Economia Protecção de dados avisa: chave móvel digital tem inseguranças

Protecção de dados avisa: chave móvel digital tem inseguranças

Faltam regras mínimas de segurança na definição de palavras-passe e o sistema não garante que não seja possível que as mesmas sejam deduzíveis. As críticas são da CNPD, mas o Governo desvaloriza e garante que os níveis de segurança são os adequados.
Protecção de dados avisa: chave móvel digital tem inseguranças
Bruno Simão
Filomena Lança 13 de fevereiro de 2018 às 22:00

A chave móvel digital (CMD) tem vários pontos que a podem tornar insegura como meio de identificação, nomeadamente um sistema inicial que pode permitira "a dedução de palavras-chave", colocando dessa forma em risco "a segurança da utilização". Faltam também, entre outras coisas, "regras mínimas de segurança para a definição da nova palavra-passe por parte do utilizador". O alerta vem da Comissão Nacional de Protecção de Dados (CNPD), num parecer emitido a pedido do Governo no âmbito de uma nova portaria que vai regulamentar o desenvolvimento da CMD para, nomeadamente, permitir a assinatura qualificada e à distância.

Esta não é a primeira vez que a CNPD levanta dúvidas e objecções ao funcionamento da CMD, sendo que o mesmo aconteceu já quando este meio de identificação digital foi lançado, em 2014. São "as mesmas reservas" de então, admite fonte oficial da secretaria de Estado da Modernização Administrativa, que, no entanto, desvaloriza e sublinha que  a CMD tem  níveis de segurança "similares aos utilizados pelo Homebanking para a realização de transferências bancárias".

A CMD, recorde-se, é um mecanismo de autenticação  que permite aos utilizadores o acesso a serviços em portais e sítios na Internet de entidades públicas e privadas com recurso ao seu telemóvel ou e-mail. Pode ser usada, por exemplo, no Portal do Cidadão, substituindo o leitor do cartão de cidadão, que a a maioria das pessoas não tem em casa. Com as alterações à lei do Cartão de Cidadão, em Julho de 2017, o Governo levou também a cabo mudanças na CMD que, designadamente, passa a permitir também a assinatura electrónica qualificada à distância. Para tal, falta ainda uma portaria, que o Governo tem vindo a preparar e que submeteu à CNPD.

Problemas com as palavras-passe
E um dos problemas encontrados pela Protecção de Dados passa pela forma como são criadas as palavras-passe necessárias. Quando o cidadão faz o pedido de CMD é gerada automaticamente uma palavra-passe temporária aleatória e, entende a CNPD, começa aí o problema, dado "o risco de utilização de algoritmos pseudoaleatórios que permitam a dedução de palavras-passe e que, dessa forma, coloquem em risco a segurança do meio utilizado", lê-se no parecer.

Por outro lado, provê o projecto de portaria que, logo na primeira utilização, os cidadãos serão obrigados a alterar  essa palavra-passe que recebem. Aí, contudo, não são definidas regras mínimas de segurança para a definição dessa nova palavra-passe. E, alerta a CNPD, "a definição de palavras-passe facilmente dedutíveis (fracas) pode contribuir para a fragilização do sistema e facilitar o acesso legítimo aos dados do titular".

A utilização da CMD prevê, além da autenticação por palavra-passe, o uso de um código numérico de segurança, que só pode ser usado uma vez e que é enviado para o telemóvel do utilizador. A CNPD entende que tem de estar muito bem definido de que forma vai ocorrer esse envio, dado existirem hoje em dia sistemas de mensagem muito variados, inclusive de redes sociais. E entende ainda que os utilizadores deveriam ter acesso a um histórico de autenticações ou assinaturas, algo que como está a proposta de portaria não é possível.

regras

Como funciona o mecanismo de autenticação

A chave móvel digital (CMD) é um mecanismo de autenticação que permite ao cidadão identificar-se nos variados portais do Estado.

O que é a Chave Móvel Digital?

É um meio alternativo para os cidadãos se autenticarem e acederem a serviços em portais e sítios na Internet de entidades públicas e privadas, caso do Portal do Cidadão. Para tal, têm de usar o seu telemóvel ou email, sendo que a chave móvel digital (CMD) permite, garante o Governo, "substituir e melhorar outras formas de autenticação digital, em especial, o recurso a login e palavra-passe" usado, por exemplo, no Portal das Finanças ou no da Segurança Social.

Qual é o mecanismo de segurança usado?
Segundo explica o Governo, há um duplo factor de segurança. Por um lado, "um código pessoal único (de quatro a seis dígitos) e intransmissível, escolhido pelo utilizador e que apenas ele conhece; por outro, "um código numérico gerado de forma aleatória, por um módulo dedicado de hardware seguro, composto por seis dígitos de conjugação incerta, que o utilizador recebe no seu telemóvel ou endereço electrónico e que é utilizado por uma única vez para a conclusão da autenticação e/ou assinatura, com validade de muito curta duração".

Como se adere à CMD?
O pedido de CMD pode ser feito online, num site próprio gerido pela Agência para a Modernização Administrativa. Para tal, é preciso utilizar o cartão de cidadão, através de um leitor do cartão. A alternativa é fazer o pedido num balcão de atendimento, por exemplo num Espaço do Cidadão. Na prática, permite depois o acesso a todos os sites públicos mediante a utilização de uma única senha e com o tal código que é enviado para o telemóvel do utilizador.




A sua opinião5
Este é o seu espaço para poder comentar o nosso artigo. A sua opinião conta e nós contamos com ela.
Faltam 300 caracteres
Negócios oferece este espaço de comentário, reflexão e debate e apela aos leitores que respeitem o seu estatuto editorial, promovam a discussão construtiva e combatam o insulto. O Negócios reserva-se ao direito de editar, apagar ou mesmo modificar os comentários dos seus leitores se atentarem contra o bom senso e seriedade.O acesso a todas as funcionalidades dos comentários está limitada a leitores registados e a Assinantes.
comentar
comentários mais recentes
Mr.Tuga Há 6 dias

para quem serve esta coisa ?!?!?!?!

Esta coisa até contra a instalação de vidiovigilancia é contra ?!?!!?
Só complicar!

CNPD ???? Há 6 dias

A CNPD devia ser extinta, os dados nos dias de hoje estão ao alcance de quem os quiser, é um nado-morto, só dá despesa. Extingam essa porcaria da CNPD

Anónimo Há 6 dias

Alguma vez se pode confiar no software dum telemóvel para guardar assinaturas digitais? ahahah

Anónimo Há 6 dias

"o leitor do cartão de cidadão, que a a maioria das pessoas não tem em casa". Não tem porque quando tirei o cartão de cidadão pedi um leitor e não tinham. É assim que funciona, paguei um cartão electrónico caríssimo e não posso ver o seu conteúdo.

ver mais comentários