Apesar de entender que se trata de um mecanismo de segurança importantíssimo, confesso que não me agrada nem um pouco a forma como funcionam os tokens hoje em dia. Parecem comprometer demais a praticidade em nome da segurança.
Atualmente tenho contas no Itaú, Banco Inter, Nubank e Caixa. Quando abri a conta do Itaú, logo já tive que instalar o iToken, que precisa ser validado no caixa eletrônico para começar a funcionar, limitado a um token ativo por aparelho. Achei ruim isso, pois como já perdi celulares mais de uma vez em assaltos, adotei há alguns anos a estratégia de usar um celular potente em casa e outro mais básico na rua. Essa limitação do iToken me fez ter que optar por instalá-lo no aparelho de casa e, quando estiver fora, me contentar a apenas visualizar o saldo sem possibilidade de movimentar a grana. Ponto negativo para o iToken, mas o pior mesmo não é nem esse.
Comecei a usar o Banco Inter antes daqueles escândalos de vazamentos. Naquela época, era só instalar o aplicativo, logar com as credenciais e sair movimentando a conta. Poder logar com a conta em vários aparelhos ao mesmo tempo foi ótimo para mim, pois vi nisso a minha solução para o “problema iToken”. Porém, depois que os casos de invasão de contas viraram até notícia na TV, o Banco Inter se viu obrigado a implementar uma solução de segurança o mais breve possível. Optaram então pelo tal de i-Safe; token ainda mais tranqueira que do Itaú, pois sequer permite que eu visualize o saldo da conta em um segundo aparelho. O serviço perdeu completamente a utilidade para mim, o que me fez abandonar a conta.
Caixa usa um sistema diferente: é necessário cadastrar a assinatura eletrônica, que na verdade é uma senha numérica, e validar o uso do aparelho. Essa validação pode ser feita em um caixa eletrônico ou a partir de outro aparelho que já tenha sido validado antes. Também é possível autorizar mais de um aparelho para que possa movimentar a conta.
Nubank ainda permite o uso em mais de um aparelho, e espero que continue assim! Da última vez que formatei o aparelho precisei apenas enviar uma selfie para que a equipe validasse a minha identidade, sendo que liberaram a minha conta em poucas horas.
Como já disse, não sou contra os sistemas de token em aplicativos de bancos. Acho que segurança nesse caso é extremamente importante, pois estamos falando do nosso suado dinheiro. Mas o que me incomoda é a forma como são implementados hoje em dia. Me pergunto o quão seguro seria implementar em um banco desses as mesmas opções de segurança que se tem em uma conta Google, por exemplo, que permite ao usuário escolher uma ampla variedade de métodos para verificação em duas etapas.
Qual a opinião de vocês sobre os tokens de bancos da atualidade? Acham que estão ótimos assim do jeito que estão ou deveriam procurar manter um equilíbrio melhor entre usabilidade e segurança?
