Re: [ANSOL-geral] Aplicações proprietárias obrigatórias para operações bancárias

Diogo Constantino diogoconstantino sapo.pt
Segunda-Feira, 28 de Julho de 2025 - 08:32:02 WEST 


Às 08:24 de 28/07/25, Daniel Cerqueira escreveu:
> Rui Cruz <mail  ruicruz.pt> writes:
> 
>> Boa tarde e bom domingo a tod  s,
> 
> Bom dia!
> 
>> Antes de mais, não é comum comentar estes assuntos em listas públicas, mas cá vai os meus 5 cents.
>>
>> Quem está a dizer que vai mudar de banco (e não é a primeira vez que leio, embora tenha apanhado a
>> mensagem do José, sorry) vai ter que mudar muitas mais vezes do que pensa.
>> O SMS deixou há anos de ser um bom 2FA. Aliás, a diretiva
>> https://eur-lex.europa.eu/eli/dir/2015/2366/oj/eng fale em "strong costumer authentication".
>> Logo, nunca poderia ser o SMS.

Poderia, tanto pode como é usada por alguns bancos por toda a Europa 
(embora uma minoria creio), sendo que esta é uma área de forte e activa 
actividade dos reguladores.

> 
> Estive a ler um pouco desse link.  E chego à conclusão que os bancos
> sempre puderam fazer do email o seu 2FA (e continuam a poder fazê-lo).
> Outra alternativa continua a ser o usar do OTP (TOTP ou HOTP).
> 
> As alternativas que apresento são padronizadas, e sem qualquer conflito
> moral.
> 
>> Por outro lado, o SMS não permite "dynamic linking" quando se quer ligar um código + info do montante +
>> utilizador, numa cadeia que se possa considerar segura.

E ainda bem, seria má ideia, porque isso seria um caminho para um 
potencial leak.

> 
> Encontro em lado nenhum o termo "dynamic linking".  E percebo nada o que
> queres dizer com isto.  Tens algum URL?
> 
>> O problema é que muitas pessoas culpam os bancos por isso, e está tudo mal.
>> Mas se quiserem culpar os bancos por não permitirem apps em lojas "livres", aí está tudo bem e
>> recomendo que façam barulho (que, penso eu, não servirá de nada).

Não chega, porque continua a excluir sistemas não baseados em AOSP.

> 
> Discordo.  Há raras vezes, e boas vezes, em que não serve de nada; e a
> maior parte das vezes serve de nada, infelizmente.
> 
> Há que tentar, e ver quais são os resultados.
> 
>> Em suma, SMS deixou de ser um 2FA há anos, não cumpre as diretivas europeias e os bancos estão a fazer
>> o que lhes pedem. O procedimento que todos falam é normal.
> 
> O meu banco continua a usar SMS como 2FA, por exemplo.  Isso, acima, é
> uma conclusão precipitada, pios não "...deixou de ser um 2FA há anos".
> 
>> Workarounds? Há, sim, imensos. Ter um Android velhote para a app do banco e aceder via acesso remoto
>> (Anydesk, Teamviewer, VNC, etc...) é o mais simples.
> 
> Não recomendo.  O facto de teres de ter um sistema operativo de código
> secreto para lidar com assuntos sensíveis, continua a ser problema.
> 
> Ainda mais é, o fato de ter um sistema operativo "Android velhote",
> significa um sistema operativo desatualizado, e uppsssss... crackers
> entraram do meu androidezão/zinho e roubaram-me o dinheiro.  Maldita
> falha de segurança (pensaram os ingénuos crentes em igrejas de código
> secreto...).
> 
>> PS: não trabalho num banco :P
>>
>> On Sun, Jul 27, 2025 at 2:09 PM José Sebrosa <sebrosa  artenumerica.com> wrote:
>>
>>   Actualização:
>>   A CGD é capaz de ter passado a precisar mesmo da app para algumas
>>   coisas.  Começam por uma, depois mais, depois tudo... :^(
>>
>>   Numa parte da página Web aparece est aviso:
>>
>>   """
>>   Atenção: Sempre que realizar pagamentos em lojas online que peçam
>>   Autenticação Forte, terá de aprovar a transação através da App
>>   Caixadirecta, que substitui o código SMS 3D Secure.
> 
> Como digo acima, há nada a impedir a CGD de usar o email como 2FA (ler
> mais acima).
> 
>>   Se ainda não aderiu, descarregue gratuitamente a App e siga as
>>   instruções. Disponível para Android e iOS.
>>   """
> 
> E para smartphones GNU/Linux?  Ou agora também somos obrigados a ter um
> sistema operativo que o banco quer que tenhamos?
> 
>>   E de facto tive um caso dum pagamento à google deixou de funionar.  Não
>>   tenho certeza que a causa seja a imposição de autenticação via app, pois
>>   ainda não instalei porcaria de app nenhuma e vou tentar resolver através
>>   de conta noutro banco para eles não serem parvos, mas é muito provável
>>   que seja...
> 
> Se nem pela "porcaria de app" funciona, isto só demonstra a maldade
> inerente dos bancos.
> 
>>   Cumprimentos,
>>   S.
>>
>>   On 7/22/25 09:04, Luis Henriques wrote:
>>   > Olá José!
>>   >
>>   > On Tue, Jul 22 2025, José Sebrosa wrote:
>>   >
>>   >> Eu há meses recebi avisos desse tipo da CGD.  Os prazos que eles deram passaram
>>   >> faz tempo e até agora não precisei de instalar app nenhuma.
>>   >
>>   > Bom, se a CGD fez também esse aviso, isso diminui ainda mais as minhas
>>   > esperanças de encontrar um banco onde isso não iria acontecer.
>>   >
>>   >> Mas como eu fujo das apps como da peste e nunca instalei nenhuma app deles, eles
>>   >> nem devem saber que eu tenho acesso a um smartphone. De momento estou a confiar
>>   >> que o banco não quer deixar de prestar serviços a quem não tem smartphone... mas
>>   >> nunca se sabe...
>>   >
>>   > Esperemos que sim!  Um bom sinal é que que te deram o prazo já passou e
>>   > tudo funciona.  Boa sorte para nós :-)
> 
> 
> ANSOL, é possível desativar esta loucura aqui em baixo?
> 
> |||
> vvv
> 
>>   > _______________________________________________
>>   > Ansol-geral mailing list
>>   > Ansol-geral  listas.ansol.org
>>   > http://listas.ansol.org/mailman/listinfo/ansol-geral
>>
>>   _______________________________________________
>>   Ansol-geral mailing list
>>   Ansol-geral  listas.ansol.org
>>   http://listas.ansol.org/mailman/listinfo/ansol-geral
>>
>> _______________________________________________
>> Ansol-geral mailing list
>> Ansol-geral  listas.ansol.org
>> http://listas.ansol.org/mailman/listinfo/ansol-geral
>>
> 
> 
> _______________________________________________
> Ansol-geral mailing list
> Ansol-geral  listas.ansol.org
> http://listas.ansol.org/mailman/listinfo/ansol-geral

Mais informações acerca da lista Ansol-geral