Problema de Usabilidade no homebanking do BBVA

Quarta-feira, 3 de Março de 2010

Recentemente criei uma conta no BBVA e ontem tive acesso pela primeira vez ao serviço de homebanking deles. O começo não poderia ser pior…

Na primeira vez que se acede ao sistema, é-nos pedido para definir uma password de acesso e uma password de operações. Como se pode ver na imagem em baixo, os campos para inserir a password de operações estão desactivados, sendo necessário clicar numa checkbox em cima para os activar e preencher com a password pretendida.

O problema é que quase ninguém lê as instruções (principalmente se são frases ou parágrafos muito longos). Eu não li a instrução e intuitivamente pensei que a checkbox servia para indicar que queria usar o mesmo código para as duas passwords (eu sei, eu sei, é um problema de segurança, mas posso sempre alterá-las depois) uma vez que a selecção da checkbox activava ou desactivava o preenchimento da segunda password.
Ou seja, ao clicar na checkbox, a percepção dada pelo site é que ela serve para definir a mesma password para os dois campos.

Depois de fazer login e tentar realizar operações no site é que reparei que não podia fazer nada porque me dava um erro a dizer que a password de operações não foi definida. E não há nenhuma forma de definir uma nova password porque para isso preciso de inserir a password de operações actual (que não existe)… E desta forma não consigo usar o site. Lá vou eu ter de ligar para o helpdesk para poder criar uma nova password…

No caso do utilizador (como eu) não preencher a password de operações, porque é que o deixam continuar? Se essa password é necessária para usar o site então porque é que não é de preenchimento obrigatório logo no início, e porque é que as instruções estão numa checkbox? Não percebo…

Fiz uma versão alterada desta página que penso será mais fácil de usar (e que deverá mostrar uma mensagem de erro se o utilizador não preencher as duas passwords):

Já para não falar do facto de que as passwords têm ambas 4 caracteres no máximo… Não me parece ser lá muito seguro…

Em breve conto fazer um comparativo entre os serviços de homebanking de alguns Bancos :)

14 Comentários

Escreva o seu comentário!
  1. Gravatar

    Bruno Silva

    3 de Março de 2010, 10:54

    Mas com essa alteração perdeste a possibilidade de optar por não permitir operações monetárias no e-banking, a não ser que assumas que pin de operações vazio seja não definido, o que não me parece muito bem.

    O que acho que deveria ter acontecido, é ao clicar na checkbox não te devia ter permitido submeter sem preencher os pins de operações.

  2. Gravatar

    Ivo Gomes

    3 de Março de 2010, 11:27

    E para que é que eu precisaria do homebanking sem a possibilidade de realizar operações monetárias?

  3. Gravatar

    Ivo Gomes

    3 de Março de 2010, 11:27

    Era a mesma coisa que teres um cartão MultiBanco que só dá para ver o saldo e mais nada.

  4. Gravatar

    Bruno Silva

    3 de Março de 2010, 11:30

    Para fins de consulta, e eventualmente subscrição de serviços ou assim, depende da definição deles de “operações monetárias” lol.

    Mas sim, concordo. Se calhar é um bocado parvo, concordo. Ter e-banking só para consulta.

  5. Gravatar

    Ivo Gomes

    3 de Março de 2010, 11:31

    Neste momento nem sequer os meus dados pessoais consigo mudar sem a password de operações, por isso, basicamente só posso ver, não posso alterar nada.

  6. Gravatar

    Bruno Silva

    3 de Março de 2010, 11:33

    Ok. Isso então é parvo…

  7. Gravatar

    Rogério Pereira

    3 de Março de 2010, 12:24

    Outro problema grande de usabilidade é ver a programação em empresas de TV por assinatura.

    Ainda vou fazer uma proposta que seja mais fácil de usar também.

    Nós profissionais de usabilidade temos que tomar essas atitudes por interfaces mais fáceis de serem usadas.

  8. Gravatar

    vitorsilva

    3 de Março de 2010, 14:13

    confesso que também não vejo grande valor em ter 2 pins…

  9. Gravatar

    Bruno Silva

    3 de Março de 2010, 14:15

    Eles ainda não usam cartão matriz ou telemóvel para confirmação das operações?

  10. Gravatar

    Magda Joana Silva

    3 de Março de 2010, 18:39

    Olha, eu uso 3 netbanking: millennium, totta e CGD. para mim, o mais eficiente é o do millennium. Os outros dois não funcionam a 100%, podiam ter mais informação e existem certas funcionalidades que necessitam de password desnecessariamente (como por exemplo no totta precisar do código de autorização apenas para consultar o nib da conta).

