Como a IA aumenta os riscos
Na Roma antiga, as forças armadas tinham uma "senha" diária que os soldados usavam para entrar no acampamento..1 Um oficial escrevia a senha em tábuas de argila, que eram distribuídas pelas várias unidades militares; se uma tábua não fosse devolvida, eles logo a localizavam e puniam o soldado que não a devolvia.
Claramente, uma coisa tem sido verdadeira desde a Roma antiga até hoje: se você quer se manter seguro, precisa saber onde estão suas senhas.
Infelizmente, manter o controle das credenciais é mais difícil para uma organização moderna. Atualmente, as empresas precisam gerenciar um número cada vez maior de credenciais que vão muito além das senhas tradicionais, como segredos de desenvolvedor, chaves-senha, logins compartilhados, chaves API, chaves SSH, contas de serviço e tokens de acesso SSO.
Essas credenciais não ficam em um único lugar. Eles estão em navegadores, scripts, ambientes de desenvolvimento, mensagens do Slack, ferramentas de IA, arquivos de configuração e, às vezes, em planilhas de texto simples.
A proliferação de credenciais fora da visibilidade e do controle centralizados é conhecida como "dispersão de credenciais" e os invasores estão ansiosos para tirar proveito disso.2 Esse problema é urgente devido ao surgimento de ferramentas e agentes baseados em IA, que não apenas aumentaram a escala e o alcance das credenciais não gerenciadas, mas também apresentam desafios de gerenciamento de acesso e identidade que ferramentas como SSO e PAM não estão preparadas para enfrentar.
What causes credential and secrets sprawl?
Os riscos de credenciais não são um problema novo. No entanto, nos últimos anos, gerenciar onde e como as credenciais são usadas evoluiu de uma tarefa hercúlea para uma tarefa quase impossível. Ou seja: nunca foi fácil, mas em algum momento tornou-se quase impossível. Para entender o motivo, começaremos com uma visão geral de alguns dos fatores essenciais que contribuem para a proliferação das credenciais.
Proliferação de senhas
Os perigos das senhas não gerenciadas e das práticas inadequadas de senhas são bem conhecidos há anos e, ainda assim, as senhas continuam sendo um dos vetores mais comuns de violações de dados e ataques.3
O relatório anual de 2025 do 1Password, intitulado "A lacuna de confiança no acesso", constatou que dois terços dos funcionários admitem adotar práticas inadequadas de senhas, incluindo:4
Usar as mesmas senhas em várias contas de trabalho
Nunca mudar as senhas padrão de TI
Usar a mesma senha para contas de trabalho e pessoais
Enviar mensagens de texto, e-mails ou outras mensagens contendo senhas para você mesmo ou para um colega
Essas práticas inadequadas podem ter efeitos devastadores, como quando os atacantes usaram credenciais roubadas em violações anteriores para fazer login nos repositórios dos desenvolvedores no GitHub, Bitbucket e GitLab. Como o jornalista e analista Robert Lemos relatou, “O ataque destaca os perigos de manipular mal as senhas... Nenhum dos serviços que hospedam os repositórios dos desenvolvedores afetados encontrou sinais de comprometimento. Em vez disso, os atacantes fizeram login neles a partir de um endereço de Internet não reconhecido usando credenciais válidas e, em seguida, excluíram o código da vítima.”5
SaaS e IA não gerenciados
Como disse o analista de segurança Francis Odum,6 "À medida que as organizações adotaram cada vez mais aplicativos SaaS, a necessidade de gerenciamento de senhas de nível empresarial se tornou mais acentuada. Os funcionários dependiam de credenciais pessoais para contas de trabalho, aumentando o risco de reutilização de credenciais e incidentes de segurança. Embora a SSO (autenticação única) e a MFA (autenticação multifator) tenham se tornado controles padrão, eles muitas vezes falharam em cobrir toda a gama de aplicativos corporativos, deixando lacunas de visibilidade…”
A dispersão de SaaS tem sido um problema conhecido há anos no setor de segurança cibernética.7 A empresa média gerencia mais de cem aplicativos somente na plataforma de SSO (autenticação única)8, mas muitos aplicativos estão fora do alcance da SSO.
