Problemas de Segurança na Chave Móvel Digital #232
Description
Sempre que alguém tenta utilizar a minha Chave Móvel Digital de forma indevida, o sistema acaba por bloquear o acesso após várias tentativas falhadas. O problema é que estas tentativas parecem ser feitas de forma repetida, quase como um “spam” de acessos, o que leva ao bloqueio frequente do serviço.
O mais preocupante é que não tenho qualquer forma de saber de onde estão a ser feitas essas tentativas de acesso. Não existe informação sobre o dispositivo, localização ou qualquer outro detalhe que me permita perceber a origem das tentativas. Como consequência, vejo-me muitas vezes obrigado a manter a Chave Móvel Digital desativada para evitar bloqueios constantes.
No entanto, mesmo com a Chave Móvel Digital desativada, continuo ocasionalmente a receber SMS a informar que a mesma foi desativada devido a tentativas de acesso. Isto demonstra que continuam a existir tentativas de utilização indevida associadas ao meu número de telemóvel.
Considero que o modelo atual, baseado exclusivamente no número de telemóvel, apresenta fragilidades, uma vez que qualquer pessoa pode tentar introduzir um número de telefone e iniciar sucessivas tentativas de autenticação. Seria importante reforçar a segurança através de mecanismos adicionais, como a possibilidade de associar a autenticação a um dispositivo específico (binding ao equipamento), utilizando por exemplo Face ID, impressão digital ou outro método biométrico disponível no telemóvel.
Adicionalmente, deveria ser possível optar por uma aplicação autenticadora dedicada, em vez de depender exclusivamente do número de telemóvel e de códigos enviados por SMS, um método que é mais vulnerável a abusos e tentativas maliciosas.
Acredito que estas melhorias aumentariam significativamente a segurança, reduziriam o risco de bloqueios injustificados e dariam ao utilizador maior controlo e transparência sobre as tentativas de acesso à sua conta.