Como enviar um nome de utilizador e uma palavra-passe de forma segura?
Nicolas,
Enviar um nome de utilizador e uma palavra-passe por e-mail, SMS ou mensagens instantâneas é uma das práticas mais arriscadas em matéria de segurança digital. Estes canais geralmente não são cifrados de ponta a ponta, e as mensagens podem permanecer acessíveis nos históricos durante anos. Em 2026, vários métodos simples e acessíveis permitem transmitir acessos de forma verdadeiramente segura.
Porquê não enviar uma palavra-passe por e-mail ou SMS?
O e-mail padrão não é cifrado de ponta a ponta: o conteúdo é legível pelos servidores de correio intermediários e pode ser intercetado em trânsito. Um SMS é ainda mais vulnerável — transita em texto simples pelas redes telefónicas e pode ser intercetado por um ataque SS7 ou um IMSI-catcher.
Além disso, uma palavra-passe enviada por mensagem permanece no histórico de conversação de ambas as partes indefinidamente. Em caso de comprometimento de uma conta de e-mail — o que acontece muito mais frequentemente do que se pensa — todos os acessos transmitidos por esse canal ficam expostos.
Método 1: ferramentas de partilha por ligação única (one-time link)
É o método mais simples e recomendado tanto para particulares como para profissionais. Estas ferramentas geram uma ligação única que só pode ser aberta uma vez — após abertura, o conteúdo é automaticamente destruído.
Os serviços mais utilizados em 2026:
- One Time Secret: serviço open source e gratuito que permite partilhar uma mensagem cifrada através de uma ligação de utilização única com tempo de expiração configurável
- Password Pusher: especializado na partilha de palavras-passe, open source, auto-alojável e configurável (número de visualizações, expiração)
- Yopass: cifragem do lado do cliente, ligação única com expiração, disponível em versão auto-alojada
O funcionamento é idêntico para todos: introduz a palavra-passe na interface, o serviço gera uma ligação única cifrada que transmite ao destinatário. Este abre a ligação, lê a palavra-passe, e a ligação fica imediatamente inválida.
Bom saber: separe sempre o nome de utilizador da palavra-passe durante a transmissão. Envie o nome de utilizador (ou o nome do serviço) por um canal habitual (e-mail, mensagem) e transmita apenas a palavra-passe através da ligação única. Assim, mesmo que a ligação seja intercetada, não é explorável sem conhecer a conta a que está associada.
Método 2: um gestor de palavras-passe com partilha integrada
Os gestores de palavras-passe modernos oferecem funcionalidades de partilha segura integradas, ideais para uso profissional ou em equipa.
- Bitwarden: permite partilhar credenciais com outros utilizadores Bitwarden através de coleções partilhadas — cifragem de ponta a ponta, open source
- 1Password: partilha de cofres com membros da equipa, controlo de permissões (só leitura, edição)
- Dashlane: partilha de credenciais com ou sem revelar a palavra-passe em texto simples ao destinatário
Estas soluções são particularmente adequadas para acessos partilhados em empresas — um acesso pode ser revogado a qualquer momento sem que o destinatário tenha alguma vez visto a palavra-passe em texto simples.
Método 3: mensagens cifradas de ponta a ponta
Se não tiver acesso a uma ferramenta dedicada, as mensagens cifradas de ponta a ponta continuam a ser uma opção aceitável — desde que utilize as ferramentas certas e elimine a mensagem imediatamente após o destinatário a ter recebido.
- Signal: cifragem de ponta a ponta por defeito, mensagens efémeras configuráveis, disponível em iOS, Android e computador
- WhatsApp: cifragem E2E baseada no protocolo Signal, aceitável para uso pontual
- ProtonMail: e-mails cifrados de ponta a ponta entre utilizadores ProtonMail, ou através de ligação segura para destinatários externos
Bom saber: mesmo no Signal, evite deixar uma palavra-passe no histórico de conversação. Ative as mensagens efémeras (função "Temporizador") na conversa em causa e peça ao destinatário que confirme a receção antes de a mensagem desaparecer.
Método 4: partilha verbal ou física
Para os acessos mais sensíveis, a transmissão verbal continua a ser o método mais seguro. Uma chamada telefónica, uma videoconferência ou uma entrega pessoal não deixa qualquer rasto digital — desde que o destinatário registe o acesso diretamente num gestor de palavras-passe seguro e não num post-it ou num ficheiro de texto.
O que nunca fazer
| Prática a evitar | Risco |
|---|---|
| E-mail padrão (Gmail, Outlook…) | Sem cifragem E2E, permanece nos históricos |
| SMS | Transita em texto simples, interceção possível, histórico permanente |
| Slack, Teams, Discord sem cifragem E2E | Legível pelo operador, registos armazenados no servidor |
| Ficheiro de texto ou Excel partilhado | Sem controlo de acesso, pode ser copiado indefinidamente |
| Post-it ou nota em papel não segura | Fisicamente acessível a qualquer pessoa |
| Mesma palavra-passe para vários serviços | Um comprometimento expõe todas as contas |
Bom saber: independentemente do canal utilizado, mude a palavra-passe partilhada o mais rapidamente possível após o destinatário a ter guardado no seu gestor de palavras-passe. Uma palavra-passe temporária transmitida para um primeiro acesso deve sempre ser substituída por uma palavra-passe pessoal gerada pelo próprio destinatário — é a única forma de garantir que já não tem acesso às informações sensíveis da outra parte.