A 1Password constatou que a empresa média tem um terço dos aplicativos fora da proteção do SSO (autenticação única). Isso cria um enorme ponto cego para as equipes de TI, especialmente durante o desligamento do funcionário da empresa.9
Mais de um terço (38%) dos funcionários conseguiram acessar a conta, dados ou aplicativos de um empregador anterior após deixar a empresa.
1Password Annual Report 2025: The Access Trust Gap
Agora, a IA está acelerando a expansão do SaaS ainda mais, além do que a SSO (autenticação única) foi projetada para suportar. Um em cada quatro funcionários utilizou aplicativos de IA não aprovados pela empresa, e mais de um terço admite ter ignorado conscientemente as políticas de IA da organização. 10
Os funcionários estão experimentando ferramentas de codificação de IA, extensões de navegador, assistentes de redação, ferramentas de análise de dados e plataformas de agentes, muitas vezes antes que a TI as avalie ou aprove. Muitas dessas ferramentas não se integram à SSO corporativa e, mesmo quando o fazem, a adoção geralmente começa fora dos processos oficiais de integração. A IA sombra representa sérios riscos, pois até mesmo aplicativos inócuos podem conter falhas de segurança graves que podem expor os dados e as credenciais da empresa.11
Agentes de IA também acessam credenciais de forma diferente. Eles não exigem apenas logins de usuário; eles requerem chaves API, tokens OAuth, contas de serviço e outras credenciais de máquina para funcionar. Essas credenciais podem ser armazenadas localmente, incorporadas em scripts, salvas em navegadores ou compartilhadas informalmente entre colegas de equipe, muito além da visibilidade dos sistemas de identidade tradicionais.
Cada aplicativo não gerenciado e ferramenta de IA representa pelo menos uma credencial não gerenciada que uma organização não pode garantir. O resultado é uma camada em constante expansão de aplicativos e credenciais que estão fora da governança centralizada.
Para uma análise mais aprofundada das limitações da SSO, leia nosso e-book: Por que a SSO não é suficiente para a segurança de identidade.
Segredos do Desenvolvedor
Os segredos dos desenvolvedores, como chaves SSH, chaves API, credenciais de contas de serviço, variáveis de ambiente e tokens de servidor, são essenciais para o acesso aos sistemas mais importantes de uma organização. Diferentemente das senhas de usuários, essas credenciais geralmente funcionam discretamente em segundo plano, sustentando aplicativos, infraestrutura, automação e, agora, agentes de IA.
No entanto, esses segredos raramente vivem dentro dos sistemas tradicionais de identidade. Em vez disso, são armazenados em repositórios de código, arquivos de ambiente local, pipelines de CI/CD, consoles na nuvem, scripts e ferramentas de colaboração. Na ausência de governança consistente e ferramentas criadas para esse fim, esses segredos se proliferam rapidamente e muitas vezes não são monitorados.
O relatório do GitGuardian de 2025, The State of Secrets Sprawl, mostra com que rapidez esse problema está se agravando.
Em 2024, encontramos 23.770.171 novos segredos codificados adicionados de forma permanente aos repositórios públicos do GitHub.
GitGuardian Report
Este número representa um aumento de 25% no total de segredos em relação ao ano anterior." Como eles dizem, “a proliferação de segredos está piorando constantemente ao longo do tempo.”12
A expansão de segredos pode se espalhar de várias formas, inclusive quando desenvolvedores acidentalmente expõem segredos em códigos públicos. No entanto, o relatório da GitGuardian destaca uma preocupação mais básica: “[embora] as ferramentas de gerenciamento de código-fonte tenham sido o foco principal da detecção de segredos… os segredos aparecem onde quer que as equipes colaborem, normalmente em ferramentas de colaboração e gerenciamento de projetos como Slack, Jira ou Confluence.”13
O envio de segredos em texto não criptografado por meio de aplicativos como o Slack representa uma abordagem perigosa e negligente em relação à segurança de informações confidenciais. Infelizmente, os cibercriminosos estão cientes dessa tendência. O site Dark Reading relata que "...tanto cibercriminosos quanto agentes estatais estão seguindo uma estratégia comprovada e se aproveitando de 'faltas de segurança' para impulsionar as campanhas."14
A IA agora está acelerando essa dinâmica. À medida que os desenvolvedores usam copilotos de IA para gerar código, provisionar infraestrutura ou automatizar fluxos de trabalho, as credenciais de máquina são criadas e reutilizadas em mais velocidade. Sem supervisão centralizada, os segredos se multiplicam em repositórios, prompts, pipelines e agentes. Tudo isso está expandindo a superfície de identidade muito além do que os sistemas tradicionais de IAM e PAM foram projetados para administrar.
