Internet | 26/09/2012 01h57 - Atualizado em 03/06/2013 19h07

Lojas de comércio eletrônico do Brasil enviam senha por e-mail

Linha Defensiva compara políticas de senhas de sites populares.
Sites ainda enviam senhas cadastradas por e-mail no processo de recuperação.

A Linha Defensiva realizou uma pesquisa para comparar as políticas de senhas de diversos sites e serviços on-line. O levantamento mostra que diversas lojas brasileiras e alguns serviços de internet não protegem as senhas dos seus usuários de forma segura. Algumas lojas nem sequer fazem uma verificação de email antes de confirmar o cadastro no site e, no entanto, usam o próprio e-mail (não verificado) para recuperar a senha.

Várias lojas armazenam as senhas dos seus clientes de forma legível em seu banco de dados, sem utilizar a tecnologia de hashing que impede a leitura das senhas mesmo para quem pode acessar o banco de dados. Alguns serviços no Brasil não aceitam caracteres especiais.

O envio de senha por e-mail, além de indicar armazenamento inadequado da senha, é uma prática insegura, porque o e-mail do internauta pode ser roubado ou mesmo o login esquecido em um computador. Nesse caso, o invasor pode ir aos serviços e solicitar as senhas cadastradas, permitindo descobrir quais eram as senhas do usuário e obter acesso a outras contas e serviços em que a mesma senha pode ter sido utilizada.

Entre os serviços internacionais, “destaque” para o Last.fm, que apesar do recente vazamento de senhas, aceita 1 caractere mínimo.

Confira na tabela abaixo os serviços analisados pela Linha Defensiva. Se você é utilizador destes serviços e souber algo mais sobre a política de senhas e recuperação, entre em contato conosco e informe.

Serviço Senhas Recuperação de Senhas
Mín. Máx. E-mail Resp. Secreta Outro
E-mail
BOL4 51 81 S N
Globo Mail 81 151 S S
Gmail 8 200 S S SMS
Hotmail / Outlook.com 8 16 S S SMS
Yahoo 6 32 N S
Financeiro
MercadoPago5 6 20 S S
PagSeguro 51 81 S N
Paypal 8 20 A A Telefone
Comércio Eletrônico
Amazon 8 18 S4 N
Americanas 6 8 S2,4 N
Casas Bahia 4 8 C4 N
CompraFacil 4 15 C4 N
Magazine Luiza 6 10 S2,4 N
Ponto Frio 4 8 C4 N
Saraiva N/D3 503 S2,4 N
Submarino 6 8 S4 N
Tray (sistema) N/D 34 S2,4 N
Jogos On-line
Battle.net 8 16 N S Chave do jogo
GOG 6 64 S N
Playstation Network 8 30 S N
Steam 5 36 A A
Xbox LIVE Idêntico ao Hotmail / Conta Microsoft
Redes Sociais
Facebook 6 30 S N Login em conta Google
Twitter 6 43 S N SMS
Last.fm 1 32 S N
LinkedIn 6 35 S N
Outros serviços
Dropbox 6 40 S4 N SMS
Fórum Linha Defensiva 3 32 S N
Legenda
N/D Não disponível — valor não foi informado pelo site. S Sim
A Ambos — serviço utiliza e-mail e resposta secreta em conjunto N Não
C Confirmação de Dados — serviço exige que dados sejam confirmados antes de informar a senha.

Notas

  1. Serviço não aceita caracteres especiais nas senhas.
  2. Serviço envia por email a senha que foi criada junto com o cadastro, em texto plano, quando uma recuperação é efetuada. Isso indica que a senha é armazenada de maneira insegura.
  3. Serviço não diferencia letras maiúsculas de minúsculas.
  4. Endereço de e-mail cadastrado não é verificado.
  5. [ BOL ] O medidor de força de senhas classifica qualquer senha como forte. A partir do primeiro caractere inserido na senha, a força da senha já é definida como “forte”.
  6. [ MercadoPago ] “Senha de Pagamentos e Retiradas” é diferente da senha do cadastro e tem 8 a 12 caracteres. A recuperação de senhas é com pergunta secreta.
 

Comentários 7

Os comentários são de responsabilidade de seus respectivos autores

  • Ótima Pesquisa! Como sempre mostrando competência no trabalho de vocês!

  • Guigo327

    Então, qual a melhor maneira de se enviar uma senha para o usuário?

    • A senha nunca deve ser enviada, até porque ela não deve estar armazenada. Pode-se, sim, enviar uma *nova* senha, quando ela for criada. Mas a senha anteriormente armazenada não deve estar acessível.

      Outra alternativa, melhor, é dar ao usuário um link que, quando clicado, permite que ele digite uma nova senha. Dessa forma, a senha nunca fica registrada no e-mail ou mesmo em lugar algum (exceto nos logs do servidor HTTP, que são periodicamente removidos).

      • Holeoc

        Fiquei puto
        quando me cadastrei num site de compras online e eles me enviaram todos meus
        dados confirmados pelo mail inclusive a senha visível. Parei ai nem comprei la.

  • Eu

    Pior que não me surpreendo mais em ver casos como esse da americanas.com, uma loja nacional de tal porte, que não dá o minimo de segurança para seus usuários.

  • MICHAEL BUSSOLA

    FALTOU O ORIGIN, MAS TÁ VALENDO!

  • Wellington Gomes dos Santos

    Eu uso senhas diferentes para tudo, isso minimiza os danos caso roubem a senha de um determinado serviço.

Alertas no Twitter

 
Parceiro
Site Seguro

Anuncie | Termos de Uso | Politica de Privacidade | WP

Editado por Altieres Rohr. Mantido pelo Staff Linha Defensiva

Contato Geral:

English ©2004-2015 Linha Defensiva. Todos os Direitos Reservados.