  11. Gravatar

    Bruno Fernandes

    23 de Março de 2010, 10:25

    Boas…Eu tb aderi ao BBVA recentemente… e realmente acho q o site de homebanking deles é uma completa vergonha…mais arcaico q o raio!.. Acedo ao homebanking do BCP, CGD e BIG, e estes encontram-se a léguas do site do BBVA.. espero q realmente mudem esta situação.. Até algumas funcionalidades – hj em dia básicas – como sejam autorizações e anulações de débitos directos, se encontram em falta no site de homebanking.. Acho estranho q um banco com o tamanho do BBVA (pelo menos em Espanha) não tenha um site de homebanking de jeito…

    Cumprimentos,
    Bruno

  12. Gravatar

    ddc

    3 de Junho de 2011, 17:56

    Só dois aspectos:

    Cartão matriz: Inseguro
    Basta quem quiser captar todas as combinações, ou uma grande parte delas, ir registando aquilo que o utilizador vai digitando e assim “copiará” o cartão

    Telemóvel: inseguro
    Neste momento existem inumeras formas de alguém aceder em simultaneo ás sms que recebemos, mais que isso, pode-se até clonar o cartão Sim ou ainda com um pequeno programa instalado no telemovel, reemcaminhar as sms sem o dono dar conta que elas passaram por lá.

    Usar as condições dos pin’s de 4 digitos ou de 50 digitos é igual, o risco de estar a ser expiado é enorme, ainda mais se utiliza algum programa freeware ou não original (ou sabe todas as linhas de comando de cada programa ou crack?)

    Além disto, notem que o homebanking não tem seguro incluido para roubos, como os cartões (alguns) de débito ou crédito.

    Pensem nisso antes de utilizarem as novas tecnologias.

    Um Abraço

  13. Gravatar

    Ivo Gomes

    4 de Junho de 2011, 11:11

    @ddc: se fores por aí, não há nenhuma forma segura de guardar o teu dinheiro.

    Em relação aos dois pontos que mencionas: para obter o cartão matriz é preciso que haja algum keylogger instalado no computador de modo a registar as teclas pressionadas. Além disso, depois seria necessário associar as teclas às coordenadas do cartão que são pedidas. Não é trivial. A única forma de obterem a matriz completa é através de phishing, enganando o utilizador a preencher a matriz completa do cartão pensando que é o banco que lhe está a pedir isso.

    Quanto ao telemóvel, o SMS recebido só funciona para a operação em causa uma vez que é comparado com um token de segurança único para cada operação. Para se aproveitar do telemóvel, seria necessário ter também acesso aos dados da conta do banco, para poder gerar um SMS correspondente a uma operação realizada no homebanking.

    É claro que tudo isto pode ser ultrapassado com maior ou menor dificuldade, mas é como tudo na vida, não é apenas por estarmos a usar tecnologia.

    Por exemplo, se não usares homebanking também podes ser atacado, ex:

    Multibanco: é fácil colocarem um leitor de cartões e cloná-los directamente nas caixas multibanco. Isto é muito mais fácil de fazer do que tentar aceder aos dados de acesso e SMS no homebanking

  14. Gravatar

    ddc

    4 de Junho de 2011, 12:31

    Boas

    Não é necessario um keylogger, acredita….

    O esquema do telemovel e da sms, resulta muito melhor que o do multibanco.

    Além disso, o esquema do multibanco envolve um seguro, friso, um seguro dos cartões.

    No homebanking não existem seguros, é total a responsabilidade do cliente.

    Cumps

Comente!

Preencha o seu nome para assinar o comentário. O preenchimento deste campo é obrigatório.

Os comentários são as suas ideias ou opiniões em relação ao artigo que acabou de ler. Assine o seu comentário para dar a conhecer o seu ponto de vista. 
O seu endereço de e-mail não será publicado. O preenchimento deste campo é obrigatório.

Este site suporta a utilização de gravatars. Caso o seu endereço de e-mail esteja registado em gravatar.com, irá aparecer a sua imagem ao lado do comentário. 
Se tiver um website, este é um bom local para o publicitar.

Sempre que alguém ler o seu comentário, irá ver um link para o seu site. Se o seu comentário for relevante para os outros utilizadores, com certeza eles quererão saber mais sobre si e visitarão o seu site. 
Este formulário permite o uso de algumas tags em XHTML. As tags permitidas são as seguintes:

<a href="" title="">
<abbr title="">
<acronym title="">
<b> <blockquote cite="">
<code> <em> <i> <strike>
<strong> 

Sobre este Artigo

Artigos Recentes no Blog

 

Sobre o Autor...

Ivo GomesIvo Gomes tem 32 anos e é licenciado em Ergonomia pela FMH. Durante o curso especializou-se em Ergonomia de Sistemas de Informação e actualmente trabalha do Departamento de Usabilidade e Qualidade do Portal SAPO.

É sócio da Associação Portuguesa de Ergonomia, da Usability Professionals Association, e sócio fundador e membro do Conselho Directivo da Associação Portuguesa de Profissionais de Usabilidade.

Categorias do Blog

Arquivo

Consulte o arquivo para procurar algum artigo específico ou use o motor de busca.

|

Subscreva

Se preferir pode subscrever os artigos deste site via RSS para poder estar sempre actualizado.

O que são Feeds RSS e como as posso subscrever?