Home > Notícias

Estudo: usuários ignoram funções de segurança em serviços de e-banking

Pesquisa conduzida pelo MIT junto a Harvard mostra que falta de conexão encriptada ou falha nos sistemas de segurança não impedem acesso

Por Jeremy Kirk, para o IDG Now!

05/02/2007 às 16h08

Foto:

Pesquisa conduzida pelo MIT junto a Harvard mostra que falta de conexão encriptada ou falha nos sistemas de segurança não impedem acesso

Usuários de serviços online de bancos tendem a ignorar dicas críticas de segurança sobre possíveis problemas com a integridade dos sites, de acordo com um estudo divulgado neste domingo por pesquisadores da Universidade de Harvard e pelo Instituto Massachusetts de Tecnologia (do inglês, MIT).

O estudo, que será divulgado formalmente em maio durante o Simpósio de Segurança e Privacidade IEEE, na Califórnia, estima o quanto novas tecnologias e alertas podem não proteger usuários da internet de ameaças como phishings.

O documento também duvida da efetividade de imagens para autenticação nos sites, que foram implementadas por serviços online de bancos.

As imagens, selecionadas pelos clientes, são mostradas quando um cliente se autentica em um computador diferente ao normalmente usado.

O estudo envolve 67 usuários, com mais de 90% deles abaixo dos 30 anos. Em razão dos parâmetros variáveis no estudo, nem todos se qualificaram para ser incluídos nos resultados de cada um dos três testes. Os pesquisadores pediam que usuários acessassem os serviços online normalmente, com precauções para garantir que usuários não sofressem riscos.

No primeiro teste, indicadores HTTPS - que mostram que uma conexão encriptada está em ação - foram removidos da barra de endereços junto com o cadeado que aparece no canto superior direito do Internet Explorer 6.

Mesmo com a falta do símbolo, todos os 67 participantes continuaram com as transações, afirmou o estudo.

Os pesquisadores então conduziram um teste em que uma imagem para autenticação foi removida junto com os indicadores HTTPS. Os pesquisadores escreveram que esta é a primeira investigação empírica no uso de imagens para autenticação.

Apenas dois dos sessentas envolvidos não se autenticaram quando a imagem era removida, sinal de que o site pode ter sido afetado ou era um site de phishing, afirmou o estudo.

Dos usuários que estavam realmente usando sua conta bancária durante a observação, 23 de 25 continuaram a fornecer suas senhas.

"Descobrimos que as imagens são ineficientes", conclui o estudo.

No último teste, pesquisadores foram ainda mais óbvios, substituindo a página de fornecimento dos dados com uma página de alerta do Internet Explorer 7 Beta 3. O alerta afirma sobre um problema com o certificado de segurança do site. Mesmo com o aviso, 30 de 57 usuários forneceram suas senhas.

O estudo é divulgado ao mesmo tempo em que bancos estão enrijecendo suas tecnologias de autenticação para se encaixar em regulações federais.

Em outubro de 2005, o Conselho de Examinação Federal de Instituições Financeiras (do inglês, FFIEC) ordenou que os bancos dos EUA implementassem proteções de autenticação mais fortes até o final do ano, particularmente para transações de alto risco como envio de dinheiro à conta de uma pessoa diferente.

O Bank of America usa uma tecnologia de autenticação de imagem chamada SiteKey. Usuários escolhem uma imagem e estipulam uma frase a ela, enquanto definem três perguntas secretas.

Caso um usuário se autentique de um PC que não tenha um cookie, é pedida a resposta de uma das perguntas secretas para a verificação da imagem.

Caso a imagem não apareça ou a frase esteja errada, clientes não devem continuar. O Bank of America disse que o sistema de imagens beneficia usuários já que é de graça e não envolve software ou hardware extra.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail