Gli utenti possono utilizzare un gestore di password quando le banche dicono loro di non scrivere mai le password?

51

Considera un utente che desidera utilizzare un gestore di password per le proprie password bancarie. I consigli delle banche di solito dicono che non dovrebbero mai scrivere la loro password. L'utente sarebbe preoccupato di andare contro tale consiglio, in quanto potrebbe significare che la sua banca si rifiuterebbe di accettare la responsabilità per eventuali frodi che potrebbero verificarsi sul proprio account.

Quindi, possono usare un gestore di password? La memorizzazione della password crittografata conta come scriverla?

Questa è una domanda legale e politica; Sono già a conoscenza dei rischi tecnici e dei vantaggi dell'utilizzo di un gestore di password. Le risposte possono essere specifiche per paese (e anche specifiche per banca). Sono nel Regno Unito, ma mi interessano le risposte da qualsiasi parte del mondo.

    
posta paj28 03.06.2014 - 22:15
fonte

9 risposte

16

Sono un avvocato in Germania. Qui le condizioni speciali tra cliente e banca fanno parte del contratto. Quindi stiamo parlando di una clausola in queste condizioni speciali che vieta l'uso di un gestore di password.

Sono andato sul sito della mia banca, ho disegnato le condizioni e in realtà, si dice, il cliente non è autorizzato a memorizzare la password sul suo PC.

Quindi questa clausola proibisce di memorizzare la mia pw sul PC. La domanda è: conservo la password all'interno del gestore password o "deposito" qualcosa come 23%%4l5ksa0ß90ßv9w6&! ? E questa è una clausola legale?

Apprezzo la tua domanda!

Modifica: come risolvere il problema? - Come chiede pai28 . Non sono nemmeno sicuro che le persone che hanno scritto quelle condizioni siano consapevoli dei progressi che noi, utenti, abbiamo fatto negli ultimi anni. Utilizziamo pw-manager, perché un'esistenza online è impossibile senza.

Quindi la clausola deve essere modificata: al cliente non è consentito memorizzare la password non crittografata su alcun dispositivo IT. O qualcosa del genere.

Scriverò all'associazione della mia banca e chiederò. Se mai avrò una risposta seria (non blabla, caro cliente, lo apprezziamo molto, ma molto complicato ...), riferirò sul risultato.

    
risposta data 04.06.2014 - 14:07
fonte
31

Non sono un laywer, ma un gestore di password costruito correttamente memorizza le password approssimativamente in modo sicuro come qualsiasi sistema bancario moderno.

Non posso parlare della legalità dell'uso di un gestore di password, ma posso dire che a livello filosofico, ovunque una password fornita personalmente sia accettabile come identificazione, una password di gestore password (propriamente costruita) è accettabile.

( Modifica: L'aggiunta di una password a un gestore di password costruito correttamente non equivale a scriverli semplicemente.)

    
risposta data 03.06.2014 - 22:26
fonte
16

Non ne ho mai sentito parlare quindi non posso dirlo con certezza, ma suppongo che la premessa originale sia viziata: non credo che nessuna banca avrebbe una politica che afferma che non assicureranno il tuo account contro la frode se memorizzi la tua password da qualche parte al di fuori della tua stessa testa. L'applicazione di tale regola richiede che le password siano facili da ricordare e, di conseguenza, facili da indovinare. Le password più sicure sono lunghe stringhe di caratteri casuali, che la maggior parte degli umani dovrebbe scrivere o archiviare da qualche parte. La banca può "consigliare" di non scrivere la password su un pezzo di carta in cui gli altri possono vederlo, ma chiedendo di non registrarlo ovunque ridurrebbe la sicurezza, non migliorarla. Certo, dovrei leggere le condizioni della banca in particolare per saperlo con certezza.

Inoltre, sembra inutile che una banca abbia una regola come questa, perché puoi sempre mentire e dire che non lo hai archiviato da nessuna parte. Sarebbe una regola quasi inapplicabile.

Modifica: nonostante quello che penso, ecco una banca che ha la regola a cui ti stai riferendo, anche se è un po 'vaga: link (Vedi pagina 7). Il corto è: "Memory Aids" sono consentiti ma è necessario adottare misure "ragionevoli" per garantire che non sia compromesso. Direi che significare che un gestore di password crittografato è più che adeguato.

    
risposta data 03.06.2014 - 23:19
fonte
3

Bene, il vero punto di questo consiglio è più simile a "Non mettere la password da nessuna parte". Come altrimenti affermato, si tratta di una dichiarazione legale intesa a coprire gli asini della banca nel caso in cui la password venga rubata.

Nel senso di un gestore di password, in realtà non è altro che scrivere la password in un libro e archiviarla in una cassastrong.

Se qualcuno dovesse trovare la chiave della tua cassastrong, aprila, trova la tua password nel libro e usala per svuotare il tuo conto bancario, quindi la banca non può essere ritenuta responsabile a quel punto perché è stata colpa tua averlo disponibile.
Nello stesso senso, il tuo gestore di password è sicuro. Nel caso in cui qualcuno riesca a violare la sicurezza del tuo gestore di password, allora qualsiasi informazione che può essere ottenuta da detto gestore di password è ancora responsabilità della persona che ha messo le informazioni lì .

tl; dr: dovrei dire no , nel senso legale non importa quale tipo di protezione superstiziosa stai usando, hai comunque scritto la tua password in un modo per recuperarlo.

    
risposta data 04.06.2014 - 01:51
fonte
1

In molti casi non è un consiglio, le banche stanno mettendo nei loro termini e condizioni che gli utenti non scrivono le loro password o divulgarle in alcun modo, o rinunciano a qualsiasi protezione di credito e pagamento. Quindi ammettere di usare un gestore di password sarebbe una cattiva idea in quanto le banche potrebbero usarlo come scusa per non aiutare.

