Tal como prometido, vou fazer aqui uma série de posts a comparar a usabilidade de alguns websites bancários, mais precisamente a parte de homebanking (onde os clientes podem fazer a gestão das suas contas e efectuar pagamentos e transferências).
Uma vez que não tenho conta em todos os bancos (era bom, não era) e eles dificilmente arranjam contas para testes, vou apenas comparar aqueles que conheço e que tenho/tive a oportunidade de testar:
- Caixa Geral de Depósitos
- MillenniumBCP
- Banco Best
- BBVA
Nota: Por motivos de segurança não vou colocar links para os sites dos Bancos. Se quiserem aceder a eles, devem escrever o endereço no vosso browser. Nunca confiem em links para sites de bancos, pois podem ser usados para fazer phishing.
Nesta primeira parte vou debruçar-me sobre o processo de login.
Caixa Geral de Depósitos
Ao entrar no site da CGD é um pouco complicado saber onde é que posso fazer o login na minha conta. Instintivamente olho em redor à procura de um formulário onde possa introduzir os meus dados mas só depois percebo que devo ter que clicar num link algures para aceder à área reservada. Isso obriga-me a ter que ler o que está escrito na página, à procura do link correcto. Não é uma tarefa fácil porque o link para o CaixaDirecta online está no meio de um grupo de outros links e acaba por ser bastante parecido com os restantes, que falam sobre os produtos e campanhas do Banco.
Mesmo sabendo que o link está lá, perco sempre alguns segundos à procura dele na página (o facto de estar colocado no meio da página pode levar a que eu não o encontre à primeira porque normalmente as opções de login e informação do utilizador estão sempre localizadas num dos cantos da página).
Depois de clicar no link para a CaixaDirecta online, aqui sim, temos a página de login no serviço. O facto do site mudar completamente de layout ajuda o utilizador a perceber que está numa área completamente diferente do site, e isso ajuda a aumentar um pouco mais a segurança porque se ele está a ver esta versão do site significa que está com a conta autenticada e deve fazer logout antes de sair. Em outros bancos praticamente não se nota a diferença entre a versão institucional e a versão de homebanking, como iremos ver mais à frente, e isso às vezes confunde alguns utilizadores porque não sabem se estão a ver os detalhes das suas contas ou uma promoção de um produto qualquer do banco.
Aqui, no meu ponto de vista, o principal problema é o teclado virtual (já vos disse o quanto odeio os teclados virtuais?). Eu percebo que seja mais seguro usar este tipo de teclados no caso do utilizador ter algum vírus no computador que registe quais as teclas pressionadas, e com isso, detecte os seus códigos pessoais. Mas o facto de ter que ir clicar com o rato num teclado virtual obriga-me a ter que usar o rato (e com isso, a ter que procurar as letras no teclado, que estão sempre a mudar de sítio) o que implica que tenho que ter uma grande precisão de movimentos para clicar nas teclas certas. Todo este processo é bastante moroso e se pudesse usar o teclado despachava-me em menos de um décimo do tempo que demoro a usar o teclado virtual. Já para não falar do facto de que não posso usar nenhum teclado virtual se tiver alguém comigo ou a olhar por cima do meu ombro...
MillenniumBCP
O site do MillenniumBCP tem na barra lateral do lado esquerdo o acesso directo às contas. Basta inserir o código de utilizador (que podemos ser nós a definir, em vez de ter que inserir um número de conta difícil de memorizar) e escolher a opção de entrar no site para Particulares ou Empresas. Normalmente, inserindo o código de utilizador e carregando na tecla ENTER vamos logo para a zona de Particulares.
O processo de login é feito em dois passos. Na página inicial insere-se o código de utilizador, e na página seguinte insere-se a password (3 caracteres aleatórios). Isto permite separar os dois campos e evitar que os dados do formulário sejam apanhados por algum vírus ou software instalado no computador do utilizador. Não é preciso usar nenhum teclado virtual e a password digitada nunca é a mesma (apenas 3 caracteres aleatórios). Do meu ponto de vista, isto inspira-me mais segurança do que o modelo da CGD.
