A porta de entrada para a autenticação "segura" dos cidadãos portugueses está repleta de erros e, pior ainda, nem sequer responde às comunicações feitas no sentido de serem corrigidas.
O Autenticação.gov.pt é o "sítio oficial dos meios de identificação eletrónica, assinatura digital e autenticação segura do Estado", mas não inspira muita confiança que, tanto o site como a "Chave Móvel Digital" que é promovida, tenham vários erros e falhas que minam a sua credibilidade... e suposta segurança.
Começando pelo facto de um código PIN de 4-8 dígitos ser insuficiente para garantir qualquer nível de segurança hoje em dia, passando pelo facto da autenticação 2-factor usar SMS (que são vulneráveis ao ponto de já terem sido desaconselhadas - ou até proibidas - por muitas empresas), atravessando as recorrentes falhas XSS, a possibilidade de se abusar do site para descobrir números de telefone registados, e culminando com um botão de logout que nada faz, deixando que uma qualquer pessoa que venha a seguir possa fazer o login como se fosse o utilizador anterior; são muitos os pontos que merecem atenção urgente por parte dos responsáveis por este serviço.
Infelizmente, embora estas falhas tenham sido reportadas ainda durante o mês de Janeiro, nunca foi dada qualquer resposta nem - mais importante ainda - feita a correcção de qualquer uma das situações referidas. Esperemos que isso mude rapidamente... de modo a não ter que se esperar por um qualquer caso mais mediático que se aproveite destas falhas para estragar a vida a alguns cidadãos.
Em relação ao problema do PIN , essa falha é mitigada pelo facto da chave digital ser bloqueada à terceira tentativa de PIN errado, impedindo assim um ataque de brute Force. Para desbloquear a chave é necessário voltar a subscrever à mesma o que é um processo confuso no site
ResponderEliminarJá a 24 de Novembro de 2017 tinha lhes dito para 1) integrarem sistema de autenticação por chave digital pública/ privada em aplicativo; 2) e enviarem mensagem para um aplicativo de mensagens criado de raiz para ser realmente seguro.
ResponderEliminarTambém mencionei que o telefone, e-mail e twitter não eram seguros e não podiam pedir aos utilizadores que garantissem a sua segurança uma vez que está fora da capacidade dos mesmos garantir a segurança de protocolos e serviços que não foram desenvolvidos para serem seguros desde o seu início.
Recebi uma mensagem a dizer que iam analisar o assunto e até hoje não disseram mais nada.
Existe um decreto-lei que os obriga teoricamente (DL n.º 135/99, de 22 de Abril com as introduções do DL n.º 73/2014, de 13 de Maio e DL n.º 74/2017, de 21 de Junho) artigo 39.º) a responder... mas à boa maneira do estado... ao contrário do que acontece ao zé povinho o decreto-lei não prevê qualquer consequência para a não resposta... por isso é obrigatório, mas se não cumprir não existe sanção! Queria ver eles fazerem o código da estrada e depois era tudo obrigatório e tal, mas não existia qualquer sanção para quem não cumprisse... ia ser um fartote de rir a ver toda a gente a ignorar sem consequências... talvez lhe pudessem chamar antes um manual de boas práticas.
Assim que vi essa treta da Chave Móvel Digital a ser apresentada no telejornal como a mais revolucionária invenção depois da roda lembrei-me logo das recomendações para não se usar códigos por SMS devido à possibilidade de ataques de "phone porting". Isto só vai mudar se os media pegarem nisto durante 2 ou 3 dias. É enviar uma denúncia do que se está a passar para as redacções.
ResponderEliminarAssim que um dos jornalistas que apresentaram a peça na TV passar por uma situação de phishing, provavelmente as coisas começarão a dar que falar...
EliminarA mim o que mais me chocou foi ler no site Autenticação.gov o seguinte:
ResponderEliminarOutras formas de autenticação:
Redes Sociais
O cidadão poderá autenticar-se em vários portais e sítios de internet de entidades públicas com o perfil que utiliza nas várias redes sociais.
Assim, estando registado numa rede social (facebook, linkedin, twitter) poderá conectar-se em sites da administração pública.
SÓ PODEM ESTAR A BRINCAR!
Tentei aceder ao SNS como já tenho feito,mas a pouca prática da mensagem que me reportava os números a inserir,deu que me enganei,ao fim bloquearam-me o acesso e agora estou bloqueado com a indicação que o devo fazer na loja do Cidadão que está de quarentena.Se as pessoas têm internete para resolverem problemas para quê andar para trás no tempo?E agora?
ResponderEliminar