How AI is worsening credential sprawl
O surgimento da IA e da IA agêntica aumentou a produtividade do local de trabalho moderno. Entretanto, eles também aceleraram a taxa de expansão de credenciais de forma igualmente forte e os riscos merecem uma análise mais detalhada.
Acesso de agentes de IA não gerenciado
Os agentes de IA representam uma classe totalmente nova de identidades; eles exigem níveis variados de acesso, mas operam de maneiras que geralmente são invisíveis para as ferramentas de segurança.
Como disse o The Hacker News, "Agentes de IA não operam de forma isolada. Para funcionar, eles precisam de acesso a dados, sistemas e recursos. Esse acesso altamente privilegiado, muitas vezes negligenciado, ocorre por meio de identidades não humanas: chaves de API, contas de serviço, tokens OAuth e outras credenciais de máquina.”15
Todas as NHIs representam um risco para as credenciais, e a forma como os agentes de IA as utilizam aumentou drasticamente a proliferação. Os números variam, mas em 2025, havia entre 8216 e potencialmente até 14417 identidades não humanas (NHIs) para cada identidade humana no ambiente empresarial médio. Independentemente disso, esse número está crescendo rapidamente.
Mais preocupante é o fato de que muitas dessas identidades de máquina têm níveis de acesso altamente privilegiados, muitas vezes sem o nível de escrutínio que normalmente seria aplicado a usuários altamente privilegiados. Na verdade, um estudo recente descobriu que 1 em cada 20 NHIs possui privilégios administrativos completos, mesmo que apenas 38% do total de NHIs tenham estado ativos nos últimos 9 meses.18
O que isso significa é que os agentes de IA estão recebendo níveis de acesso cada vez mais poderosos; esse acesso geralmente não é gerenciado pelas equipes de segurança, e os agentes mantêm privilégios poderosos além do ponto em que precisam deles.
Aplicativos e capacidades de agentes estão evoluindo a uma velocidade sem precedentes, e novas ferramentas são adotadas antes que os riscos sejam compreendidos. Jason Meller, vice-presidente e estrategista de segurança do 1Password, fez duas postagens no blog sobre como essas ferramentas podem ser poderosas e assustadoras.19,20
Jason Meller, vice-presidente e estrategista de segurança do 1Password, explica o risco: "Resumindo: gateways de agentes que agem como o OpenClaw são poderosos porque têm acesso real aos seus arquivos, suas ferramentas, seu navegador, seus terminais e a um arquivo de 'memória' de longo prazo que registra como você pensa e o que está criando".
Os malwares modernos são projetados para explorar exatamente essa combinação.
Jason Meller
Vice President and Security Strategist, 1Password
Embora o OpenClaw tenha chamado atenção, os problemas não se limitam a uma ferramenta isolada. No "índice de agentes de IA" do MIT, pesquisadores descobriram que a maioria dos desenvolvedores de agentes compartilha pouco sobre a segurança das ferramentas. "25 de 30 agentes não divulgam resultados internos de segurança, e 23 de 30 agentes não têm informações de testes de terceiros."21 Na verdade, o OpenClaw é um indicador da gravidade dos riscos de segurança que podem ocorrer quando agentes de IA recebem níveis de acesso não gerenciados; a popularidade e os riscos de segurança logo forçaram as equipes de segurança a reconhecer que o perímetro corporativo padrão não está equipado para lidar com as questões da IA agêntica.
Em "Por dentro da transformação da identidade empresarial do 1Password", Francis Odum observa que "A proliferação da IA agêntica cria uma dispersão de identidades e uma lacuna crítica de acesso". Como as credenciais tradicionais não foram criadas para IA, surgiu uma solução alternativa perigosa.22
Os devs recorrem ao armazenamento de segredos no código. Isso leva a agentes com privilégios excessivos, auditoria limitada e risco de perda de dados.
