PplWare Mobile

Chave móvel digital e Autenticação.Gov.pt com problemas de segurança


Pedro Pinto

Pedro Pinto é Administrador do site. É licenciado em Engenharia Informática pelo Instituto Politécnico da Guarda (IPG) e obteve o grau de Mestre em Computação Móvel pela mesma Instituição. É administrador de sistemas no Centro de Informática do IPG, docente na área da tecnologia e responsável pela Academia Cisco do IPG.

Destaques PPLWARE

19 Respostas

  1. Jonathan Wesley Vicente says:

    Pequena correção, não é através do XSS, que consegues saber o número de telemóvel, mas sim através do sistema de lock, porque só é activado em números registados.

    “The issue is that if the phone number is registered, after 3 failed attempts, your account will be temporary locked. If the phone number is not registered, no lock in will occur.”

  2. Mário Rodrigues says:

    LOL

    Tá muito bem programado tá.
    MEDO

  3. Marco Lopes says:

    A chave móvel digital é a pura confirmação que o CC é um autêntico FLOP! Nem o mais dotado geek consegue fazer algo decente através do CC… o processo é tão complexo e exigente que grande parte dos utilizadores desiste.

    • Daniel says:

      Vamos voltar à era de escrever nas pedras….

    • N'uno says:

      É curioso, eu não me considero propriamente um geek, muito menos dotado, mas uso o CC para me autenticar em vários sites e assino frequentemente documentos PDF. A aplicação do CC está bastante simples e já resolveu a questão da assinatura digital a que me referi. A única dificuldade que senti foi com a incompatibilidade da versão Linux da aplicação autenticacao.gov com o router DD-WRT que uso, mas que foi facilmente resolvida. No Windows é linear, tipo “next-next” como as restantes aplicações desse sistema.
      Mas entendo que cause alguma confusão a quem tem pouca noção do assunto.

    • N'uno says:

      A chave móvel é uma solução muito má, mesmo.

  4. GM says:

    O que nos deixa deveras descansados!
    Estou com um problema, penso que após a actualização para a V.1803 do W10, que tem a ver com assinatura digital de documentos com o CC. E penso que seja após a actualização pois, com o mesmo pc, o mesmo leitor e o mesmo software de assinatura, ainda na V.1709, assinei documentos. Simplesmente, quer no e-paper sign, quer no ACROBAT READER DC, os certificados digitais aplicáveis não são encontrados. Não tendo nada a ver directamente com o tópico, ainda assim entra no tema AUTENTICAÇÃO.

    • L/MakaT says:

      o Win10 v1803 não é propriamente o melhor sistema para trazer para cima da mesa, em 3 updates de v1709 para v1803 apenas 1 não rebentou com o EDGE que deixou de funcionar (https://answers.microsoft.com/en-us/edge/forum/edge_crash-edge_win10/after-upgrading-to-1803-edge-will-open-but-i/9f2ef0aa-70a4-4820-a8a6-b432f94dcec3?auth=1&rtAction=1526053748223), no entanto valida a ultima actualização de maio que traz algumas actualizações no campo do rendering, pode ser que te ajude.

    • Joao Ptt says:

      Estou com o mesmo tipo de problema!
      Mas no meu caso é com o servidor de selo temporal do cartão do cidadão… aquilo não está a assinar correctamente há já alguns dias. Já tentei com dois programas diferentes e dá sempre problemas (mesmo que apareça que a operação foi concluída com sucesso depois ao verificar nos programas dá erro de validação). Como todos os outros 16 servidores de selos temporais estão a funcionar bem é porque é algo mesmo nos servidores do Cartão do Cidadão. Têm aquele limite ridículo de 20 assinaturas a cada 20 minutos e mesmo assim aquilo não funciona bem.
      E além disso aqueles certificados deveriam durar pelo menos uns 12 anos desde que eram emitidos e só duram uns 5 a 7 anos.

  5. Cassamo says:

    Obrigado espero que me envie todos os comentarios automaticamente

  6. Hugo Freitas says:

    Acabei agora mesmo de fazer o “Sair” da sessão e tudo funciona como suposto, ao Sair ele fecha a sessão e volta a pedir tudo novamente. Não será que o rapaz que fez o vídeo tinha o Cartão de Cidadão enviado no leitor e isso causa autenticação automática? Posso experimentar em casa.
    Já agora usei o Firefox 60.0

    • Hugo Freitas says:

      Já agora para acrescentar que o código é de 6 algarismos e o bloqueio é ao fim de 3 tentativas erradas.

    • L/MakaT says:

      Concordo, o SSO e a partilha de cookies entre sessões do mesmo tipo é perfeitamente normal na maioria dos browsers hoje em dia, sempre usei CC e já tive algumas discussões com o próprio suporte e em termos de “cookie clearing” e afins sempre funcionou como suposto. Não consegui perceber onde está o “hack” à parte das vulnerabilidades de XSS que não vi ninguém provar.

    • Joao says:

      Isto foi descoberto em Janeiro, e revelado agora. Alguns dos erros referidos já foram corrigidos. Outros ainda não.

  7. Ze says:

    Lol. Isto é a pura da anedota dos alunos de segurança do técnico, muita parra pouca uva, mais um para DPO ou CISO 😉

    • L/MakaT says:

      Yep, para dizer a verdade depois de ler o “blog” dele a este respeito até acho que ele é que foi “hackado” por Engenharia Social 😀 .

  8. Rodrigo says:

    A semana autentiquei-me com a chave móvel e apareceu-me como sendo reconhecido como Ana Antunes. Ainda olhei ao espelho 2 vezes, parei para pensar se em alguma altura da minha vida tinha mudado de sexo. Fiz um printscreen e enviei para o suporte. Resposta deles: “Pedimos desculpas, mas não conseguimos detetar o error que reporta. Pode-nos confirmar se o numero de tlm que inseriu é realmente seu.”. Bom, percebi logo que estava a falsr fom um estagiário que devia ter acabado de sair da universidade. Nem me dei ao trabalho de responder, pq já sabia onde é que esta conversa ia dar.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.