Felizmente, nenhuma das instituições que testámos apresentou a falha de segurança Heartbleed, que torna totalmente inútil qualquer encriptação que exista para proteger os dados dos utilizadores. Mas as notícias não deixam de ser preocupantes. Com exceção do Millenium BCP, todos os bancos apresentaram uma ou outra área que pode ser melhorada. E houve alguns que tiveram notas muito más.
Comecemos pelos piores casos. BBVA, Santander Totta e Portal das Finanças levam todos nota F, uma negativa tanto mais grave pela sensibilidade dos dados que envolvem.
O BBVA foi o pior de todos por várias razões. Segundo a Qualys SSL Labs, este banco suporta a norma SSL2 que é obsoleta e insegura. O banco é também vulnerável a ataques do género “homem do meio” por suportar renegociações inseguras. Quer isto dizer que é totalmente desaconselhado aceder ao BBVA num hotspot público porque se houver alguém a intercetar as comunicações será capaz de se fazer passar pelo banco antes de se iniciarem as comunicações seguras com os servidores do BBVA. Por fim, além de suportar cifras antigas e inseguras, o BBVA não suporta a mais recente TLS 1.2, que é a forma mais segura atualmente disponível para encriptar as comunicações com os clientes.
O Santander Totta também leva nota negativa, mas não é tão mau quanto o BBVA. Esta instituição suporta, todavia, renegociações inseguras, pelo que também é vulnerável a ataques do tipo “homem do meio”. Pela positiva, suporta TLS 1.2 (a melhor encriptação atualmente disponível) e não suporta SSL2 pelo que não há o perigo de um cliente iniciar uma sessão a partir de um browser antigo, recorrendo a uma encriptação totalmente ultrapassada.
Quanto ao Portal das Finanças, a razão da baixa nota está no facto de o certificado de segurança não ter sido reconhecido como válido. Todavia, há várias razões para este comportamento, pelo que tal não é necessariamente mau. Pior é mesmo o tamanho da chave de encriptação usada, cuja segurança é fraca.
ActivoBank7, CGD, BES, BPI e Montepio levam uma nota global de B, pelo que ainda têm áreas que podem ser melhoradas. O banco com a melhor prestação no que à segurança diz respeito é, segundo a Qualys SSL Labs, o Millenium BCP, com uma nota de A-.
Apesar de as notas serem dadas numa escala americana (de A a F), os valores são calculados tendo em conta cinco áreas: certificados, suporte de protocolos, troca de chaves e força da cifra. Cada uma destas áreas tem uma nota de zero a 100 e é a soma de todas delas que dá a pontuação final.
Se quiser experimentar a segurança geral do seu site de eleição, pode visitar o site da empresa e introduzir o respetivo endereço
