A Incognia, em parceria com Idwall, realizou uma pesquisa com cinco aplicativos de bancos mobile (Inter, Banco Original, C6, Neon e Nubank) e oito aplicativos de carteira digital (Magalupay, PicPay, Stone, Ame, Mercado Pago, PagSeguro, Ag e Iti) para analisar e comparar os processos de login e de troca de aparelho em cada um deles. Entre as semelhanças está o fato de que quase todos os apps permitem o uso de uma biometria – seja ela facial ou digital –, com exceção da Stone. Outro ponto que se destaca é o fato de apenas o Mercado Pago entre os 13 apps analisados ainda usar o SMS como segundo fator de autenticação. Vale dizer também que o SMS foi utilizado por Magalupay e Ame Digital, mas para validação do novo dispositivo do usuário.
Entre as análises estudadas estão os tipos de credenciais que as instituições pedem para seus usuários, com que frequência a pessoa precisa fazer o login e por quanto tempo esse login persiste. Outro ponto é com relação à troca de dispositivo. Os testes relacionados ao login foram: fluxo normal de login; teste de troca de dispositivo; sessões de login consecutivas e simultâneas (com dispositivos diferentes).
Bancos digitais
Todos os apps de banco possibilitam a digital ou o reconhecimento facial para autenticação do usuário. A variação está entre o método que conta com “algo que o usuário sabe” para fazer o login, como a senha, combinado com uma informação pessoal – podendo ser CPF (a credencial mais usada), e-mail ou número da conta. Os métodos não tiveram variação dependendo do sistema operacional.
Carteiras digitais
Dentre todas as carteiras digitais, apenas Stone não ofereceu a possibilidade de fazer o login com impressão digital ou reconhecimento facial. Iti e Safra Wallet /Agzero deram apenas duas opções de autenticação: CPF e senha ou alguma biometria, seja ela digital ou facial.
Ame Digital, Mercado Pago, PagSeguro e Magalupay deram ao menos três opções de informações para serem utilizadas na autenticação, e apenas PicPay deu quatro opções de informações para o usuário realizar o login.
Carteiras + bancos
A pesquisa também analisou os dois segmentos juntos sobre os métodos usados para se fazer o login. O mais popular é a associação de senha com alguma informação pessoal. Neste caso, todos os 13 apps analisados possuem esse fluxo. Em segundo estão o reconhecimento facial ou a biometria digital, usado em 12 apps. A utilização das biometrias depende do dispositivo utilizado pelo usuário. O próximo método mais popular é o CPF e senha, presente em sete aplicativos, seguido por e-mail e senha, usados em seis aplicativos. A associação de senha a um nome de usuário, telefone ou número de conta são os métodos menos populares.
Segundo fator de autenticação
Tanto Stone quanto Mercado Pago utilizam o Google Authenticator como método de segundo fator de autenticação e em seus apps nos dois OSs. Trata-se de uma ferramenta externa que para gerar um token precisa ser integrada ao app da instituição financeira e autorizada pelo usuário em um dispositivo determinado. Este método constitui dois fatores de autenticação, já que é algo que só o usuário tem combinado com algo que o usuário sabe (senha) ou que o usuário é (impressão digital ou reconhecimento facial, presente em muitos apps). Importante apontar que, dentre os 13 aplicativos testados, apenas dois possibilitam que o usuário se proteja com um segundo fator de autenticação.
Troca de dispositivos
O estudo também aponta qual o processo necessário para que o cliente troque o dispositivo e continue usando o app da carteira digital ou do banco. As carteiras digitais iti, Stone, Ag e os bancos Neon e Original não exigiram nenhuma ação adicional por parte do usuário para que ele tivesse acesso à conta no novo dispositivo.
No caso de Safra Wallet (Ag), Original e Neon, o login com o dispositivo novo foi realizado normalmente, sem nenhuma fricção adicional. Iti e Stone enviaram uma notificação para o dispositivo autenticado anteriormente avisando que o app foi autenticado em outro aparelho celular. Não é possível afirmar se essa notificação é o único dispositivo de segurança para essa situação.
O Inter foi o app com mais números de ações pedidas para a troca do dispositivo, seis. O Mercado Pago exigiu quatro ações, assim como o PicPay. O C6 Bank solicitou duas ações. E Nubank, Ame Digital e Magalupay, uma. Neste caso, foi solicitada um OTP, ou senha de uso único. Nubank fez a validação do OTP por e-mail, enquanto Magalupay e Ame Digital, via SMS.
De acordo com outros dados da Incognia, 90% dos logins acontecem em localidades comuns da rotina do usuário e 95% das transações sensíveis acontecem nesses mesmos lugares. Outro dado apontado pela empresa é que 0,5% das tentativas de trocas de dispositivos foram descobertas como uma fraude de roubo de conta.
Metodologia
O relatório estudou o processo do login, teste de troca de dispositivo e teste de múltiplas sessões nas plataformas iOS e Android. Os dados foram coletados entre 4 e 12 de março de 2021, no sistema operacional do Google, e de 3 a 9 de abril na plataforma da Apple.
Para eliminar a variabilidade criada por diferentes usuários completando aplicações, a mesma pessoa realizou o processo de testes para cada um dos aplicativos.
Foram coletados os seguintes dados:
– Método para login.
– Tipos dos múltiplos fatores de autenticação.
– Quanto tempo dura uma sessão de uso de um aplicativo.
– Qual é a ação necessária para um login ser encerrado.
– Possibilidade de login simultâneo ou consecutivo
– Quantas e quais as etapas necessárias para ser feita uma troca de dispositivo
