La banca ha richiesto un accesso incrociato?

Naviga le tue risposte
22

Stavo creando un nuovo conto bancario qui negli Stati Uniti presso la popolare banca online di HSBC ...

Conosci il passaggio in cui devi verificare l'account che invii da , ricevendo due pagamenti di test di piccole dimensioni?

Sono rimasto sbalordito nel vedere che HSBC ha un nuovo sistema:

Dai loro il login per la tua attuale banca online.

Quisottoc'èuncampoutente/pass,cheapparentementeusanonellatuabancaonline,spoofingdiunbrowser.

L'hoPROPRIETATO,ripulendoloinseguito.

Incredibilmente,ilpassaggiosuccessivotifaecoledomandeaduefattori("per testo, email ..." ecc.) - hai letto bene.

Quindi ti rispediscono il codice ask!

648315erailcodicechemièstatoeffettivamenteinviatodallamiaunionedicredito;L'hoinseritolì.

(Notailmessaggiorassicurante:"I tuoi dati di accesso non verranno salvati nel nostro sistema"!)

Quindi

  1. È comune ora ?! Al contrario, è nuovo di zecca?

  2. In realtà sarebbe illegale in qualche modo?

  3. Sembra incredibile che altre banche non lo blocchino quando hanno sentito parlare della pratica , o almeno si lamentino amaramente.

Non riesco a capire questo è successo. Ma eccolo.

Se vuoi provarlo, guardando gli schermi, vai avanti e fai finta di aprire un account lì. Non sei realmente obbligato (nemmeno per il marketing spazzatura) fino a pochi passi dopo quel passaggio, quindi è davvero innocuo arrivare al punto di vedere quello schermo.

Nel mio caso non ha funzionato nel mio caso: il risultato finale è stato "Mi spiace, dovrai usare il metodo 'small test deposit' ...".

Il processo ha funzionato chiaramente tecnicamente attraverso tutti i passaggi: incredibilmente ho visto la (grezza HTML, gestita un po 'male) dalla mia unione di credito chiedendo "SMS? .. e ho letteralmente ricevuto gli SMS ecc. dalla mia banca. (Forse non è riuscito alla fine a causa di IP, o il loro raschiatore non è riuscito o altro - chissà.)

(Purtroppo, sembra che la mia banca non elenchi i recenti tentativi IP.)

Sono solo io o questo totalmente sbagliato ?!?

    
posta Fattie 29.05.2018 - 19:16
fonte

4 risposte

2

Ci sono alcune risposte a questo, ma aggiungerò una prospettiva unica:

Is this common now?! Conversely, is it brand new?

È relativamente nuovo, ma sarà normale. Negli Stati Uniti le istituzioni finanziarie che si affacciano sui consumatori hanno avuto a che fare con l'aggiornamento della loro infrastruttura e la comprensione del ruolo che svolgono nell'infrastruttura finanziaria e di pagamento in continua evoluzione.

Una cosa che capiscono ora, dopo molte false partenze, è che ognuno di loro è un fornitore di identità - francamente in misura molto maggiore di qualsiasi e-mail o piattaforma di social media.

Questa comprensione spiega perché consumano e utilizzano le credenziali dei clienti l'una con l'altra e non introducono altri schemi di autenticazione delegati. A chi potrebbero delegare? Facebook?

Questo è anche il modello che gli aggregatori- link sono uno dei più aggressivi in questo spazio- stanno prendendo- ovviamente con la piena collaborazione del le banche.

Would it actually be illegal in some way?

No. Per quanto possa sembrare folle, questo approccio risolve in modo più accurato il dominio di fiducia e il modello di minaccia.

It seems incredible that other banks wouldn't block them once they heard of the practice, or at least complain bitterly.

No, piuttosto il contrario. Le banche hanno decenni, a volte secoli, di fiducia condivisa e responsabilità reciproca, e innumerevoli strati di integrazione tecnica e amministrativa.

Ancora una volta, pensa a una banca come il fornitore di identità originale, anche più di un governo, perché i sistemi di credito e contabilità sono a lungo antecedenti ai governi.

È una questione separata se le banche sono tecnicamente equipaggiate per svolgere questo ruolo e se i consumatori e le banche comprendono reciprocamente tutta la rappresentazione e i confusi rischi del vice.

Da una prospettiva strutturale, non hanno altra scelta che affrontarla in questo modo.

    
risposta data 15.06.2018 - 03:01
fonte
5

Dichiarazione di non responsabilità: IANAL

1 is this common now?! conversely is it brand new?

La prima volta che ne ho letto, ma so che molti sistemi bancari online si propongono di aggregare i tuoi altri conti bancari sul loro sito. Il mio è stato proposto ma ho rifiutato, quindi non posso dire esattamente come riescano a dimostrare alla banca terza che il cliente consente loro di raccogliere elementi di account. Il numero dell'account è certo, non so per altre credenziali . L'obiettivo è quello di raccogliere tutte le tue informazioni bancarie, perché questo ha valore per gli annunciatori.

