Paypal ha una nuova opzione di pagamento chiamata "Conto bancario" che dice:
Enter your online banking ID + password
QUESTION:Amesembrapericoloso(adesempio:invialamiapasswordaun'organizzazionediterzeparticomePaypal),mainrealtàesisteunmeccanismo/protocollodisicurezzachepotrebberoessereutilizzatiperfarequestaoperazioneèsicura?
Note:VistodalGiappone,suFirefox32.0Ubuntu2014.04,l'URLiniziaconhttps://www.paypal.com/
Il simbolo di avviso nell'URL dice "Connessione parzialmente crittografata".
Una volta inviato il modulo, le informazioni vanno chiaramente a PayPal. Quindi, sì, la tua password è definitivamente inviata a PayPal. Tuttavia, PayPal sta dicendo che utilizza solo il tuo credenziali del conto bancario per confermare / verificare il tuo account .
Ciò che sembra accadere è che PayPal preleva i tuoi dati e li invia al tuo provider di servizi bancari online per la verifica. Ciò che PayPal fa con le tue credenziali dopo è sconosciuto. Potrebbero memorizzarlo per pagamenti futuri, oppure lo scartano dopo il processo di verifica.
In una riga: Sì, la tua password bancaria va a PayPal. È male? Beh, dipende da quanto ti fidi di PayPal.
In confronto, in Finlandia abbiamo un sistema completamente diverso con PayPal. Quando PayPal deve verificare il conto bancario o ritirarsi dal conto bancario, viene reindirizzato direttamente alla pagina bancaria online della banca. Effettui il login lì, e poi ti reindirizza su PayPal. Ricevono solo un token di verifica dalla banca. Il sistema si chiama TUPAS .
Is my password sent to Paypal?
Sì. Dare la tua password a PayPal potrebbe essere una violazione dei Termini e condizioni della tua banca e / o renderti personalmente responsabile di eventuali frodi che avvengono attraverso tale sistema. Inoltre, PayPal può vedere le informazioni personali e la cronologia delle transazioni associate a tale account. Spero ti fidi di PayPal veramente bene ora!
Or is there a kind of protocol involving the bank's server, which makes this actually safe?
Probabilmente PayPal sta eseguendo script automatici di screen-scraping che tentano di accedere al normale sito di banking online per conto tuo e di effettuare il trasferimento. Questo è ovviamente piuttosto fragile e rischia di rompersi quando le banche aggiornano i loro siti web. È probabile che alcune banche possano cooperare con PayPal per ridurre questo rischio.
Questo approccio è stato fatto un certo numero di volte prima, ad esempio da parte di Germany's sofort.com. Sono deluso nel vedere PayPal saltare anche questo modello di pagamento. Mentre il resto del web sta lavorando su schemi di autenticazione / autorizzazione federati che consentono di approvare determinate transazioni senza dover consegnare le chiavi al regno agli altri partecipanti (OAuth, SAML ecc.), Il mondo finanziario è ancora una volta plummerio per convenienza e compatibilità legacy sulla sicurezza.
Le tue informazioni vengono inviate a PayPal, che probabilmente lo utilizzerà per accedere al tuo conto bancario. In questo modo possono verificare che le tue informazioni siano valide.
Tuttavia - tecnicamente - possono anche vedere altre informazioni. Tutto ciò che vedi dopo l'accesso (il saldo del tuo account, i vari depositi / prelievi) è visibile a loro, e possono o meno memorizzarlo. Tecnicamente sono anche in grado di invocare qualsiasi altra funzione per la quale non è necessaria un'altra forma di autenticazione.
Quindi, il rischio è una questione. L'altra questione è se la tua banca ti permette effettivamente di farlo. Molte banche richiedono di mantenere riservate le informazioni di accesso. Utilizzando questa funzione violerai questo accordo, fornendo le tue informazioni di accesso a terzi.
Ho un login e una password che sono di sola lettura. Questo è il login che uso quando siti come paypal lo richiedono. Uso anche l'account di sola lettura per il mio software quicken. Se sei curioso di sapere cosa paypal fa con i dati di accesso, leggi l'accordo con l'utente o contatta l'assistenza per maggiori dettagli.
Leggi altre domande sui tag password-policy banks