13/04/2014

.

ESTA SEMANA NA
"VISÃO"

Sites dos bancos portugueses 
e das finanças com nota negativa 
na área da segurança 

BBVA, Santander Totta e Portal das Finanças são as três instituições que apresentam problemas de segurança online mais graves

A notícia avançada pela edição online da Exame Informática  tem como base a ferramenta da Qualsys SSL Labs que faz a análise da segurança geral dos sites.


Nenhuma das instituições testadas apresentou falhas de segurança que deixem totalmente desportegidos os utilizadores. De qualquer forma, a encriptação dos dados dos utilizadores não é totalmente fiável e gera desconfiança. Com exceção do Millenium BCP, todos os bancos apresentaram áreas que podem ser melhoradas. E houve alguns que tiveram notas muito más.
Comecemos pelos piores casos. BBVA, Santander Totta e Portal das Finanças levam todos nota negativa (F).

O BBVA foi o pior de todos por várias razões. Segundo a Qualys SSL Labs, este banco suporta a norma SSL2 que é obsoleta e insegura. O banco é também vulnerável a ataques do género "homem do meio" por suportar renegociações inseguras. Quer isto dizer que é totalmente desaconselhado aceder ao BBVA num hotspot público porque se houver alguém a intercetar as comunicações será capaz de se fazer passar pelo banco antes de se iniciarem as comunicações seguras com os servidores do BBVA. Por fim, além de suportar cifras antigas e inseguras, o BBVA não suporta a mais recente TLS 1.2, que é a forma mais segura atualmente disponível para encriptar as comunicações com os clientes.

O Santander Totta também leva nota negativa, mas não é tão mau quanto o BBVA. Esta instituição suporta, todavia, renegociações inseguras, pelo que também é vulnerável a ataques do tipo "homem do meio". Pela positiva, suporta TLS 1.2 (a melhor encriptação atualmente disponível) e não suporta SSL2 pelo que não há o perigo de um cliente iniciar uma sessão a partir de um browser antigo, recorrendo a uma encriptação totalmente ultrapassada.

Quanto ao Portal das Finanças, a razão para a baixa nota deve-se ao facto de o certificado de segurança não ter sido reconhecido como válido. Todavia, há várias razões para este comportamento, pelo que tal não é necessariamente mau. Pior é mesmo o tamanho da chave de encriptação usada, cuja segurança é fraca.

ActivoBank7, CGD, BES, BPI e Montepio levam uma nota global de B, pelo que ainda têm áreas que podem ser melhoradas. O banco com a melhor prestação no que à segurança diz respeito é, segundo a Qualys SSL Labs, o Millenium BCP, com uma nota de A-.

* O futuro dos utentes destes sites é "estarem feitos ao bife"


.

Sem comentários:

Enviar um comentário