Francis Odum
A IA agrava as práticas de segurança de credenciais
Ferramentas baseadas em IA também estão agravando a expansão de credenciais ao replicar práticas ruins de segurança de credenciais.
A prática de programação assistida (usando IA generativa para escrever código) tende a reproduzir maus hábitos de segurança. Por exemplo, descobriu-se que uma plataforma baseada em grande parte em código intuitivo, o Moltbook, possuía um banco de dados mal configurado que expunha mais de um milhão de tokens de autenticação de API, juntamente com endereços de e-mail e mensagens privadas. 23
Novamente, isso não é exclusivo de uma única plataforma. O GitGuardian analisou o uso do Copilot – o assistente de IA da Microsoft (usado para programação assistida por IA, entre outras coisas) – e descobriu que repositórios com o Copilot ativo têm 40% mais chances de ter pelo menos um segredo vazado. 24
De modo geral, a prática de programação assistida pode permitir que funcionários com menos experiência em programação e, consequentemente, menos treinamento em segurança de código, aprovem códigos que não passaram por algumas das verificações e análises padrão que deveriam ser aplicadas à segurança de qualquer código.
A segurança tradicional de identidade está ficando para trás
Monitorar como os funcionários usam e armazenam credenciais sempre foi desafiador. Mas a IA muda fundamentalmente o modelo de segurança de identidade.
Ferramentas e agentes de IA não autenticam, armazenam ou usam credenciais como os humanos. Eles dependem de tokens incorporados, chaves de API, contas de serviço e padrões de acesso programático. Eles operam continuamente, duplicam facilmente e frequentemente persistem muito depois que seu propósito original termina.
As ferramentas tradicionais de segurança de identidade foram desenvolvidas para o comportamento humano, com logins interativos, autenticação baseada em sessão e níveis de privilégio bem definidos. Elas não foram criadas para gerenciar identidades de software autônomo que se expandem e se autenticam de forma programática e sem supervisão.
De certa forma, isso é quase intencional. Como disse Saumitra Das em um artigo para a Corporate Compliance Insights, “Por natureza, os agentes autônomos são treinados para encontrar a maneira mais fácil e eficiente de concluir a tarefa atribuída. Isso significa que, muitas vezes, eles podem identificar maneiras de contornar as proteções… "25
Os métodos tradicionais de controle de acesso estão se mostrando inadequados, à medida que a IA e a automação orientada por eventos criam NHIs em uma escala que nunca vimos antes. Conforme relatado pela TechTarget, “A maioria das ferramentas legadas de IAM e de PAM nunca foram projetadas para lidar com esse nível de volume e rotatividade.”26
O artigo continua a apontar algumas questões relacionadas à forma como os NHIs utilizam credenciais, incluindo:
Os NHIs usam uma ampla gama de métodos de autenticação, como tokens JSON, funções do Cloud IAM, segredos OAuth2 e chaves API. Cada um deles possui as próprias necessidades de segurança.
Normalmente, os NHIs recebem acesso ampliado e credenciais de longa duração para que as equipes possam garantir que a ferramenta terá o acesso necessário para automatizar diversos processos de negócios.
A detecção de anomalias nem sempre consegue identificar quando algo deu errado com um agente de IA, já que eles realmente não possuem padrões comportamentais "normais" para se desviar.
Cada um desses fatores pode prejudicar seriamente a eficácia da infraestrutura de segurança de uma empresa.
The costs of credential sprawl
O que acontece quando a proliferação de credenciais se espalha em uma empresa? Os custos se manifestam de várias maneiras, desde um raio de explosão maior no caso de uma violação até processos manuais demorados para gerenciar a postura de segurança, a conformidade e a resposta a incidentes.
Falhas de conformidade
As equipes de TI e segurança enfrentam constantemente a difícil tarefa de alcançar e comprovar a conformidade com padrões regulatórios como SOC 2, PCI DSS, ISO 27001:2022 e HIPAA (Lei de portabilidade e responsabilidade de provedores de saúde).
