Dica para evitar bloqueio de certificado digital pin puk

Pincipi · 22 de junho de 2016

Eu mesmo não uso certificado digital mas, por uma virtude do destino dou assistência a quem usa e o desespero bateu na porta quando apareceu que o certificado digital está bloqueado porque foi digitado incorretamente o PIN, quando faltavam apenas dez minutos para o fim do prazo de entrega de um documento muito importante e caro.

Um caso simples de "capslock" ativado em um computador que não tem a luzinha indicadora acesa e não aparece na tela que as letras maiúsculas estão acionadas, o usuário digita a senha corretamente sem saber que as letras não estão na minúscula e sim na maiúscula, como consequência dá como senha errada, isso acontece em um dia e depois acontece no mês seguinte e de repente depois de alguns meses acontece de novo e o token contou todos os erros e travou imediatamente.

A primeira coisa que fiz foi ligar para o suporte técnico enquanto procurava os papeis da compra do certificado, o atendente ensinou a entrar no programa que gerencia o token e clicar em desbloquear a senha PIN, certo, até aqui tudo bem, ocorre que neste momento o computador solicita a senha PUK e o usuário diz que não sabe da senha, que só sabe da senha PIN, o atendente explica que toda a responsabilidade de guarda das senhas PIN e PUK são do usuário e que se ocorrer o bloqueio por tentativas erradas o certificado será bloqueado em definitivo, sendo necessário comprar outro e no caso do token, pode ser reinicializado e aproveitado.

Encontrado o manual do token havia uma página em que estava escrito " escreva a sua senha PIN aqui e escreva a sua senha PUK aqui" porém, o local onde deveria estar escrito a senha estava em branco, logo abaixo estava anotado uma senha de desativação para ser usada em caso de desativar definitivamente o certificado, era uma senha diferente da senha do PIN.

Buscando tutoriais na internet descobri que a senha padrão de fábrica do PUK é "1234".

Diante da situação comecei a trabalhar com as possibilidades, sabíamos a senha PIN e a senha de desativação e não sabíamos qual era a senha PUK.

Vi que no programa havia a possibilidade de desbloquear a senha PIN em três tentativas e vi também que havia a possibilidade de mudar a senha PUK em três tentativas, a conclusão que cheguei é que eu teria seis chances de tentar, três em cada modalidade.

Primeira decisão a ser tomada foi digitar o código 1234 de fábrica na opção de recuperação de senha PIN já que o usuário disse que não tinha mudado a senha PUK e nem sabia que ela existia, o resultado foi que a senha estava errada e agora restavam apenas duas tentativas.

Segunda decisão a ser tomada foi digitar o código de desativação, desta vez na opção de mudar a senha PUK, o resultado é que a senha estava errada também e que agora só resta uma única tentativa.

Então aquela conta que fiz pensando que teria seis chances de tentar as senhas estava errada porque o token conta as tentativas erradas sejam elas na recuperação do PIN ou na mudança do PUK.

Repensando em toda a estratégia, uma primeira conclusão é que o usuário mudou a senha PUK, caso contrário o token teria aceito a senha de fábrica, a senha de desativação também não serviu, restou apenas uma única tentativa, se digitar errado o certificado fica inutilizado permanentemente.

Pensando no fato de que o usuário disse que não mudou a senha PUK e nem sequer sabia que ela existe, sobrou uma dedução lógica digna de "Sherlok Holmes": o usuário cadastrou a mesma senha tanto no PIN como no PUK.

Última tentativa, agora faltam apenas dois minutos para encerrar o prazo de entrega do documento, entre perder um certificado que custa 200 reais e junto com ele perder um prazo que implica em prejuízo de 200 mil reais e tentar qualquer coisa numa última tentativa, só sobrou o "vai ou racha".

Entrei na opção de mudar o código PUK, digitei o código PIN e cliquei em enter, o computador não fez nada por três longos e eternos segundos até mostrar na tela a mensagem que deu certo, depois disso entrei na opção de desbloquear o PIN e usei o mesmo código no PUK, pronto o token foi desbloqueado e faltando apenas alguns segundos para o fim do prazo, o documento foi assinado digitalmente e enviado.

Depois que consegui abaixar meus batimentos cardíacos, pensei no assunto e resolvi passar minha experiência em formas de dicas básicas para usuários de certificados digitais quanto as três senhas de PIN, PUK e desativação.

No momento da compra do certificado, o usuário cadastra as três senhas e é orientado a anotar as senhas e guardar em local seguro.

Cada usuário tem o seu nível de segurança, alguns usuários irão guardar as senhas em um cofre enquanto que outros não vão anotar de jeito nenhum e o "cofre" será sua mente, no caso do cofre físico, pode ser que o usuário esteja viajando quando precise da senha e não tenha acesso a informação no momento em que a deseja.

Outros usuários preferem um pendrive com um cofre digital, uma espécie de programa que só abre os dados quando se digita a senha correta, neste caso o usuário deve levar em conta a possibilidade de perda ou inutilização de alguma forma como por exemplo cair água.

