta que funcione.

Preencha a lacuna. Não espere pela perfeição.

Você já sabe para onde quer ir.

Sem senha. Resistente a phishing. Identidade moderna.

Mas até lá?

Você tem senhas. Aceite isso.

Bloqueie senhas comprometidas. Aplique uma política rigorosa. Remova as oportunidades fáceis que os atacantes exploram.

Porque a pior manchete não é:

“Empresa violada por ator avançado de estado-nação”

É:

“Empresa violada… por causa de uma senha fraca que poderiam ter evitado.”

Pensamento final

A Microsoft acabou de lhe fornecer o documento âncora.

Os dados estão lá. O padrão é óbvio.

97% dos ataques entram pela mesma porta da frente.

Então aqui está a jogada fácil.

Você sabe que deveria estar sem senha. Mas não está.

Você tem senhas. E provavelmente terá por... um tempo. Então, vamos lidar com isso.

Use Netwrix Password Policy Enforcer para bloquear ataques de pulverização de senha.

Preencha a lacuna entre o que você tem e onde quer chegar.

E não apareça nos jornais porque você poderia ter feito algo… e não fez.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Jeremy Moskowitz

Vice-Presidente de Gestão de Produtos (Endpoint Products)

Jeremy Moskowitz é um especialista reconhecido na indústria de segurança de computadores e redes. Co-fundador e CTO da PolicyPak Software (agora parte da Netwrix), ele também é um Microsoft MVP 17 vezes em Group Policy, Enterprise Mobility e MDM. Jeremy escreveu vários livros best-sellers, incluindo “Group Policy: Fundamentals, Security, and the Managed Desktop” e “MDM: Fundamentals, Security, and the Modern Desktop.” Além disso, é um palestrante requisitado em tópicos como gerenciamento de configurações de desktop, e fundador do MDMandGPanswers.com.

Últimos blogs

O que é shadow data e como protegê-lo

NIST CSF 2.0: O que há de novo no Framework de Cibersegurança

Netwrix conquista a certificação OPSWAT Gold para criptografia em Windows, macOS e Linux

Software de conformidade SOX: automatizando controles e evidências de auditoria

Testes NetSuite: melhores práticas, tipos e tendências para 2026

Top 7 soluções DSPM para 2026

Governança de acesso a dados explicada: visibilidade, controle e automação

Principais empresas de cibersegurança com IA em 2026

As 7 melhores ferramentas de conformidade para automatizar auditorias de segurança em 2026

8 alternativas ao KeePass que vale a pena avaliar em 2026

Nossos principais artigos

Variáveis de Ambiente do PowerShell

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Baixe e instale o PowerShell 7

Uma visão geral do ataque cibernético da MGM

Como executar um script PowerShell

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Powershell Delete File If Exists

Guia de Tratamento de Erros com Try-Catch no PowerShell

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como instalar e usar o Active Directory Users and Computers (ADUC)?