Proponha uma correção, faça uma sugestão
Chave móvel digital e Autenticação.Gov.pt com problemas de segurança
A Chave Móvel Digital é um meio de autenticação que permite a associação de um número de telemóvel ao número de identificação civil (NIC) para um cidadão português e o número de passaporte para um cidadão estrangeiro residente em Portugal.
Como é natural, este tipo de serviços devem garantir a máxima segurança dos dados dos utilizadores mas, segundo informações, o sistema de autenticação do Governo Português e a chave móvel digital estão longe de garantir a confidencialidade dos dados.
Chama-se Illya Gerasymchuk, tem apenas 23 anos e é estudante do Instituto Superior Técnico. De acordo com Gerasymchuk, o sistema de autenticação do Governo Português e a chave móvel digital garantem pouca segurança dos dados.
Antes de fazer a publicação no seu site pessoal, Illya Gerasymchuk diz ter contactado a Agência para a Modernização Administrativa em janeiro de 2018, mas não recebeu qualquer resposta.
Afinal o que falha nestes sistemas?
Illya Gerasymchuk detetou algumas vulnerabilidades nos sistemas. De acordo com a investigação de Illya Gerasymchuk para a utilização da chave móvel o cidadão apenas tem de introduzir o número de telemóvel e o respetivo PIN. Se tudo estiver correcto, o utilizador recebe uma mensagem via SMS com o código que deve ser usado. O PIN apenas tem 4 a 8 dígitos numéricos e o SMS recebido é o único elemento a funcionar como autenticação a "dois fatores". Através do lock do sistema, é também possível quais os números registados. Se um número não estiver registado, não acontecerá qualquer bloqueio.
The issue is that if the phone number is registered, after 3 failed attempts, your account will be temporary locked. If the phone number is not registered, no lock in will occur.
Gerasymchuk considera que um PIN com 4 a 8 dígitos numéricos é fraco para garantir a segurança dos sistemas. É verdade... no entanto, os sistemas têm mecanismos de bloquear à terceira tentativa errada e assim evitar ataques de força bruta. A confirmação via SMS também já não é a melhor solução para garantir a autenticação de um utilizador.
Outro dos problemas tem a ver com as sessões na plataforma Autenticação.Gov . Como se pode ver pelo seguinte vídeo, a sessão é sempre mantida mesmo que o utilizador faça Sair da Plataforma.
Existem também vulnerabilidade no próprio site que permitem injetar código (vulnerabilidade designada de site-crossscripting (XSS)). Illya Gerasymchuk demorou apenas 30 minutos a descobrir tais falhas.
Este artigo tem mais de um ano
Loading ...
Pequena correção, não é através do XSS, que consegues saber o número de telemóvel, mas sim através do sistema de lock, porque só é activado em números registados.
“The issue is that if the phone number is registered, after 3 failed attempts, your account will be temporary locked. If the phone number is not registered, no lock in will occur.”
LOL
Tá muito bem programado tá.
MEDO
A chave móvel digital é a pura confirmação que o CC é um autêntico FLOP! Nem o mais dotado geek consegue fazer algo decente através do CC… o processo é tão complexo e exigente que grande parte dos utilizadores desiste.
Vamos voltar à era de escrever nas pedras….
É curioso, eu não me considero propriamente um geek, muito menos dotado, mas uso o CC para me autenticar em vários sites e assino frequentemente documentos PDF. A aplicação do CC está bastante simples e já resolveu a questão da assinatura digital a que me referi. A única dificuldade que senti foi com a incompatibilidade da versão Linux da aplicação autenticacao.gov com o router DD-WRT que uso, mas que foi facilmente resolvida. No Windows é linear, tipo “next-next” como as restantes aplicações desse sistema.
Mas entendo que cause alguma confusão a quem tem pouca noção do assunto.
A chave móvel é uma solução muito má, mesmo.
O que nos deixa deveras descansados!
Estou com um problema, penso que após a actualização para a V.1803 do W10, que tem a ver com assinatura digital de documentos com o CC. E penso que seja após a actualização pois, com o mesmo pc, o mesmo leitor e o mesmo software de assinatura, ainda na V.1709, assinei documentos. Simplesmente, quer no e-paper sign, quer no ACROBAT READER DC, os certificados digitais aplicáveis não são encontrados. Não tendo nada a ver directamente com o tópico, ainda assim entra no tema AUTENTICAÇÃO.
o Win10 v1803 não é propriamente o melhor sistema para trazer para cima da mesa, em 3 updates de v1709 para v1803 apenas 1 não rebentou com o EDGE que deixou de funcionar (https://answers.microsoft.com/en-us/edge/forum/edge_crash-edge_win10/after-upgrading-to-1803-edge-will-open-but-i/9f2ef0aa-70a4-4820-a8a6-b432f94dcec3?auth=1&rtAction=1526053748223), no entanto valida a ultima actualização de maio que traz algumas actualizações no campo do rendering, pode ser que te ajude.
