Se o procurarmos num motor de busca o “aforro.net” continua a ser direccionado para sites que não estão relacionados. Actualmente, por exemplo (30.09.2024) é feito um redirect para
https://vipestores.com/pt sendo que há um par de semanas era encaminhado para uma página parqueada (o que indica que alguém está atento a este DNS domain). É certo que isso não é da restrita competência do IGCP mas resulta de – no mínimo – alguma falta de planeamento ter escolhido uma “marca” e depois não garantir o registo do domínio DNS ou, pelo menos, a sua aquisição posterior a quem o adquiriu: Como está não é impossível (nem improvável) que uma organização ou utilizadores maliciosos adquiram este domínio para ali alojar um site falso do IGCP com o objectivo de captura de credenciais.

Nota: O site real é aquele que encontramos no endereço https://aforronet.igcp.pt/Iimf.AforroNet.UI/services/login/Login.aspx?ReturnUrl=%2fiimf.aforronet.ui%2f

Uma operação de captura de credenciais para o acesso às contas no Aforro.net seria aliás relativamente fácil de conduzir porque – ao contrário de todas as boas práticas – o acesso do site do IGPC continua a não utilizsr autenticação por múltiplo factor (!) e a estar sujeito (embora dificilmente desde as últimas alterações) a ataques a passwords por força bruta.

É certo que esta a password é complexa, num processo que decorreu com bastantes problemas chegando ao ponto de cruzar sessões entre utilizadores como alertámos em https://cidadaospelaciberseguranca.com/2024/08/26/o-site-do-aforronet-do-igpc-em-baixo-o-que-se-passou-no-processo-de-mudanca-de-passwords-e-o-que-e-o-aforro-net. Mas, e apesar de vários alertas dados pela comunidade de cibersegurança o acesso ao AforroNet continua a ser demasiado simples e a não respeitar as melhores práticas da indústria: Para entrar basta escrever um username e uma password e conhecer parte do Número de Identificação Fiscal. Este último está em várias bases de dados de cidadãos portugueses à venda na Darkweb (p.ex. via https://www.flytap.com/pt-ca/informacao-a-clientes?accordionid=41691ac2-4277-4e23-ab94-365858ce1f74) pelo que dificilmente a exigência do seu conhecimento pode ser considerada como uma “medida de segurança” e de identificação adicional do utilizador.

A password do acesso ao AforroNet pode agora ter entre “8 a 12 caracteres” e “deve incluir uma letra minúscula, uma letra maiúscula, um algarismo e um carater especial (@#$%^&*()_+~|{}[]\/=)”: Parece difícil de adivinhar mas um computador com um processador topo de fama (como um Intel Core i9 ou Apple M2 Max) sem otimização de hardware dedicada pode realizar cerca de 10 milhões a 100 milhões de tentativas por segundo para senhas passwords e algoritmos de hash comuns (como SHA-256). Se o computador possuir hardware adicional (como GPUs ou clusters de máquinas), esta capacidade pode ser ainda maior com GPUs de primeira linha capazes de chegar a biliões de tentativas de crack por segundo.

Mas, sem irmos a estas estratosferas, fiquemos pelo uso de um laptop comum usando o melhor processador disponível, e podemos estimar algo em torno de 50 a 100 milhões de tentativas por segundo chegando a esta tabela:
Password de 8 caracteres: cerca de 0,23 anos (~ 3 meses).
Password de 9 caracteres: cerca de 16,5 anos.
Password de 10 caracteres: cerca de 1.187 anos.
Password de 11 caracteres: cerca de 85.477 anos.
Password de 12 caracteres: cerca de 6,15 milhões de anos.
De recordar que estes valores são os que se obtêm com um computador relativamente comum. Se for um equipamento mais especializado passamos para cerca de 0,023 anos (~ 8,4 dias) se a password tiver apenas 8 caracteres.

Contudo, o risco de crack da password é muito baixo: A conta fica bloqueada ao fim de 3 tentativas e é enviado um reset por correio sendo que até que este seja recebido o acesso continua bloqueado. Para que este crack da password de 8 caracteres fosse um problema teriam que ser enviadas centenas de cartas e isso deveria alertar não só o IGPC mas o próprio utilizador que algo de errado estava a acontecer logo nas primeiras duas ou três cartas. Apesar disso e dado o aumento de segurança entre 8 e 12 caracteres seria mais avisado forçar o valor mais alto. Apesar deste baixo risco é chocante que este serviço (e outros do Estado tais como o acesso à AT e à Segurança Social Directa) continuem a não autenticação por múltiplo factor.

Recomendações ao IGPC/Serviços Partilhados da Administração Pública, I.P.:
1. Obrigue todas as passwords a terem 12 caracteres.
2. Adicione autenticação por duplo factor com os dados que já possui em sistema: email e número de telefone.
3. Pondere a adição aos códigos dinâmicos gerados por aplicações de autenticação como o Google Authenticator ou o Microsoft Authenticator.
4. Ao fim de um ano adicione a protecção adicional da reactivação/confirmação do acesso através do envio por carta de um código.

Recomendações aos utilizadores:
1. Use sempre passwords complexas de 12 caracteres e únicas (não reutilize nenhuma password que usa também noutros acessos): Conserve-a num gestor de passwords com protecção biométrica como o gratuito Bitwarden.
2. Monitorização de contas: Caso receba qualquer comunicação inesperada (como várias cartas com códigos de desbloqueio), entre imediatamente em contacto com o IGPC para verificar a integridade da sua conta. Esteja sempre atento a catividades incomuns relacionadas com o acesso ao AforroNet!