O MillenniumBCP mistura no mesmo site as operações bancárias com as informações institucionais. Isto pode confundir alguns utilizadores por se poderem perder pelos menus institucionais, mas estando autenticado, as opções de gestão das contas estão sempre na coluna da esquerda, enquanto que a navegação institucional se mantém no topo. Acaba por ser menos mau, mas não há aquela sensação de que estamos numa área reservada e segura do site.
Banco Best
O Banco Best remodelou o seu site no início do ano. O login é feito clicando no botão laranja no topo da página (tal como na versão anterior). Não é o mais directo possível, mas dado que os restantes tons do site são azul e banco, o botão laranja destaca-se bastante bem e chama a atenção. Poderia ganhar mais destaque se fosse um pouco maior e não estivesse meio perdido junto de outros links e botões na mesma área da página.
O processo de login no Banco Best é um dos menos seguros de todos. É utilizado um teclado virtual, mas é possível memorizar a password no browser e ela é automaticamente preenchida ao entrar nesta página, bastando apenas clicar no botão "Entrar".
Em comparação com o login da CGD, aqui podem-se usar letras e números (enquanto que na CGD apenas eram aceites números), o que torna o teclado um pouco maior, mas neste caso as teclas não mudam de sítio, o que invalida logo uma componente importante da segurança dos teclados virtuais (se as teclas estão sempre no mesmo sítio, é possível que um vírus ou outro software consiga saber quais as teclas onde estamos a clicar e assim guardar a nossa palavra chave).
O Banco Best também mistura os links institucionais com os links do homebanking, no entanto este caso é mais grave porque o menu com as opções de homebanking está no topo e tem as suas opções escondidas dentro de um dropdown (irei analisar a navegação destes sites no artigo seguinte).
BBVA
O site do BBVA parece que parou no tempo a meio dos anos 90. Não só a nível de layout, mas também a nível de funcionalidades e segurança no login.
O login é feito directamente na página inicial, não há que enganar, mas os dados para login são o número na frente do cartão multibanco (quem é que memoriza o número do cartão multibanco!? E se o cartão mudar vou ter que usar outro código?) e o pin de acesso é um número com 4 algarismos (este é o tipo de passwords mais fracas que se podem usar).
Além disso, aqui também é possível que o browser memorize os dados de login, bastando depois clicar no botão "Entrar" para ter acesso às contas.
De todos, o BBVA e o Banco Best são os que menos segurança me inspiram. O da CGD peca por me obrigar a usar um teclado virtual e que tanto o código de utilizador como a password sejam apenas números. O do MillenniumBCP, para mim é o que inspira mais confiança e o que considero ser o mais difícil de haver alguém que consiga descobrir os meus dados de acesso.
No próximo artigo irei analisar a navegação pelos menus, e mais à frente quais os passos para fazer um pagamento de serviços e uma transferência bancária.
14 Comentários
Comente este artigo!
Marco Rodrigues
31 de Março de 2010, 13:45
O BPI Net ao invés de um PIN com 4 digitos, é um PIN com 5 digitos, pelo que não é muito diferente do Banco Best.
Marco Rodrigues
31 de Março de 2010, 13:46
Queria dizer BBVA e não Banco Best.
Nuno Santos
31 de Março de 2010, 13:49
Era fixe consideres o acesso mobile. Por exemplo, o BPI tem um interface razoável quanto o Santander não o actualiza há anos, tendo funcionalidades na versão mobile desactualizadas em relação à versão normal.
Como é possivel isto acontecer em entidades como estas… sobretudo quando está dinheiro em causa!
PS: vou ler o artigo assim que possível :-)
Ivo Gomes
31 de Março de 2010, 13:57
Bem pensado, vou ver se no final faço também uma comparação dos sites mobile.
