A Linha Defensiva realizou uma pesquisa para comparar as políticas de senhas de diversos sites e serviços on-line. O levantamento mostra que diversas lojas brasileiras e alguns serviços de internet não protegem as senhas dos seus usuários de forma segura. Algumas lojas nem sequer fazem uma verificação de email antes de confirmar o cadastro no site e, no entanto, usam o próprio e-mail (não verificado) para recuperar a senha.

Várias lojas armazenam as senhas dos seus clientes de forma legível em seu banco de dados, sem utilizar a tecnologia de hashing que impede a leitura das senhas mesmo para quem pode acessar o banco de dados. Alguns serviços no Brasil não aceitam caracteres especiais.

O envio de senha por e-mail, além de indicar armazenamento inadequado da senha, é uma prática insegura, porque o e-mail do internauta pode ser roubado ou mesmo o login esquecido em um computador. Nesse caso, o invasor pode ir aos serviços e solicitar as senhas cadastradas, permitindo descobrir quais eram as senhas do usuário e obter acesso a outras contas e serviços em que a mesma senha pode ter sido utilizada.

Entre os serviços internacionais, “destaque” para o Last.fm, que apesar do recente vazamento de senhas, aceita 1 caractere mínimo.

Confira na tabela abaixo os serviços analisados pela Linha Defensiva. Se você é utilizador destes serviços e souber algo mais sobre a política de senhas e recuperação, entre em contato conosco e informe.

Serviço Senhas Recuperação de Senhas
Mín. Máx. E-mail Resp. Secreta Outro
E-mail
BOL4 51 81 S N
Globo Mail 81 151 S S
Gmail 8 200 S S SMS
Hotmail / Outlook.com 8 16 S S SMS
Yahoo 6 32 N S
Financeiro
MercadoPago5 6 20 S S
PagSeguro 51 81 S N
Paypal 8 20 A A Telefone
Comércio Eletrônico
Amazon 8 18 S4 N
Americanas 6 8 S2,4 N
Casas Bahia 4 8 C4 N
CompraFacil 4 15 C4 N
Magazine Luiza 6 10 S2,4 N
Ponto Frio 4 8 C4 N
Saraiva N/D3 503 S2,4 N
Submarino 6 8 S4 N
Tray (sistema) N/D 34 S2,4 N
Jogos On-line
Battle.net 8 16 N S Chave do jogo
GOG 6 64 S N
Playstation Network 8 30 S N
Steam 5 36 A A
Xbox LIVE Idêntico ao Hotmail / Conta Microsoft
Redes Sociais
Facebook 6 30 S N Login em conta Google
Twitter 6 43 S N SMS
Last.fm 1 32 S N
LinkedIn 6 35 S N
Outros serviços
Dropbox 6 40 S4 N SMS
Fórum Linha Defensiva 3 32 S N
Legenda
N/D Não disponível — valor não foi informado pelo site. S Sim
A Ambos — serviço utiliza e-mail e resposta secreta em conjunto N Não
C Confirmação de Dados — serviço exige que dados sejam confirmados antes de informar a senha.

Notas

  1. Serviço não aceita caracteres especiais nas senhas.
  2. Serviço envia por email a senha que foi criada junto com o cadastro, em texto plano, quando uma recuperação é efetuada. Isso indica que a senha é armazenada de maneira insegura.
  3. Serviço não diferencia letras maiúsculas de minúsculas.
  4. Endereço de e-mail cadastrado não é verificado.
  5. [ BOL ] O medidor de força de senhas classifica qualquer senha como forte. A partir do primeiro caractere inserido na senha, a força da senha já é definida como “forte”.
  6. [ MercadoPago ] “Senha de Pagamentos e Retiradas” é diferente da senha do cadastro e tem 8 a 12 caracteres. A recuperação de senhas é com pergunta secreta.
Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

7 Comments

  1. Ótima Pesquisa! Como sempre mostrando competência no trabalho de vocês!

    Curtir

    Responder

  2. Então, qual a melhor maneira de se enviar uma senha para o usuário?

    Curtir

    Responder

    1. A senha nunca deve ser enviada, até porque ela não deve estar armazenada. Pode-se, sim, enviar uma *nova* senha, quando ela for criada. Mas a senha anteriormente armazenada não deve estar acessível.

      Outra alternativa, melhor, é dar ao usuário um link que, quando clicado, permite que ele digite uma nova senha. Dessa forma, a senha nunca fica registrada no e-mail ou mesmo em lugar algum (exceto nos logs do servidor HTTP, que são periodicamente removidos).

      Curtir

      Responder

      1. Fiquei puto
        quando me cadastrei num site de compras online e eles me enviaram todos meus
        dados confirmados pelo mail inclusive a senha visível. Parei ai nem comprei la.

        Curtir

  3. Pior que não me surpreendo mais em ver casos como esse da americanas.com, uma loja nacional de tal porte, que não dá o minimo de segurança para seus usuários.

    Curtir

    Responder

  4. MICHAEL BUSSOLA 26/11/2012 às 20:42

    FALTOU O ORIGIN, MAS TÁ VALENDO!

    Curtir

    Responder

  5. Wellington Gomes dos Santos 19/10/2017 às 11:59

    Eu uso senhas diferentes para tudo, isso minimiza os danos caso roubem a senha de um determinado serviço.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s