Recentemente criei uma conta no BBVA e ontem tive acesso pela primeira vez ao serviço de homebanking deles. O começo não poderia ser pior...
Na primeira vez que se acede ao sistema, é-nos pedido para definir uma password de acesso e uma password de operações. Como se pode ver na imagem em baixo, os campos para inserir a password de operações estão desactivados, sendo necessário clicar numa checkbox em cima para os activar e preencher com a password pretendida.
O problema é que quase ninguém lê as instruções (principalmente se são frases ou parágrafos muito longos). Eu não li a instrução e intuitivamente pensei que a checkbox servia para indicar que queria usar o mesmo código para as duas passwords (eu sei, eu sei, é um problema de segurança, mas posso sempre alterá-las depois) uma vez que a selecção da checkbox activava ou desactivava o preenchimento da segunda password.
Ou seja, ao clicar na checkbox, a percepção dada pelo site é que ela serve para definir a mesma password para os dois campos.
Depois de fazer login e tentar realizar operações no site é que reparei que não podia fazer nada porque me dava um erro a dizer que a password de operações não foi definida. E não há nenhuma forma de definir uma nova password porque para isso preciso de inserir a password de operações actual (que não existe)... E desta forma não consigo usar o site. Lá vou eu ter de ligar para o helpdesk para poder criar uma nova password...
No caso do utilizador (como eu) não preencher a password de operações, porque é que o deixam continuar? Se essa password é necessária para usar o site então porque é que não é de preenchimento obrigatório logo no início, e porque é que as instruções estão numa checkbox? Não percebo...
Fiz uma versão alterada desta página que penso será mais fácil de usar (e que deverá mostrar uma mensagem de erro se o utilizador não preencher as duas passwords):
Já para não falar do facto de que as passwords têm ambas 4 caracteres no máximo... Não me parece ser lá muito seguro...
Em breve conto fazer um comparativo entre os serviços de homebanking de alguns Bancos :)
14 Comentários
Comente este artigo!
Bruno Silva
3 de Março de 2010, 10:54
Mas com essa alteração perdeste a possibilidade de optar por não permitir operações monetárias no e-banking, a não ser que assumas que pin de operações vazio seja não definido, o que não me parece muito bem.
O que acho que deveria ter acontecido, é ao clicar na checkbox não te devia ter permitido submeter sem preencher os pins de operações.
Ivo Gomes
3 de Março de 2010, 11:27
E para que é que eu precisaria do homebanking sem a possibilidade de realizar operações monetárias?
Ivo Gomes
3 de Março de 2010, 11:27
Era a mesma coisa que teres um cartão MultiBanco que só dá para ver o saldo e mais nada.
Bruno Silva
3 de Março de 2010, 11:30
Para fins de consulta, e eventualmente subscrição de serviços ou assim, depende da definição deles de “operações monetárias” lol.
Mas sim, concordo. Se calhar é um bocado parvo, concordo. Ter e-banking só para consulta.
Ivo Gomes
3 de Março de 2010, 11:31
Neste momento nem sequer os meus dados pessoais consigo mudar sem a password de operações, por isso, basicamente só posso ver, não posso alterar nada.
Bruno Silva
3 de Março de 2010, 11:33
Ok. Isso então é parvo…
Rogério Pereira
3 de Março de 2010, 12:24
Outro problema grande de usabilidade é ver a programação em empresas de TV por assinatura.
Ainda vou fazer uma proposta que seja mais fácil de usar também.
Nós profissionais de usabilidade temos que tomar essas atitudes por interfaces mais fáceis de serem usadas.
vitorsilva
3 de Março de 2010, 14:13
confesso que também não vejo grande valor em ter 2 pins…
Bruno Silva
3 de Março de 2010, 14:15
Eles ainda não usam cartão matriz ou telemóvel para confirmação das operações?
Magda Joana Silva
3 de Março de 2010, 18:39
Olha, eu uso 3 netbanking: millennium, totta e CGD. para mim, o mais eficiente é o do millennium. Os outros dois não funcionam a 100%, podiam ter mais informação e existem certas funcionalidades que necessitam de password desnecessariamente (como por exemplo no totta precisar do código de autorização apenas para consultar o nib da conta).
Bruno Fernandes
23 de Março de 2010, 10:25
Boas…Eu tb aderi ao BBVA recentemente… e realmente acho q o site de homebanking deles é uma completa vergonha…mais arcaico q o raio!.. Acedo ao homebanking do BCP, CGD e BIG, e estes encontram-se a léguas do site do BBVA.. espero q realmente mudem esta situação.. Até algumas funcionalidades – hj em dia básicas – como sejam autorizações e anulações de débitos directos, se encontram em falta no site de homebanking.. Acho estranho q um banco com o tamanho do BBVA (pelo menos em Espanha) não tenha um site de homebanking de jeito…
Cumprimentos,
Bruno
ddc
3 de Junho de 2011, 17:56
Só dois aspectos:
Cartão matriz: Inseguro
Basta quem quiser captar todas as combinações, ou uma grande parte delas, ir registando aquilo que o utilizador vai digitando e assim “copiará” o cartão
Telemóvel: inseguro
Neste momento existem inumeras formas de alguém aceder em simultaneo ás sms que recebemos, mais que isso, pode-se até clonar o cartão Sim ou ainda com um pequeno programa instalado no telemovel, reemcaminhar as sms sem o dono dar conta que elas passaram por lá.
Usar as condições dos pin’s de 4 digitos ou de 50 digitos é igual, o risco de estar a ser expiado é enorme, ainda mais se utiliza algum programa freeware ou não original (ou sabe todas as linhas de comando de cada programa ou crack?)
Além disto, notem que o homebanking não tem seguro incluido para roubos, como os cartões (alguns) de débito ou crédito.
Pensem nisso antes de utilizarem as novas tecnologias.
Um Abraço
Ivo Gomes
4 de Junho de 2011, 11:11
@ddc: se fores por aí, não há nenhuma forma segura de guardar o teu dinheiro.
Em relação aos dois pontos que mencionas: para obter o cartão matriz é preciso que haja algum keylogger instalado no computador de modo a registar as teclas pressionadas. Além disso, depois seria necessário associar as teclas às coordenadas do cartão que são pedidas. Não é trivial. A única forma de obterem a matriz completa é através de phishing, enganando o utilizador a preencher a matriz completa do cartão pensando que é o banco que lhe está a pedir isso.
Quanto ao telemóvel, o SMS recebido só funciona para a operação em causa uma vez que é comparado com um token de segurança único para cada operação. Para se aproveitar do telemóvel, seria necessário ter também acesso aos dados da conta do banco, para poder gerar um SMS correspondente a uma operação realizada no homebanking.
É claro que tudo isto pode ser ultrapassado com maior ou menor dificuldade, mas é como tudo na vida, não é apenas por estarmos a usar tecnologia.
Por exemplo, se não usares homebanking também podes ser atacado, ex:
Multibanco: é fácil colocarem um leitor de cartões e cloná-los directamente nas caixas multibanco. Isto é muito mais fácil de fazer do que tentar aceder aos dados de acesso e SMS no homebanking
ddc
4 de Junho de 2011, 12:31
Boas
Não é necessario um keylogger, acredita….
O esquema do telemovel e da sms, resulta muito melhor que o do multibanco.
Além disso, o esquema do multibanco envolve um seguro, friso, um seguro dos cartões.
No homebanking não existem seguros, é total a responsabilidade do cliente.
Cumps