2 would it actually be illegal in some way?

Come già detto IANAL. Ma non riesco a immaginare perché possa essere illegale: ti chiedono alcune informazioni che dicono come lo useranno. Tu sei il proprietario delle informazioni e puoi scegliere di condividerlo con loro o meno. L'unico punto che potrebbe essere illegale sarebbe che dichiarano di non memorizzare un elemento e di memorizzarlo effettivamente. Essendo professionali, devono anche proteggere i tuoi dati sensibili, ma a condizione che non vengano trasmessi in chiaro né memorizzati, presumo che sia sufficiente.

3 it seems incredible that other banks wouldn't block them once they heard of the practice, or at least complain bitterly.

Non è così semplice. L'altra banca ha un contratto con te che ti consente un numero di operazioni a condizione che tu possa dimostrare di avere un account, una password e un codice univoco inviato a un dispositivo o a un indirizzo e-mail. Sei responsabile della protezione di quegli elementi e chiedi implicitamente di onorare qualsiasi richiesta che li presenti. Probabilmente sarebbero più contenti se usassi il proprio sistema per connettersi ai tuoi altri conti bancari, ma non posso immaginare un punto legale per impedirti di utilizzare qualsiasi sistema valore aggiunto di terze parti.

Ora per la mia opinione. Dal punto di vista della sicurezza, un segreto non dovrebbe mai essere condiviso da più di 2 entità. Quindi non pubblicherei mai le mie credenziali per un sito su un sito di una società terza, qualunque sia il motivo. So che questo mi impedirà di usare alcuni aggregatori di valori aggiunti sexy e lo accetto. Almeno cercherò di mantenere quella politica di sicurezza finché potrò ...

    
risposta data 11.06.2018 - 15:31
fonte
3

Sì, ora è una cosa.

Qui, la Germania ha un nuovo fornitore di pagamenti online che ti permetterà di pagare immediatamente online qualsiasi fattura accedendo al tuo conto bancario e facendo il trasferimento di denaro per te. Quanto è comodo, non digita in modo errato alcun numero di conto e hai solo bisogno di fornire i tuoi dati di accesso - vedi la somiglianza?

Non ho assolutamente idea di come sia nato questo servizio, chi ha pensato che fosse un'idea che vale la pena di finanziare e che effettivamente la utilizza.

Quindi sì, questa è una cosa ora, la tua banca non è l'unica a farlo, deve essere per un lunghissimo tratto la più stupida idea che qualcuno abbia mai inventato in questo secolo e che le grandi banche hanno sottoscritto è una di quelle cose che puoi spiegare solo con una strong convinzione che i tempi di fine sono vicini, quindi a chi importa?

Is it just me or is this totally wrong ?!?

Purtroppo siamo solo io e te. Perché sì, è così totalmente sbagliato che ci dovrebbe essere una parola separata per esprimere quanto sia sbagliato.

    
risposta data 11.06.2018 - 14:41
fonte
1

Ho visto questa stessa cosa offerta da due banche diverse nell'ultimo anno. Una volta ho optato per i due depositi, e l'altra volta ho effettivamente utilizzato il modulo di login perché ho preferito che il mio account collegato fosse verificato immediatamente, e ha funzionato. Ricordo che la prima volta che l'ho visto ho avuto una reazione simile a te, ma ha senso nella situazione in cui desideri una verifica immediata (come quando stai effettuando la tua prima rata del mutuo con un nuovo servicer alla data di scadenza!) I ha deciso di cambiare la password poco dopo averlo fatto, probabilmente più per paranoia che per necessità.

Per quanto riguarda la legalità, la mia banca ha anche dichiarato che non avrebbe conservato alcuna delle mie credenziali e l'unico modo in cui ho potuto vedere che questo è illegale è se effettivamente le conservasse (intenzionalmente o accidentalmente). Ma anche allora probabilmente avrebbero dovuto essere hackerati e dimostrare di aver salvato le credenziali affinché la legalità entrasse in gioco. (Come il trucco dell'AM che ha dimostrato che gli account eliminati non sono stati effettivamente cancellati anche se gli utenti hanno pagato un extra per quel servizio.)

Quindi, è un compromesso. È certamente una pratica generalmente scorretta inserire una password bancaria in un sito al di fuori di tale banca, tuttavia, se il tuo obiettivo è la verifica immediata, e dato che puoi semplicemente cambiare la password subito dopo, non vedo personalmente un problema con offrendolo come opzione. Detto questo, se fosse l'opzione solo , penso che avrei un grande problema con esso.

    
risposta data 12.06.2018 - 23:11
fonte

Leggi altre domande sui tag

Perché TLS ha bisogno di un protocollo di heartbeat esplicito? C'è un modo per fare in modo che il browser rimuova immediatamente la password di accesso dalla sua memoria, come sembra fare Chrome su accounts.google.com?