Cada um desses padrões possui requisitos relacionados ao uso seguro e ao armazenamento de credenciais. Por exemplo, o PCI DSS exige que "os logs de auditoria capturem todas as alterações nas credenciais de identificação e autenticação…"27
O SOC 2 também possui vários requisitos relacionados à forma como as empresas oferecem acesso a credenciais, incluindo requisitos que determinam que “a organização deve implementar processos para remover o acesso às credenciais quando um indivíduo não precisar mais desse acesso.”28 Vale ressaltar que o SOC 2 estende esses requisitos não apenas ao acesso às credenciais do usuário, mas também à forma como a “infraestrutura e o software internos e externos” acessam as credenciais.
Os órgãos reguladores, em geral, esperam que as empresas comprovem que fizeram a devida diligência para proteger informações sensíveis. “Devida diligência”, no caso do gerenciamento de credenciais, significa implementar ferramentas essenciais para que os administradores supervisionem onde e como as credenciais estão sendo usadas. A expansão de credenciais mina fundamentalmente a capacidade de uma empresa de fazer isso.
Além disso, embora as ferramentas de segurança possam estar ficando para trás em relação ao crescimento da IA, é improvável que os órgãos reguladores deem qualquer folga às empresas. Na verdade, eles estão aumentando a análise. Como Itamar Apelblat apontou em um artigo para a BleepingComputer, "Em cada uma dessas estruturas, a organização é responsável pelo que acontece com os dados regulamentados e os fluxos de trabalho regulamentados. Quando são os agentes de IA que atuam dentro desses sistemas, a responsabilidade não desaparece."29
Exposição ao risco
Não é difícil entender por que os padrões de conformidade dão tanta ênfase à gestão de credenciais e acesso. Simplificando: a expansão de credenciais aumenta muito o risco de ataque cibernético de uma organização.
Credenciais comprometidas são o ponto de entrada mais comum para invasores30 e têm sido assim há algum tempo; 50% dos CISOs que sofreram uma violação de segurança significativa nos últimos três anos identificaram credenciais comprometidas como principal causa.31
A proliferação de credenciais aumenta significativamente a superfície de ataque da empresa. Cada credencial armazenada sem supervisão de segurança e TI apresenta uma oportunidade para atores mal-intencionados violarem sistemas. E com a proliferação de credenciais crescendo tão rapidamente, as empresas enfrentam muito mais riscos.
Em 2025, a IBM relatou que a IA paralela foi responsável por 20% das violações de segurança, e 97% das violações de segurança relacionadas à IA envolveram IA que não possuía controles de acesso adequados. A IBM também destaca que "...os dados eram armazenados em vários ambientes, revelando que apenas um sistema de IA não monitorado pode levar a uma exposição generalizada."32
Resposta a Incidentes
A correção de violações e a resposta a incidentes já são processos caros e demorados. A expansão de credenciais só está piorando esses problemas. A IA sombra, por exemplo, aumenta a complexidade e o custo da resposta a violações; uma violação que envolva IA sombra pode custar até US$ 670.000 a mais do que uma violação comparável que não a envolva.33
Segundo a GitGuardian, 70% dos segredos vazados em 2022 ainda eram válidos em 2025.34 Esse é um número profundamente preocupante, indicando que as credenciais comprometidas não estão sendo corrigidas por nenhum processo de negócios padrão; elas não expiram automaticamente nem são rotacionadas pelas equipes. E como esses problemas existentes não estão sendo resolvidos, a cada nova violação, as equipes de TI e segurança ficam soterradas sob uma pilha de riscos que só aumenta em escopo e complexidade.
Conforme relatado pela TechTarget, as NHIs e a IA agêntica complicam ainda mais essa questão: “Como muitas organizações usam NHIs para conectar ambientes de nuvem… os segredos são duplicados ou reutilizados em vários sistemas, dificultando a correção e a rotação caso uma única identidade seja comprometida.”35
Solutions for credential sprawl
Estratégias tradicionais de IAM (Gerenciamento de Identidades e Acessos) nem sempre serão suficientes para lidar com as questões de expansão de credenciais. Em vez disso, as equipes precisarão de um esforço de várias camadas que busque abordar o problema de múltiplos ângulos.
