A partir de agora, ao receber uma senha por carta para o Portal das Finanças, os contribuintes deverão obrigatoriamente alterá-la no primeiro acesso.

Com estas mudanças, a senha enviada por carta servirá apenas para o primeiro acesso ao portal, sendo necessária a sua substituição imediata por uma nova senha definida pelo utilizador.

Além disso, foram reforçados os critérios de complexidade das senhas. A nova senha deverá conter, no mínimo, oito caracteres, incluindo números, letras maiúsculas e minúsculas, e caracteres especiais.

A AT esclarece que estas alterações se aplicam apenas aos novos registos, recuperações ou alterações de senhas. As senhas atualmente utilizadas pelos contribuintes que já estão registados no portal permanecem válidas.

Esta alteração é uma resposta incompleta à nona proposta e total à quinta proposta CpC publicada em:
https://cidadaospelaciberseguranca.com/2024/10/16/nove-mil-senhas-do-portal-das-financas-a-venda-na-darkweb-o-que-pode-fazer-o-que-pode-fazer-e-ja-devia-ter-feito-a-at/ e enviada ao Governo (sem resposta).
Saudamos esta alteração (tardia) mas que ainda não cumpre o principal daquilo que propusemos em Outubro:

“Como é que a AT nos podia ter protegido e pode impedir novos casos:
1. URGENTE: Habilitar autenticação de dois factores (MFA) através de PINs por SMS ou (idealmente) de códigos gerados por aplicações de autenticação (Google Authenticator, Microsoft Authenticator, WatchGuard AuthPoint, etc)
2. Esta exfiltração na Darkweb tem meses: a AT podia ter adquirido (ainda o pode fazer) um serviço de monitorização da aparição deste tipo de dados e feito reset a todas as passwords capturadas antes da intrusão ter tido lugar.
3. Logo que a AT soube desta situação devia ter enviado um email a todos os utilizadores alertando para a mesma. Não é nítido se a situação foi (e quando foi) reportada à CNCS.
4. Criar no portal da AT um registo de logins e de IPs/locais de acesso como aquele que vemos, p.ex. no gmail em “Recent security activity”. Esta informação poderia estar em https://sitfiscal.portaldasfinancas.gov.pt/geral/home
5. A AT deve implementar políticas de segurança de passwords mais rígidas: maior comprimento, complexidade, e mudanças periódicas obrigatórias.
6. Como é que esta lista foi obtida? Uma compilação de várias exfiltrações de passwords guardadas no Chrome é o mais provável dado o relativamente pequeno volume (9 mil). Um acesso ilegítimo a uma base de dados da AT teria produzido uma lista mais extensa mas indicaria que a AT está a guardar passwords em tabelas de uma forma não encriptada o que viola o RGPD. Se ainda não o faz: devia fazer.
7. A AT deve investir mais em ferramentas de monitorização e em auditorias externas de segurança que poderiam ter detectado e travado esta intrusão e divulgação.
8. A AT deve criar campanhas de conscientização sobre segurança cibernética para os seus próprios funcionários e cidadãos, instruindo sobre os riscos e boas práticas para proteger credenciais e colocar essas campanhas com questionários de avaliação no próprio portal da AT.
9. Criar um ciclo semestral de mudança de passwords como já sucede na maioria das organizações.”