A notícia avançada pela edição online da Exame Informática tem como base a ferramenta da Qualsys SSL Labs que faz a análise da segurança geral dos sites.
Nenhuma das instituições testadas apresentou falhas de segurança que deixem totalmente desportegidos os utilizadores. De qualquer forma, a encriptação dos dados dos utilizadores não é totalmente fiável e gera desconfiança. Com exceção do Millenium BCP, todos os bancos apresentaram áreas que podem ser melhoradas. E houve alguns que tiveram notas muito más.
Comecemos pelos piores casos. BBVA, Santander Totta e Portal das Finanças levam todos nota negativa (F).
O BBVA foi o pior de todos por várias razões. Segundo a Qualys SSL Labs, este banco suporta a norma SSL2 que é obsoleta e insegura. O banco é também vulnerável a ataques do género “homem do meio” por suportar renegociações inseguras. Quer isto dizer que é totalmente desaconselhado aceder ao BBVA num hotspot público porque se houver alguém a intercetar as comunicações será capaz de se fazer passar pelo banco antes de se iniciarem as comunicações seguras com os servidores do BBVA. Por fim, além de suportar cifras antigas e inseguras, o BBVA não suporta a mais recente TLS 1.2, que é a forma mais segura atualmente disponível para encriptar as comunicações com os clientes.
O Santander Totta também leva nota negativa, mas não é tão mau quanto o BBVA. Esta instituição suporta, todavia, renegociações inseguras, pelo que também é vulnerável a ataques do tipo “homem do meio”. Pela positiva, suporta TLS 1.2 (a melhor encriptação atualmente disponível) e não suporta SSL2 pelo que não há o perigo de um cliente iniciar uma sessão a partir de um browser antigo, recorrendo a uma encriptação totalmente ultrapassada.
Quanto ao Portal das Finanças, a razão para a baixa nota deve-se ao facto de o certificado de segurança não ter sido reconhecido como válido. Todavia, há várias razões para este comportamento, pelo que tal não é necessariamente mau. Pior é mesmo o tamanho da chave de encriptação usada, cuja segurança é fraca.
ActivoBank7, CGD, BES, BPI e Montepio levam uma nota global de B, pelo que ainda têm áreas que podem ser melhoradas. O banco com a melhor prestação no que à segurança diz respeito é, segundo a Qualys SSL Labs, o Millenium BCP, com uma nota de A-.