É uma prática de segurança muito comum não guardar senhas para serviços que dependem de senhas para acesso. Isso remove o risco e a motivação de um ataque para roubar senhas. Não é possível ocorrer roubo de senhas a partir de nossos servidores, pois não há senhas para roubar.

Sem senhas, como se verifica se uma senha está correta durante o login?

Ao invés da senha em formato de texto, guarda-se um hash criptográfico dela: um valor complexo gerado a partir da senha que não permite descobrir a senha que o gerou (veja explicação mais detalhada na Wikipedia). Por exemplo, se uma conta usa a senha SenhaSuperSecreta2000, o hash dela é armazenado assim:

1445  0879  2228  cb46  5d2a  ddb0  5317  f11b
3371  e53d  e3d2  f9cd  44af  0076  eaba  736f
a3e8  d011  0874  e5ad  ad4b  750e  4a44  e55d
b4a9  af92  d954  3761  ff07  ffbe  d97b  405c

É incrivelmente difícil descobrir a senha SenhaSuperSecreta2000 a partir do valor acima (um esforço computacional que demoraria séculos usando supercomputadores para os algoritmos disponíveis hoje), assim como não é viável descobrir outra senha que gere o mesmo valor. Além disso, os hashes de senhas são acompanhados de um valor aleatório conhecido como sal, para protegê-los de ataques de dicionário e são encriptados em várias iterações, inviabilizando ataques de força bruta.

Quando uma senha é apresentada para login, calcula-se o hash dela para ser comparado ao hash acima. Se os hashes forem idênticos, a senha é considerada correta.

ATENÇÃO: a senha SenhaSuperSecreta2000 é fraca e fácil de adivinhar! Aprenda como definir uma senha segura.

Perdi minha senha, e agora?

A solução é redefini-la, pois senhas não podem ser recuperadas. Use o link "Esqueci minha senha" se houver, altere a senha de caixas postais se tiver acesso ao painel de controle ou acione nosso suporte.