Skip to content

Roi Metrics

For everything you can measure

Um episódio inesperado mistura falta de segurança, invasão de privacidade, erro de funcionário, miopia da empresa e levanta algumas questões sobre proteção de senhas.
Com André Barros

Não sei se você chegou a tomar conhecimento, mas no final de agosto um banco inglês trocou a senha de um cliente – provavelmente por considerar imprópria a senha escolhida. Bizarro, não?!

Segundo matéria no BBC Brasil, o cliente havia escolhido a senha “Lloyds é uma porcaria” como seu código de segurança para realizar transações bancárias e acabou tendo sua senha alterada para “não é não” por um funcionário do banco.

Mas como assim, um funcionário do banco alterando sua senha?

Essa história aconteceu com Steve Jetley, que mora na cidade de Shrewsbury, ao norte da Inglaterra, que escolheu a senha que criticava o banco após ter um problema com um esquema de seguro de viagens associado à sua conta.

Ao tentar acessar a conta no serviço bancário pelo telefone sem sucesso, ele acabou descobrindo que sua senha havia sido alterada. Ao passar a informação pelo telefone a uma funcionária, ela disse que a senha não estava registrada no sistema do banco.

Após pedir para a funcionária trocar novamente a senha para a original, “Lloyds é uma porcaria”, ele teve seu pedido negado com a alegação de que o código não era “apropriado”.

Teve outras tentativas fracassadas de solicitações para alterar a senha quando propôs “Lloyds é um lixo”, “O Barclays é melhor” e “censura”.

O Lloyds se desculpou ao cliente em um comunicado afirmando que os funcionários envolvidos não trabalhavam mais para a empresa.

Debatendo a questão com alguns amigos, levantamos algumas fragilidades que podem impactar na imagem da marca como:

  1. Essa empresa está realmente preocupada com a satisfação de seus clientes? Parece uma loucura falar disso em 2008, mas aparentemente a reação da empresa foi só após a notícia ter sido publicada. Será que a senha “Lloyds é uma porcaria” não passa algum recado?
  2. Até que ponto foi invasão de privacidade? Não sei se quero que um funcionário do banco saiba minha senha. Será que este funcionário não poderia testar se eu uso algum padrão de senha tentando acessar uma conta em um outro banco?
  3. Ainda na linha de não se preocupar com a satisfação, cogitamos que o caso passa uma imagem de empresa arrogante, pois a funcionária estava mais preocupada em arrumar algum motivo para justificar que o cliente não ia poder usar uma senha “imprópria” do que saber quais foram os motivos que levaram seu cliente adotar aquela postura. Será que o cliente queria chamar a atenção da empresa para algum problema? Eu acho que sim!
  4. O funcionário ignorou que sua ação poderia causar um mal-estar a marca, ignorou o fato de que a internet é um canal aberto de comunicação entre P2P que ocorre nas redes sociais, blogs e todo buzz instantâneo nos twitters e MSNs que ocorrem num segundo pelo mundo. Um amigo que admiro muito, Romeo Busarello, tem uma definição perfeita para a internet como canal de comunicação. Segundo ele é o canal “Fale como todo mundo” e com certeza neste momento tem muita gente com nostalgia dos bons tempos do canal exclusivo empresa cliente, o antigo “fale conosco”.

.

Para mim o mais bizarro foi pensar que as senhas podem estar armazenadas como “string” na internet e por isso, pedi a um amigo meu da Predicta, André Barros, nosso gerente de tecnologia que nos explicasse um pouco mais as questões de segurança relacionadas a confidencialidade da senha.

Segundo André, ao analisamos a segurança de uma aplicação/serviço web, um dos pontos a considerar é o armazenamento de senhas “abertas” em banco de dados. Isso pode ser identificado quando no serviço de troca de senhas, disponíveis em 100% dos sistemas, sua senha anterior é exibida para você. Se isso ocorre, desconfie, pois é sinal que o serviço armazena sua senha diretamente, sem nenhuma criptografia.

Outra forma de identificar o problema ocorre quando você recebe sua senha anterior por e-mail. Se considerarmos que grande parte dos usuários utiliza a mesma senha para diversos serviços, essa questão torna-se ainda mais relevante.

O método mais comum utilizado para evitar esse problema é a utilização da técnica de hash. A senha informada pelo usuário é submetida a um algoritmo, que a transforma para uma seqüência de caracteres, e essa sim é armazenada no banco de dados.

Quando o usuário efetua login na aplicação o mesmo processo é realizado com a senha informada, e os dois hashs são então comparados. Se baterem, a senha confere. Esses algoritmos têm por característica funcionarem apenas em um sentido, ou seja, com o hash não é possível chegar à senha original – ou ao menos, é muito difícil, em termos computacionais.

Para o usuário, a melhor indicação de que o site segue as recomendações é quando ele sempre pede para fornecer sua senha antiga para validação no processo de troca, mas claro, sem exibi-la para você. Na seqüência é gerada uma senha aleatória, que é enviada para o e-mail cadastrado.

Leia mais sobre o caso na BBC Brasil: Banco inglês troca senha malcriada de cliente
Referências sobre senhas, políticas e melhores práticas na Wikipedia: Password

Tags: ,