No passado dia 11 de abril, a Exame Informática recorreu ao site da Qualis para avaliar a qualidade da segurança usada por várias instituições bancárias nos seus sites. Os resultados não foram muito animadores, dado que vários bancos levavam nota negativa por suportarem cifras antigas e obsoletas, e por serem vulneráveis a ataques do género “homem no meio” (“man in the middle” é o termo usado pela gíria em inglês).
Mas há boas notícias: as equipas das instituições bancárias estavam atentas e melhoraram vários aspetos relacionados com a segurança. Como resultado, quase todos os anteriores classificados com nota negativa F subiram substancialmente a sua classificação.
O BBVA, o pior classificado no teste da Qualys SSL Labs, passou de F para B. Este banco tinha a nota mais baixa por suportar normas de segurança obsoletas e inseguras, por ser vulnerável a ataques do género “homem no meio” e por não suportar a cifra TLS 1.2, a mais recente e segura do mercado. A atual nota de B deve-se a vários aspetos: o BBVA melhorou a força das cifras usadas (passou de 50 para 90 pontos em 100, neste campo), já não suporta a cifra obsoleta SSL2 e também já não é vulnerável a ataques do tipo “homem no meio”.
O Santander Totta também levou nota F no passado dia 11 de abril. Apesar de a sua pontuação não ser tão baixa quanto a do BBVA, o Santander Totta foi o que fez a melhor recuperação e passou para um A-. Neste momento, o banco tem nota quase máxima em todos os campos analisados pela Qualys e já não é vulnerável a ataques do género “homem no meio”.
Outro banco que melhorou a sua prestação foi o ActivoBank, que passou de B para A-, uma ótima nota. Apesar de não ser uma melhoria tão substancial quanto a do BBVA e a do Santander Totta, não deixa de ser assinalável e muito positiva.
BES, BPI Net, Caixa Geral de Depósitos e Montepio mantiveram a sua nota global de B, enquanto que Millenium BCP manteve o A-.
O Portal das Finanças não registou qualquer mudança na nota negativa de F, relativamente ao passado dia 11 de abril. Todavia, e tal como dissemos na altura, a principal fonte da má prestação deve-se ao facto de o certificado não ter sido reconhecido pela Qualys.
Ainda assim, o site tem muito por onde melhorar segundo esta ferramenta de análise, nomeadamente no que toca à vulnerabilidade a ataques “homem do meio”, pelo que se desaconselha fortemente o acesso a este portal em hotspots públicos.
