O incrível caso da senha censurada pela empresa

Episódio inesperado em atendimento bancário mistura falta de segurança, invasão de privacidade, erro de funcionário, miopia da empresa e levanta questões sobre proteção de senhas

Por Rodrigo Polacco

(Com André Barros)

Não sei se você chegou a tomar conhecimento, mas no final de agosto um banco inglês trocou a senha de um cliente - provavelmente por considerar impróprio o conteúdo escolhido para a senha. Bizarro, não?!

Segundo matéria no BBC Brasil, o cliente havia escolhido a senha “Lloyds é uma porcaria” como seu código de segurança para realizar transações bancárias e acabou tendo sua senha alterada para “não é não” por um funcionário do banco.

Mas como assim, um funcionário do banco altera sua senha?

Essa história aconteceu com Steve Jetley, que mora na cidade de Shrewsbury, ao norte da Inglaterra, que escolheu a senha que criticava o banco após um problema com um esquema de seguro de viagens associado à sua conta.

Ao tentar acessar o banco pelo telefone, ele acabou descobrindo que sua senha havia sido alterada. Ao passar a informação pelo telefone a uma funcionária, ela disse que sua senha não estava no sistema.

O correntista pediu para a funcionária trocar novamente a senha para a original, “Lloyds é uma porcaria“. O pedido foi negado mediante alegação de que o código não era “apropriado”.

Também foram negadas solicitações para alterar a senha para “Lloyds é um lixo”, “O Barclays é melhor” e “censura”.

Após o fato ter sido noticiado (BBC Brasil: Banco inglês troca senha malcriada de cliente ), o Lloyds se desculpou ao cliente em um comunicado afirmando que os funcionários envolvidos não trabalhavam mais para a empresa.

Debatendo a questão com alguns amigos, levantamos algumas fragilidades que podem impactar na imagem da marca:

• 1. Essa empresa está realmente preocupada com a satisfação de seus clientes? Parece uma loucura falar disso em 2008, mas aparentemente a reação da empresa foi só após a notícia ter sido publicada. Será que a senha “Lloyds é uma porcaria” não passa algum recado?

• 2. Até que ponto foi invasão de privacidade? Um funcionário do banco não deve saber a minha senha. Será que este funcionário não poderia testar se eu uso algum padrão de senha tentando acessar uma conta em um outro banco?

• 3. Ainda na linha de não se preocupar com a satisfação, cogitamos que o caso passa uma imagem de empresa arrogante, pois a funcionária estava mais preocupada em arrumar algum motivo para justificar que o cliente não ia poder usar uma senha “imprópria” do que saber quais foram os motivos que levaram seu cliente adotar aquela postura. Será que o cliente queria chamar a atenção da empresa para algum problema? Eu acho que sim!

• 4. O funcionário ignorou que sua ação poderia causar um mal-estar à marca, ignorou o fato de que a internet é um canal aberto de comunicação entre P2P que ocorre nas redes sociais, blogs e todo buzz instantâneo nos twitters e MSNs que ocorrem num segundo pelo mundo. Um amigo que admiro muito, Romeo Busarello, tem uma definição perfeita para a internet como canal de comunicação. Segundo ele é o canal “Fale como todo mundo” e com certeza neste momento tem muita gente com nostalgia dos bons tempos do canal exclusivo empresa cliente, o antigo “fale conosco”.

Preocupa saber que as senhas podem estar armazenadas como “string” na internet. Pedi ao André Barros, gerente de tecnologia da Predicta, que nos explicasse um pouco mais as questões de segurança relacionadas à confidencialidade da senha.

Segundo André, ao analisamos a segurança de uma aplicação/serviço web, um dos pontos a considerar é o armazenamento de senhas “abertas” em banco de dados. Isso pode ser identificado quando no serviço de troca de senhas, disponíveis em 100% dos sistemas, sua senha anterior é exibida para você. Se isso ocorre, desconfie, pois é sinal que o serviço armazena sua senha diretamente, sem nenhuma criptografia.

Outra forma de identificar o problema é quando você recebe sua senha anterior por e-mail. Se considerarmos que grande parte dos usuários utiliza a mesma senha para diversos serviços, a questão torna-se ainda mais relevante.

O método mais comum utilizado para evitar esse problema é a utilização da técnica de hash. A senha informada pelo usuário é submetida a um algoritmo, que a transforma para uma seqüência de caracteres, e essa sim é armazenada no banco de dados.

Quando o usuário efetua login na aplicação o mesmo processo é realizado com a senha informada, e os dois hashs são então comparados. Se baterem, a senha confere. Esses algoritmos têm por característica funcionarem apenas em um sentido, ou seja, com o hash não é possível chegar à senha original – ou ao menos, é muito difícil, em termos computacionais.

Para o usuário, a melhor indicação de que o site segue as recomendações é quando ele sempre pede para fornecer sua senha antiga para validação no processo de troca, mas claro, sem exibi-la para você. Na seqüência é gerada uma senha aleatória, que é enviada para o e-mail cadastrado. [Webinsider]

……………………………………………………..

Referências sobre senhas, políticas e melhores práticas na Wikipedia: Password

.

9 pessoas comentaram o artigo "O incrível caso da senha censurada pela empresa"

Avisos

Os ítens com asterisco ( * ) são campos de preenchimento obrigatório.

Todos os links inseridos nos comentários possuem o atributo rel="nofollow" para impedir com que user agents (como os mecanismos de busca) sigam os links inseridos para desestimular spammers.

Todos devem se identificar através de e-mail válido.

Os e-mails dos usuários não serão divulgados no site.