2021/05/11

Site AforroNet do Estado só permite passwords com 6 números

Quem visitar o site AforroNet do IGCP será surpreendido pelas regras de criação de passwords, que estão limitadas à utilização de 6 números.

Temos sites do Estado que levam ao extremo as regras de criação de passwords, obrigando a que sejam utilizadas letras minúsculas e maiúsculas, números e símbolos (embora depois cometam o erro de limitar o tamanho máximo da password a coisas como 16 caracteres). Mas, surpreendentemente, existem outros onde as regras básicas de segurança a nível de passwords parecem ter ficado paradas no século passado.

O AforroNet do IGCP, que permite subscrever e resgatar Certificados de Aforro e Títulos do Tesouro, é um desses sites. Ao criar uma password os utilizadores são confrontados com uma regra que deverá lançar alertas imediatos até para quem não preste muita atenção às questões de segurança na internet: as passwords estão limitadas a 6 caracteres, mas não 6 caracteres quaisquer - só se podendo utilizar 6 números!
Apesar do processo de login também fazer o pedido de dois algarismos do Número de Contribuinte / NIF, que dificultarão um pouco mais um ataque brute-force, o NIF não é nos dias de hoje uma informação que se possa considerar de difícil acesso, pelo que dificilmente complicará demasiado a tarefa a quem estiver dedicado a obter as passwords de acesso a este serviço. E, sendo um serviço que envolve directamente o manuseamento de dinheiro, seria altura da sua política de passwords ser revista e actualizada.

Tendo em conta o serviço em questão, até não seria descabido exigir a utilização de autenticação 2FA (2-factor), como já se tornou obrigatória nos serviços bancários online.

12 comentários:

  1. Também me saltou à vista essa falha quando criei o acesso.

    ResponderEliminar
  2. Fónix, só 6 números… É manteiga! :)

    ResponderEliminar
  3. O home banking do BPI é 5 digitos...

    ResponderEliminar
  4. Se o portal bloquear ao fim de 3 tentativas, não vejo qual é o drama.O nosso cartão multibanco só permite pins de 4 algarismos, com acesso a todas as operações da nossa conta sem 2FA. Isso sim, para mim é irrisório no séc. XXI.

    ResponderEliminar
    Respostas
    1. O cartão MB obriga-te a ter o cartão, já é 2FA por natureza (1: ter o cartão, 2: saber o código).

      Eliminar
    2. o multibanco come o cartão com tentativas erradas e muitos multibancos têm camara para registar quem fez o acesso...já online a menos que seja a própria conta a ser bloqueada (com todo o potencial para abusos que isso acarreta) não estou a ver como é que o sistema de bloqueios é seguro porque basta mudar o ip/mudar de computador ou algo semelhante e martelar outra vez

      Eliminar
  5. Pior... em vez desse sistema horrível em termos de segurança poderiam simplesmente dar a opção de criar uma adesão e aceder com o cartão de cidadão (com leitor ou usando a chave móvel digital) e até tinham a "certeza" que é de facto a pessoa.

    ResponderEliminar
    Respostas
    1. ou o login pelo portal das finanças...alternativas não faltavam

      Eliminar
  6. Mais uma notícia para o click bait. Esqueceram-se foi de mencionar que depois de colocar a password, são pedidos dois dígitos do número de contribuinte de forma aleatória

    ResponderEliminar
    Respostas
    1. Seria preciso ler antes de acusar...
      "... processo de login também fazer o pedido de dois algarismos do Número de Contribuinte / NIF..."

      Eliminar
  7. Tendo em conta que não é possível alterar o IBAN através do AforroNet, qualquer resgate irá para a conta indicada no processo de adesão junto dos CTT...

    ResponderEliminar