Gestão de Credenciais
A questão da expansão das credenciais começa com o gerenciamento de senhas. Infelizmente, embora as senhas tenham atormentado as equipes de segurança por anos, muitas empresas ainda não têm um controle sólido sobre elas e as equipes de hoje usam mais ferramentas com mais logins do que nunca.
Sem uma estratégia clara, a proliferação de credenciais se espalha sem controle. Como falamos com mais detalhes em nosso blog recente,o gerenciamento de credenciais requer uma estratégia criada para abordar como as credenciais estão sendo usadas. As equipes precisam de sistemas para:
Cobertura, ou seja, quais credenciais proteger: senhas, chaves-senha, tokens API , chaves SSH, NHI e segredos de agente de IA.
Controle, ou seja, como essas credenciais são gerenciadas: onde podem ser armazenadas, como são compartilhadas, quais regras se aplicam e como essas regras são aplicadas.
Ciclo de vida, significa como as credenciais mudam: criação, propriedade, rotação, revogação e prova, especialmente à medida que papéis e privilégios mudam para identidades humanas e de máquinas.
O primeiro passo para atender a todos esses requisitos é um gerenciador de senhas corporativo (EPM). O EPM abrange mais do que apenas senhas e é um elemento fundamental para cada um dos pilares de uma estratégia robusta de gerenciamento de credenciais. Como relatou o analista e pesquisador Francis Odum, “a âncora arquitetônica do 1Password é o coração do gerenciador de senhas corporativo (EPM). Este cofre de conhecimento zero serve como o único 'sistema de registro para todas as credenciais da força de trabalho', abrangendo tanto usuários humanos quanto identidades não humanas (NHI)...”37
Apesar disso, o 1Password descobriu que cerca de 38% dos funcionários usam um gerenciador de senhas fornecido pela empresa.38
Um EPM como o 1Password é uma ferramenta essencial para as empresas controlarem a proliferação de credenciais e gerenciarem o uso da IA agêntica.39 Ele centraliza a visibilidade de como as credenciais são usadas, permitindo que os administradores apliquem os princípios de acesso com privilégios mínimos por meio do acesso ao cofre baseado em funções. A integração estruturada e os fluxos de trabalho de integração significam que os usuários só recebem acesso às credenciais, chaves-senha e segredos de que precisam para realizar o trabalho. E, o mais importante, o EPM estende a proteção aos fluxos de trabalho dos desenvolvedores e à automação baseada em IA sem causar atritos.
Como as credenciais são criptografadas, as equipes podem garantir que elas não sejam acessadas por ladrões de informações e outros ataques direcionados. O sistema de monitoramento de violações do 1Password também informa usuários e administradores o mais rápido possível caso uma credencial gerenciada tenha sido comprometida.40
Resumindo: as credenciais de cada aplicativo corporativo permanecem seguras e centralizadas, onde a TI pode facilmente supervisionar o acesso dos funcionários, gerenciar a integração e o desligamento e medir a força e a segurança de seu ecossistema de senhas.
Vale destacar um elemento essencial da eficácia do EPM: a governança de credenciais deve ser implementada de maneira abrangente. As empresas precisam garantir o gerenciamento de credenciais para cada pessoa, agente, segredo e fluxo de trabalho. As empresas não conseguem garantir segurança protegendo apenas parte da superfície de identidade.
Gerenciamento unificado de acesso para agentes de IA e humanos
A proliferação de credenciais de IA reflete uma mudança fundamental na forma como a autoridade é delegada dentro da empresa. Os sistemas de IA não são mais ferramentas que auxiliam os humanos; os agentes atuam cada vez mais com acesso independente a aplicativos, dados e fluxos de trabalho. No entanto, a maioria dos controles de acesso ainda pressupõe a presença de um humano ao teclado.
Os funcionários, e os desenvolvedores em particular, são incentivados a adotar a IA para melhorar a produtividade, mas sem ferramentas específicas para delegar com segurança o acesso às identidades de agentes e máquinas, os trabalhadores recorrem a soluções alternativas inseguras fora do alcance das ferramentas de segurança tradicionais. Para combater a proliferação de credenciais de IA, são necessárias ferramentas que controlem o acesso não humano sem prejudicar o fluxo de trabalho.
