2018/05/14

Chave Móvel Digital e Autenticacao.gov cheios de falhas de segurança


A porta de entrada para a autenticação "segura" dos cidadãos portugueses está repleta de erros e, pior ainda, nem sequer responde às comunicações feitas no sentido de serem corrigidas.

O Autenticação.gov.pt é o "sítio oficial dos meios de identificação eletrónica, assinatura digital e autenticação segura do Estado", mas não inspira muita confiança que, tanto o site como a "Chave Móvel Digital" que é promovida, tenham vários erros e falhas que minam a sua credibilidade... e suposta segurança.

Começando pelo facto de um código PIN de 4-8 dígitos ser insuficiente para garantir qualquer nível de segurança hoje em dia, passando pelo facto da autenticação 2-factor usar SMS (que são vulneráveis ao ponto de já terem sido desaconselhadas - ou até proibidas - por muitas empresas), atravessando as recorrentes falhas XSS, a possibilidade de se abusar do site para descobrir números de telefone registados, e culminando com um botão de logout que nada faz, deixando que uma qualquer pessoa que venha a seguir possa fazer o login como se fosse o utilizador anterior; são muitos os pontos que merecem atenção urgente por parte dos responsáveis por este serviço.

Infelizmente, embora estas falhas tenham sido reportadas ainda durante o mês de Janeiro, nunca foi dada qualquer resposta nem - mais importante ainda - feita a correcção de qualquer uma das situações referidas. Esperemos que isso mude rapidamente... de modo a não ter que se esperar por um qualquer caso mais mediático que se aproveite destas falhas para estragar a vida a alguns cidadãos.


4 comentários:

  1. Em relação ao problema do PIN , essa falha é mitigada pelo facto da chave digital ser bloqueada à terceira tentativa de PIN errado, impedindo assim um ataque de brute Force. Para desbloquear a chave é necessário voltar a subscrever à mesma o que é um processo confuso no site

    ResponderEliminar
  2. Já a 24 de Novembro de 2017 tinha lhes dito para 1) integrarem sistema de autenticação por chave digital pública/ privada em aplicativo; 2) e enviarem mensagem para um aplicativo de mensagens criado de raiz para ser realmente seguro.
    Também mencionei que o telefone, e-mail e twitter não eram seguros e não podiam pedir aos utilizadores que garantissem a sua segurança uma vez que está fora da capacidade dos mesmos garantir a segurança de protocolos e serviços que não foram desenvolvidos para serem seguros desde o seu início.
    Recebi uma mensagem a dizer que iam analisar o assunto e até hoje não disseram mais nada.
    Existe um decreto-lei que os obriga teoricamente (DL n.º 135/99, de 22 de Abril com as introduções do DL n.º 73/2014, de 13 de Maio e DL n.º 74/2017, de 21 de Junho) artigo 39.º) a responder... mas à boa maneira do estado... ao contrário do que acontece ao zé povinho o decreto-lei não prevê qualquer consequência para a não resposta... por isso é obrigatório, mas se não cumprir não existe sanção! Queria ver eles fazerem o código da estrada e depois era tudo obrigatório e tal, mas não existia qualquer sanção para quem não cumprisse... ia ser um fartote de rir a ver toda a gente a ignorar sem consequências... talvez lhe pudessem chamar antes um manual de boas práticas.

    ResponderEliminar
  3. Assim que vi essa treta da Chave Móvel Digital a ser apresentada no telejornal como a mais revolucionária invenção depois da roda lembrei-me logo das recomendações para não se usar códigos por SMS devido à possibilidade de ataques de "phone porting". Isto só vai mudar se os media pegarem nisto durante 2 ou 3 dias. É enviar uma denúncia do que se está a passar para as redacções.

    ResponderEliminar
    Respostas
    1. Assim que um dos jornalistas que apresentaram a peça na TV passar por uma situação de phishing, provavelmente as coisas começarão a dar que falar...

      Eliminar

[pub]