A Linha Defensiva realizou uma pesquisa para comparar as políticas de senhas de diversos sites e serviços on-line. O levantamento mostra que diversas lojas brasileiras e alguns serviços de internet não protegem as senhas dos seus usuários de forma segura. Algumas lojas nem sequer fazem uma verificação de email antes de confirmar o cadastro no site e, no entanto, usam o próprio e-mail (não verificado) para recuperar a senha.
Várias lojas armazenam as senhas dos seus clientes de forma legível em seu banco de dados, sem utilizar a tecnologia de hashing que impede a leitura das senhas mesmo para quem pode acessar o banco de dados. Alguns serviços no Brasil não aceitam caracteres especiais.
O envio de senha por e-mail, além de indicar armazenamento inadequado da senha, é uma prática insegura, porque o e-mail do internauta pode ser roubado ou mesmo o login esquecido em um computador. Nesse caso, o invasor pode ir aos serviços e solicitar as senhas cadastradas, permitindo descobrir quais eram as senhas do usuário e obter acesso a outras contas e serviços em que a mesma senha pode ter sido utilizada.
Entre os serviços internacionais, “destaque” para o Last.fm, que apesar do recente vazamento de senhas, aceita 1 caractere mínimo.
Confira na tabela abaixo os serviços analisados pela Linha Defensiva. Se você é utilizador destes serviços e souber algo mais sobre a política de senhas e recuperação, entre em contato conosco e informe.
| Serviço | Senhas | Recuperação de Senhas | |||
|---|---|---|---|---|---|
| Mín. | Máx. | Resp. Secreta | Outro | ||
| BOL4 | 51 | 81 | S | N | – |
| Globo Mail | 81 | 151 | S | S | – |
| Gmail | 8 | 200 | S | S | SMS |
| Hotmail / Outlook.com | 8 | 16 | S | S | SMS |
| Yahoo | 6 | 32 | N | S | – |
| Financeiro | |||||
| MercadoPago5 | 6 | 20 | S | S | – |
| PagSeguro | 51 | 81 | S | N | – |
| Paypal | 8 | 20 | A | A | Telefone |
| Comércio Eletrônico | |||||
| Amazon | 8 | 18 | S4 | N | – |
| Americanas | 6 | 8 | S2,4 | N | – |
| Casas Bahia | 4 | 8 | C4 | N | – |
| CompraFacil | 4 | 15 | C4 | N | – |
| Magazine Luiza | 6 | 10 | S2,4 | N | – |
| Ponto Frio | 4 | 8 | C4 | N | – |
| Saraiva | N/D3 | 503 | S2,4 | N | – |
| Submarino | 6 | 8 | S4 | N | – |
| Tray (sistema) | N/D | 34 | S2,4 | N | – |
| Jogos On-line | |||||
| Battle.net | 8 | 16 | N | S | Chave do jogo |
| GOG | 6 | 64 | S | N | – |
| Playstation Network | 8 | 30 | S | N | – |
| Steam | 5 | 36 | A | A | – |
| Xbox LIVE | Idêntico ao Hotmail / Conta Microsoft | ||||
| Redes Sociais | |||||
| 6 | 30 | S | N | Login em conta Google | |
| 6 | 43 | S | N | SMS | |
| Last.fm | 1 | 32 | S | N | – |
| 6 | 35 | S | N | – | |
| Outros serviços | |||||
| Dropbox | 6 | 40 | S4 | N | SMS |
| Fórum Linha Defensiva | 3 | 32 | S | N | – |
| Legenda | |||
|---|---|---|---|
| N/D | Não disponível — valor não foi informado pelo site. | S | Sim |
| A | Ambos — serviço utiliza e-mail e resposta secreta em conjunto | N | Não |
| C | Confirmação de Dados — serviço exige que dados sejam confirmados antes de informar a senha. | ||
Notas
- Serviço não aceita caracteres especiais nas senhas.
- Serviço envia por email a senha que foi criada junto com o cadastro, em texto plano, quando uma recuperação é efetuada. Isso indica que a senha é armazenada de maneira insegura.
- Serviço não diferencia letras maiúsculas de minúsculas.
- Endereço de e-mail cadastrado não é verificado.
- [ BOL ] O medidor de força de senhas classifica qualquer senha como forte. A partir do primeiro caractere inserido na senha, a força da senha já é definida como “forte”.
- [ MercadoPago ] “Senha de Pagamentos e Retiradas” é diferente da senha do cadastro e tem 8 a 12 caracteres. A recuperação de senhas é com pergunta secreta.
Linha Defensiva 
Ótima Pesquisa! Como sempre mostrando competência no trabalho de vocês!
CurtirCurtir
Então, qual a melhor maneira de se enviar uma senha para o usuário?
CurtirCurtir
A senha nunca deve ser enviada, até porque ela não deve estar armazenada. Pode-se, sim, enviar uma *nova* senha, quando ela for criada. Mas a senha anteriormente armazenada não deve estar acessível.
Outra alternativa, melhor, é dar ao usuário um link que, quando clicado, permite que ele digite uma nova senha. Dessa forma, a senha nunca fica registrada no e-mail ou mesmo em lugar algum (exceto nos logs do servidor HTTP, que são periodicamente removidos).
CurtirCurtir
Fiquei puto
quando me cadastrei num site de compras online e eles me enviaram todos meus
dados confirmados pelo mail inclusive a senha visível. Parei ai nem comprei la.
CurtirCurtir
Pior que não me surpreendo mais em ver casos como esse da americanas.com, uma loja nacional de tal porte, que não dá o minimo de segurança para seus usuários.
CurtirCurtir
FALTOU O ORIGIN, MAS TÁ VALENDO!
CurtirCurtir
Eu uso senhas diferentes para tudo, isso minimiza os danos caso roubem a senha de um determinado serviço.
CurtirCurtir