Estou com o mesmo tipo de problema!
Mas no meu caso é com o servidor de selo temporal do cartão do cidadão… aquilo não está a assinar correctamente há já alguns dias. Já tentei com dois programas diferentes e dá sempre problemas (mesmo que apareça que a operação foi concluída com sucesso depois ao verificar nos programas dá erro de validação). Como todos os outros 16 servidores de selos temporais estão a funcionar bem é porque é algo mesmo nos servidores do Cartão do Cidadão. Têm aquele limite ridículo de 20 assinaturas a cada 20 minutos e mesmo assim aquilo não funciona bem.
E além disso aqueles certificados deveriam durar pelo menos uns 12 anos desde que eram emitidos e só duram uns 5 a 7 anos.
Actualização: serviço de selo temporal do cartão do cidadão já está a funcionar correctamente.
Obrigado espero que me envie todos os comentarios automaticamente
Acabei agora mesmo de fazer o “Sair” da sessão e tudo funciona como suposto, ao Sair ele fecha a sessão e volta a pedir tudo novamente. Não será que o rapaz que fez o vídeo tinha o Cartão de Cidadão enviado no leitor e isso causa autenticação automática? Posso experimentar em casa.
Já agora usei o Firefox 60.0
Já agora para acrescentar que o código é de 6 algarismos e o bloqueio é ao fim de 3 tentativas erradas.
Nope,
Efectivamente funciona com 4 algarismos, o utilizador tem a opção de escolher entre 4 e 8…
Concordo, o SSO e a partilha de cookies entre sessões do mesmo tipo é perfeitamente normal na maioria dos browsers hoje em dia, sempre usei CC e já tive algumas discussões com o próprio suporte e em termos de “cookie clearing” e afins sempre funcionou como suposto. Não consegui perceber onde está o “hack” à parte das vulnerabilidades de XSS que não vi ninguém provar.
Isto foi descoberto em Janeiro, e revelado agora. Alguns dos erros referidos já foram corrigidos. Outros ainda não.
Lol. Isto é a pura da anedota dos alunos de segurança do técnico, muita parra pouca uva, mais um para DPO ou CISO 😉
Yep, para dizer a verdade depois de ler o “blog” dele a este respeito até acho que ele é que foi “hackado” por Engenharia Social 😀 .
A semana autentiquei-me com a chave móvel e apareceu-me como sendo reconhecido como Ana Antunes. Ainda olhei ao espelho 2 vezes, parei para pensar se em alguma altura da minha vida tinha mudado de sexo. Fiz um printscreen e enviei para o suporte. Resposta deles: “Pedimos desculpas, mas não conseguimos detetar o error que reporta. Pode-nos confirmar se o numero de tlm que inseriu é realmente seu.”. Bom, percebi logo que estava a falsr fom um estagiário que devia ter acabado de sair da universidade. Nem me dei ao trabalho de responder, pq já sabia onde é que esta conversa ia dar.
Recebi esta semana o PIN temporário. Fiz todo o processo de adesão conforme indicado, incluindo o código de segurança enviado para o meu telemóvel. A partir daí o processo bloqueou e nada mais pude fazer. Frustrante.
69 e ensinei-me Informática a mim mesma.
Inicialmente pensei que adquirir uma chave novel digital com Autenticação.com seria bom pois moro em Inglaterra.
Mas tornou-se tao complicado que depois de varias tentativas desisti.
Talvez seja bom….uma desculpa para ir a Portugal e fazer fiiiiiiiiila num departamento do estado
Comentário muito vago para se perceber o que se poderá estar a passar… Por mim posso afirmar que tem funcionado melhor do que eu algum dia pensava… Facilita imenso a vida e no meu caso nunca complicou. Considero bom, não óptimo.
NÃO CONSIGO PASSAR DESTA FASE. A CONFIRMAÇÃO DO PIN DE ASSINATURA DA CHAVE MÓVEL DIGITAL PARA ACEITAR OS TERMOS E CONDIÇÕES DE UTILIZAÇÃO. COLOCO O PIN , CONFIRMO E NÃO SAI DO SITIO.
De seguida, ser-lhe-á solicitada a introdução do seu PIN de Assinatura da CMD para atestar a aceitação dos
termos e condições de utilização da PEM Móvel. Posteriormente, e caso o PIN de Assinatura digital se
encontre correto, irá receber, via sms, um código de segurança de 6 dígitos que deverá inserir no formulário
apresentado abaixo:
Figura 7 – Ecrã para introdução do PIN de Assinatura digital para aceitação de termos de utilização