1Password® Unified Access ajuda equipes a:
Descubra riscos: identifique ferramentas e agentes de IA não gerenciados rodando em dispositivos de desenvolvedores e usuários finais, detecte credenciais e segredos armazenados em arquivos locais e ambientes de desenvolvedores.
Credenciais seguras: proteja as credenciais expostas e remova o acesso de ferramentas e agentes de IA de alto risco. Forneça credenciais para agentes, automação e CI/CD em tempo de execução para reduzir segredos de longa duração e garantir que sejam usados somente quando necessário.
Audite as ações dos agentes: tenha uma atribuição clara para cada ação, mostrando quando e como as credenciais estão sendo usadas e quem as está usando, sejam humanos, agentes ou máquinas.
Gerenciamento de SaaS
A proliferação de credenciais e a proliferação de SaaS estão irremediavelmente interligadas. Para que as equipes de TI e segurança possam determinar com eficácia onde e como as credenciais estão sendo armazenadas, elas precisam saber quais aplicativos os funcionários estão usando.
A natureza infeliz da expansão SaaS, porém, é que é praticamente impossível para as equipes encontrarem tempo ou pessoal para assumir o controle manualmente.
O 1Password SaaS Manager resolve esse problema por meio da automação.41 Com mais de 40.000 integrações de aplicativos, ele permite que as equipes criem e mantenham um inventário completo dos aplicativos que os funcionários usam, incluindo os aplicativos que não podem ser protegidos por SSO (autenticação única). Isso inclui recursos de descoberta contínua de aplicativos para revelar o uso de TI sombra, e de aplicativos de IA sombra, em toda a organização.
Com fluxos de trabalho automatizados de integração e desligamento, as equipes também podem garantir que o acesso dos funcionários aos aplicativos seja fornecido somente quando necessário, sem correr o risco de acesso não autorizado de funcionários desligados de forma inadequada.
Identificar quais aplicativos estão em uso, sejam eles aprovados pela empresa ou não, é um passo crucial para garantir que todas as credenciais estejam sendo usadas e armazenadas com segurança. Uma equipe não consegue alcançar segurança de credenciais completa se qualquer parte da superfície da aplicação não for gerenciada.
AI is here: do you know where your credentials are?
A proliferação de credenciais está longe de ser um problema novo. Mas, em vez de melhorar, parece estar piorando; diversos estudos mostram que as práticas de gerenciamento de credenciais estão em constante declínio, à medida que as equipes se deparam com um número cada vez maior de credenciais em um número cada vez maior de endpoints e aplicativos. Credenciais estão escondidas em bases de código, mensagens do Slack, chatbots de IA, planilhas e provavelmente ainda encontram um lugar em uma ou duas notas adesivas.
A gestão de credenciais nunca foi tão crucial. Em termos diretos: cada credencial não gerenciada coloca seu ecossistema em risco. Se as credenciais não estiverem protegidas de ponta a ponta, sua empresa poderá ter um número incontável de pontos de acesso desprotegidos.
A gestão de senhas corporativas nunca foi uma solução opcional para empresas que priorizam a segurança em todos os níveis, mas a necessidade de implementar controles fundamentais de credenciais tornou-se ainda mais urgente com o rápido avanço da IA. O 1Password é a solução essencial para que as empresas controlem e gerenciem a forma como as credenciais são usadas nos ecossistemas. Com base na forte segurança do nosso gerenciador de senhas, estamos criando sistemas que permitirão que as equipes gerenciem as credenciais onde quer que estejam, da planilha ao agente de IA.
Additional sources:
3, 30 Relatório de investigações de violação de dados, Verizon, 2025 (PDF)
8 Businesses at Work, Okta, 2025
12, 13, 24 A situação da expansão dos segredos, GitGuardian, 2025 (PDF)
17, 18, 34 Relatório de riscos NHI e de segredos, HubSpot, 2025 (PDF)
27 PCI DSS: v4.0.1, Conselho de Padrões de Segurança PCI, 2024
32, 33 Relatório sobre o custo de uma violação de dados, IBM, 2025