Carlos Martins
31 de Março de 2010, 14:02
É pena não teres acesso ao do BPI, considero-o como um dos mais bem conseguidos.
(Uso também o do Millennium.)
Se quiseres, posso fornecer-te umas capturas de ecrã para analisares o processo. :)
Cristina
31 de Março de 2010, 14:27
Excelente artigo :)
Conheço os acessos do CGD e Millennium, sendo o do Millennium o que uso com maior regularidade.
Se quiseres posso disponibilizar alguns “prints” do BES e BIG. Sendo que qualquer um deles considero muito mais fraco que ambos os anteriores. O do BES então ;) chega a ter um interface diferente entre IE e FF.
Ricardo
31 de Março de 2010, 14:45
O do Banif pede a nossa identificação na página principal e depois redirecciona para uma página onde devemos colocar o código (igual ao Millenium, mas salvo erro são 4 dígitos).
Também uso o da Caixa e aquele teclado realmente não inspira confiança nenhuma quando tenho que aceder fora de casa.
O do BPI ainda pior, é um código, sempre igual, tipo password.
Dentro do site considero o do Banif mais atractivo,mas o da CGD mais seguro, utiliza cartão de coordenadas e sms para operações bancárias.
Carlos Martins
31 de Março de 2010, 14:54
Só para esclarecer: o BPI usa uma “mini-password” para acesso, mas usa também um cartão de coordenadas para praticamente todas as transferências/operações.
Nuno Loureiro
31 de Março de 2010, 15:04
Ao focares os aspectos de segurança e para dizeres qual te inspira mais confiança, tens de criticar a parte mais sensível da segurança de qualquer homebanking: a segurança para realizar operações bancárias.
O BEST recentemente adoptou um sistema de confirmação para realizar operações bancárias out of bound, através de SMS (tal como o BCP já tem há anos), que na minha opinião é o método mais seguro e menos obstrutivo para o cliente.
Pelo que sei, o BBVA não tem esse mecanismo de segurança, pelo que meter o BEST e o BBVA no mesmo saco no que diz respeito a segurança poderá não ser justo.
O BEST tb tem outro ponto positivo de segurança que nenhum dos outros (dos q falas) tem. A landing page é HTTPS.
Nuno Santos
31 de Março de 2010, 15:07
Pelos comentários, parece que considerámos o mais seguro o que tem aparência mais cuidada e coerente…
Sem dúvida que o aspecto é importante, mas até que ponto nos influência?
Falo por mim, por exemplo como referi no comentário anterior, a versão mobile do santander tem um aspecto muito mau o que deixa muito a desejar, logo acho que então a segurança poderá estar muito mais descuidada!
Ivo Gomes
31 de Março de 2010, 15:33
@Nuno Loureiro: Em questões de segurança, tu claramente dominas isso muito melhor que eu. O meu comentário é como um utilizador leigo nesse campo e apenas para o login (nos próximos artigos já irei falar dos pagamentos).
Penso que para um utilizador normal, a sensação de segurança passa também pela forma como se faz o login e se eu considerar este passo algo inseguro, automaticamente vou pensar que todo o site é inseguro.
Thiago Cavalcanti
25 de Abril de 2010, 22:20
Estes sites que você mostrou são todos maravilhosos em comparação com os daqui do Brasil.
Ao do Banco Real, por exemplo, aplicam-se todas as críticas que você fez aos daí.
Design por comitê dá nisso…
Hugo Durães
29 de Abril de 2010, 00:47
Na sequência desta análise:
http://www.newticias.pt/noticias/tecnologia/seguranca/aviso-site-da-cgd-com-falha-de-seguranca-na-area-de-empresas,7676.php
Blogs que "linkam" para aqui-
Comparativo dos sites de Homebanking: Parte II – Navegação | IvoGomes.com
28 de Abril de 2010, 13:33