Le persone possono ancora utilizzare i gestori di password? Certo, a patto che ricordino di non dirlo se succede il peggio. Il fatto è che la maggior parte delle persone ha una sola banca, quindi una sola password - perché dovrebbe avere bisogno di un gestore di password per questo?

    
risposta data 03.06.2014 - 22:39
fonte
1

Le banche consiglierebbero di non scrivere la tua password in quanto renderebbe accessibile a chiunque sia in grado di mettere le mani su qualsiasi taccuino / carta / nota che hai usato per scriverlo e in grado di leggere. In analogia, l'uso di password manager renderebbe la password accessibile a chiunque sia in grado di usare la macchina con password manager e sappia come usarla (che chiamerei un'abilità accessibile come la lettura).

Dovresti usare il gestore delle password e quanto è sicuro? Bene, si tratta principalmente della tua cultura personale di regolare l'accesso al tuo computer e la sicurezza generale del sistema. Se non permetti agli estranei di usare la tua macchina, hai la password dell'account utente e la password principale per il gestore della password, non vedo problemi nell'utilizzo di Gestione password. Non è più sicuro memorizzare la tua password con qualsiasi mezzo, ma nel caso in cui l'accesso non autorizzato al tuo account dovesse accadere a causa di qualcuno che si avvale del gestore di password, la maggior parte delle banche (o almeno quelle con cui ho lavorato) non metterà tutto intero biasimarti e contribuirebbe a recuperare i danni, soprattutto se sarai in grado di dimostrare che la tua password non è facilmente accessibile e hai fatto il minimo richiesto di precauzioni.

    
risposta data 03.06.2014 - 23:02
fonte
1

La memorizzazione della password in un gestore di password decente è probabilmente più sicura rispetto a qualsiasi altro metodo utilizzato dalla maggior parte delle persone che aderiscono al criterio.

È possibile che un tipico gestore di password stia violando la parola della politica, ma probabilmente non lo spirito della politica, dal momento che il gestore delle password è più sicuro. Ciò che implica in un caso reale è una domanda per un avvocato, non un esperto di sicurezza.

L'archiviazione di una versione crittografata della password è il modo più ovvio per implementare un gestore di password, ma non è l'unico modo. Un gestore di password non deve necessariamente memorizzare la password.

Un gestore di password può generare password basate sui seguenti input:

  • Password principale
  • Nome del sito la password è per
  • Quale mese è stata generata la password
  • Qual è la politica della password del sito

Se si alimenta tutto quanto sopra come seme per un PRNG e si usa questo per generare una password uniformemente casuale tra tutte le password consentite dal criterio, allora la password dovrebbe essere altrettanto sicura. L'unica informazione che devi memorizzare è quando la password è stata creata più alcune informazioni che non sono segrete.

Il vero scopo di un approccio come questo sarebbe evitare di perdere password a causa della mancanza di backup. Ma come effetto collaterale, funzionerebbe attorno a politiche che non consentono di memorizzare la password.

    
risposta data 05.06.2014 - 11:59
fonte
1

È una questione tecnica, ma quando digito la mia password in un sito Web, il browser è "capace" di essere un gestore di password. Pertanto, se richiedono di non annotare mai la password e includere un gestore di password, l'accesso a un browser costituisce una violazione dei termini. Ora dal momento che ti hanno fatto utilizzare il "sito web", il cui principale mezzo di accesso è un browser, ti costringono a violare i termini del servizio.

A quel punto, diventa davvero una questione se ti costringono a usare un gestore di password, possono dire che hai violato i termini di servizio?

Inoltre, solo perché qualcosa è nei termini di servizio, non significa che possa essere accolto se non è ragionevole leggi qui e qui

    
risposta data 06.06.2014 - 02:16
fonte
0

Nella mia esperienza, negli Stati Uniti, le banche accettano poca o nessuna responsabilità per le frodi risultanti da una password rubata. In genere, è proprio nei termini del servizio che sei responsabile per chiunque acceda al tuo account usando le tue credenziali. Questo è PERCHE 'ti consigliano di non scriverli. Loro potrebbero aiutarti in base alle circostanze, ma sono abbastanza sicuro che non sono obbligati a farlo.

Detto questo, uso sempre uno strumento di memorizzazione delle password (1Password) e sono abbastanza contento del livello di sicurezza che mi fornisce per mantenere le mie 800+ password al sicuro. (Ovviamente, quelle non sono tutte password bancarie ... ;-) Inoltre, mantiene ogni voce nel proprio file per una sincronizzazione facile / rapida con Dropbox o servizi di condivisione del cloud simili.

Le uniche banche di protezione che di solito garantiscono di fornire sono per frode con carta di credito, (o il furto totale, ovviamente, come in una rapina in banca.)

    
risposta data 05.06.2014 - 01:42
fonte

Leggi altre domande sui tag