Etiquetas

Home / Cidadão electrónico.

Cidadão electrónico.

3. 06. 2009

Já tenho o meu Cartão de Cidadão (CC). Cheguei às 8:20, dez minutos antes da abertura, para me despachar. E fiz bem. Às 8:35, quando entrei para tirar a senha, estavam cinquenta pessoas em fila atrás de mim. Infelizmente, quando lá cheguei já estavam 150 à minha frente. Mas em pouco mais de duas horas fui atendido.

Bom dia, sentei-me, entreguei a senha e a parte da carta com o número do processo. A senhora levantou-se para ir buscar o cartão e eu pus na mesa os vários cartões que teria de entregar para invalidar e o papelinho com os códigos virados para baixo, tudo junto a mim. A senhora entregou-me o CC, pediu-me que conferisse os dados e, enquanto eu comparava o número no CC com o do BI, ela veio pescar a folha dos códigos e começou a escrever coisas no computador. Em vez de protestar decidi ver o que ela fazia. Pôs o cartão no leitor e pediu para eu pôr o indicador no quadradinho enquanto, com os meus códigos à sua frente, escrevia no computador. O monitor estava virado para ela e eu não vi o que ela fez. Perguntou se eu queria activar a assinatura digital. Disse que não, obrigado, fazia isso mais tarde. Furou os outros cartões, devolveu-me tudo e bom dia, fui-me embora.

Ser a funcionária a introduzir os meus códigos foi certamente uma violação do procedimento. Se fizer queixa é provável que a repreendam. Mas não o fez por mal, não tenho receio que tivesse o Notepad aberto para copiar os meus códigos, e com o número de pessoas que tem de atender não é prático que cada uma digite o seu código. Episódios como este, ou como pedirem à Paula para ditar o código em voz alta (1), não são o problema. São meros sintomas de uma falha fundamental muito mais preocupante.

O elemento de segurança principal do antigo BI é a presença de quem se identifica com ele. Isto cria um risco a quem se tentar passar por outrem, o que exige uma falsificação muito boa. Porque mesmo que a probabilidade de ser apanhado seja pequena, se o criminoso tem de estar lá presente quando isso acontece, deixa de compensar. Os arabescos no cartão aumentam a probabilidade de detecção, que aumenta o risco de ser apanhado e, por isso, reduz a incidência deste crime.

Mas se aquilo que se faz passar por mim é um programa num servidor ucraniano, alugado com um cartão de crédito roubado, o risco para o criminoso é nulo. Pouco lhe importa se detectam a falcatrua e vale a pena tentar mesmo com pouca probabilidade de sucesso. O Rui Meleiros mencionou «Criar uma empresa online na Estónia» como exemplo “divertido” do que se pode fazer com o CC (2). A mim não me diverte a possibilidade de o fazerem em meu nome e eu só saber quando for preso.

Como a segurança do BI assentava na presença de quem se identificava nunca nos preocupámos com a informação no cartão. Mostrávamos o BI a quem o pedisse, dávamos fotocópias e o número não era segredo nenhum. Por isso pouca gente achará estranho que a funcionária da Loja do Cidadão peça os códigos e os digite. É o costume. Mas a autenticação remota exige mais cuidado e tem de ser muito mais segura. E, além do cartão em si, depende também do segredo dos códigos e de onde usamos o cartão.

Com o Multibanco já nos habituámos. Nunca lembraria àquela senhora pedir-me este cartão e o PIN, ou os códigos que uso para aceder à conta a partir de casa. E ninguém lhe daria tal coisa. Mas quem nos fornece um cartão Multibanco ou credenciais para home banking deixa claro que os códigos são para manter secretos, e nós sabemos que quem usar esse cartão pode tirar-nos dinheiro. É o contrário do que fazemos quando usamos o BI, que é para mostrar e dar número e fotocópias a quem pedir.

Além dos problemas de agregar informação pessoal de milhões de pessoas em bases de dados que podem ser cruzadas, o erro fundamental do CC é misturar duas formas de autenticação muito diferentes. Identificarmo-nos a outra pessoa, presencialmente e mostrando o documento de identificação. E a autenticação remota, perante uma máquina e por meio de códigos secretos e encriptação. Se nem os funcionários conseguem distingui-las não é de esperar grande segurança neste sistema, porque cada vez que alguém se enganar, ou for enganado, vai facilitar a falsificação da sua identidade*.

O chip, os PIN e os dados biométricos melhorariam a segurança do CC se este fosse usado apenas como o BI, para identificar quem se apresenta com o cartão. Esta devia ser a versão atribuída a todos os cidadãos. A identificação remota devia ser independente e opcional, porque requer um cuidado diferente daquele que se associa a um documento de identificação. E nunca devia ser exigido ao utente que levasse os códigos para onde quer que fosse. Não é por razões tecnológicas. Com certeza que, no papel, o sistema do CC parece seguro. É pelos hábitos de uso e pelos problemas práticos de implementação em larga escala, que dão esta confusão e põem em causa a segurança do sistema.

*Editado: tinha “furto de identidade”, mas este problema é de fraude, não de furto, se bem que a falsificação de identidade possa facilitar o furto.

1- Paula Simões, 15-1-09, Cartão do Cidadão ou porque é que eu não confio no sistema

2- Comentário em !@#&$! para o cartão de cidadão.

Fonte Original

Publicado a 3 de Junho de 2009 por LudwigK neste Opinião.
Link permanente para o artigo.

Deixe um comentário

Hinweis: Durch Bereitstellung der Kommentierungsfunktion macht sich die Piratenpartei nicht die in den Kommentaren geschriebenen Meinungen zu eigen. Bei Fragen oder Beschwerden zu Kommentaren wenden Sie sich bitte über das Kontaktformular an das Webteam.

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

eighteen − twelve =

 

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.

Mais informações

Login

Assinaturas

No Data

Partido Pirata Português

http://www.partidopiratapt.eu/