AforroNet: sistema de proteção da plataforma gera preocupação

A procura por Certificados de Aforro tem crescido muito nos últimos meses e, por isso, as plataformas que lidam com estes produtos tornam-se mais apetecíveis para o desencadeamento de burlas. O mesmo sucedeu com o Banco CTT, quando surgiram esquemas fraudulentos nas redes sociais devido ao interesse por Certificados de Aforro.

As inquietações giram agora em torno do AforroNet. Este é o serviço da Agência de Gestão da Tesouraria e da Dívida Pública (IGCP) que permite gerir as subscrições online dos Certificados de Aforro e dos Certificados de Tesouro.

O que está no centro das preocupações é a consideração de que o sistema de proteção do AforroNet pode não ter um nível de segurança suficiente para o tipo de serviço que presta aos consumidores.

Como funciona a autenticação do AforroNet?

A autenticação no AforroNet é efetuada mediante o preenchimento dos seguintes campos:

• identificação de utilizador, que deve conter uma sequência de carateres;
• código de acesso, que deve conter um número com seis algarismos;
• solicitação de dois dígitos do número de contribuinte (NIF).

 

Contudo, o acesso à conta é bloqueado após três tentativas falhadas. A conta só pode voltar a ser desbloqueada após receção de carta com novo código de acesso à conta.

Quais os problemas deste sistema de proteção?

Um código de acesso com apenas seis algarismos torna as contas muito suscetíveis a ataques de brute force (ou força bruta), que representam várias tentativas de combinações de forma automatizada. Contudo, o limite de três tentativas falhadas e o consequente bloqueio da conta atribuem uma maior camada de proteção às contas. Ainda assim, um código com estas características é algo do passado.

Quanto ao nome do utilizador e ao número de contribuinte, os criminosos podem ter disponíveis várias combinações após algum vazamento de dados, que lhes permite aceder às contas dos utilizadores.

Estas limitações dão a entender que o sistema de autenticação é algo rudimentar, mas isso não significa que é realmente inseguro. Sem o limite das três tentativas, o sistema estaria numa posição muito mais vulnerável. O mais provável é que os ataques de phishing continuem a ser a forma mais eficaz de aceder às contas dos utilizadores.

AforroNet é seguro, mas pode ser reforçado

Um dos métodos de proteção mais eficazes é a autenticação de multifator, que necessita da apresentação de duas ou mais provas (ou fatores) para entrar na conta.

Estes fatores são o conhecimento (algo que só o utilizador sabe, como a palavra-passe), a posse (algo que só o utilizador tem, como o telemóvel) e a inerência (algo que só o utilizador é, como a impressão digital).

O AforroNet também não possui nenhum mecanismo de captcha, que permite identificar se o acesso à conta está a ser efetuado por um utilizador real ou por um ataque robotizado.

Este método consiste em identificar imagens com determinadas características (por exemplo, um semáforo ou uma ponte).

Se algum site ou link lhe parecer suspeito, utilize a ferramenta online "Este site é seguro?", da DECO PROTESTE, para avaliar a segurança da hiperligação. O utilizador deve digitar o endereço do site no campo de pesquisa e, posteriormente, a ferramenta determina a sua autenticidade.

ESTE SITE É SEGURO?