No caso de perda ou inutilização do token, não vai adiantar nada mesmo porque não poderá praticar os atos ao mesmo tempo que a pessoa que o achou ou o roubou também não poderá fazer nada porque não sabe a senha, a não ser que o usuário tenha colado a senha no próprio token, ou deixado ela anotada junto a ele, neste caso terá que arcar com as consequências da má utilização.

Depois de considerar estes níveis de segurança, o usuário deve considerar também as falhas do cérebro, pode ser que se esqueça momentaneamente da senha ou senhas, tem usuário que cadastra a mesma senha no PIN e no PUK, como foi o caso por que passei, enquanto que tem usuário que cadastra senhas diferentes, outro fator é o usuário estar de férias ou doente hospitalizado, enfim, passar por uma situação que o impeça de alguma forma de praticar os atos em que utiliza o certificado, neste caso é bom que se tenham pelo menos três pessoas qualificadas, cada um com seu certificado, como por exemplo em uma empresa, enquanto um está de férias, os outros dois trabalham normalmente e caso aconteça algum imprevisto com um deles, sobrará um último para praticar os atos.

Se o desastre já aconteceu, tipo esqueceu a senha ou perdeu o papel aonde anotou, não tem jeito, o aparelho só responde a senha correta, tentou três vezes erradas a senha PIN ele bloqueia e pede a segunda senha, o PUK, tentou mais três vezes erradas ele desabilita totalmente e de forma irreversível, o sistema foi programado para funcionar assim.

A única dica que posso dar é conhecer como o seu certificado digital funciona, saber cada um dos passos de seu funcionamento para não ser surpreendido com alguma mensagem de bloqueio sem saber o que fazer.

No caso de sequestro do tipo em que pedem as senhas dos cartões para realizar compras sob grave ameaça eu não tenho dica para dar, a não ser rezar.

Tem usuário que propositadamente digita duas vezes uma senha errada para deixar o token preparado a travar na primeira tentativa errada e deixa junto a ele uma anotação de uma senha diferente da verdadeira, isso seria como uma medida de segurança extra, caso alguém se apodere do token para realizar alguma transação falsa.

É isso, eu espero que não esteja lendo este post depois que se token bloqueou, boa sorte!

Paulo Pacifico · 29 de maio de 2017

Cara legal a Sua dica. muito valiosa...

porém o meu problema é mais critico. eu mesmo digitei a senha PUK. e um belo dia... em que minha senha PIN foi bloqueada... não me lembro mais da PUK. e agora? só resta uma tentativa.

queria saber se nao existe algum software q bloqueia as gravação de tentativas. porque eu tenho 4 senhas q uso por padrão. eu só testei 2. falta mais 2... e som com mais uma tentativa.

é *****. quer dizer que se perder... tem q comprar outro certificado ?

Pincipi · 29 de maio de 2017

É isso, pelo que pesquisei não existem programas ou alternativas, ou acerta a senha ou erra e perde em definitivo o certificado.

O software de gerenciamento do token apenas mostra informações e dá opções de mudanças de senha, (tem que saber a senha certa) não existe opção de bloquear o contador de tentativas nem ao menos visualizar as senhas, pensaram em tudo isso quando ele foi desenvolvido.

As únicas medidas de prevenção devem ser tomadas na configuração inicial, por exemplo cadastrar a mesma senha para o PIN e para o PUK, isso quebra um galhão. Ter as senhas anotadas em local seguro também ajuda. Possuir mais de um certificado trás muita segurança.

Fora isso só resta chorar o leite derramado, ou melhor, o certificado inutilizado.

Claudio Assis da Costa. · 27 de dezembro de 2018

O Pincipi é um ANJO. Tive o problema de cartão bloqueado, e não ter mais o PUK. Nem a AC Digital nem o Administrador do Certificado, ninguém pode ou não quizeram me ajudar... mas a dica e o caminho qie o Pincipi publicou aqui, matou a charada... Que alivio, que suspiro de alivio e foi uma vitória em cima do quase impossivel... Então gente não aceitem um não por resposta, ou que tudo está perdido e terá de fazer tudo de novo...... VaLEU PARCEIRO. NOTA MIL.

Pincipi · 27 de dezembro de 2018

@Claudio Assis da Costa. Que bom que a dica lhe ajudou! Fico contente com a situação, no passado outros usuários me deram dicas que salvaram o dia e agora pude retribuir o favor. Se souber a solução de alguma outra situação, não se esqueça de publicar, com certeza alguém ficará muito grato.

Claudio Assis da Costa. · 28 de dezembro de 2018

Com certeza amigo. Neste mundo cada vez mais tecnológico, onde uma minoria tem o controle das ações é necessário que nós profissionais e usuários possamos ajudar uns aos outros e evitar de despender de grandes valores para resolver pequenos, mas complicados problemas... Abraços e Feliz Ano de 2019.