È sicuro accedere al tuo sistema bancario online tramite una terza parte?

Non possiamo determinare se sia sicuro o meno senza fare un audit completo (non solo di SiD, ma della tua banca). È meno sicuro di non usarlo? Difficile a dirsi, dal momento che non sappiamo quanto il sistema sia sicuro senza di esso.

Tuttavia, ciò che possiamo dire è che stai introducendo un'altra entità di cui ti devi fidare. Se stai trasferendo i tuoi dati bancari in SiD, hanno la possibilità di usarli per frode. Ti stai fidando di loro di no.

Questo non è senza precedenti; Conservo queste informazioni nel mio gestore di password, il che significa che mi fido di non permettere intenzionalmente o involontariamente che cose brutte accadano a quei segreti.

Dovrai determinare da solo quale livello di fiducia è necessario per farti sentire a tuo agio con SiD.

Sì, è ragionevolmente sicuro

Sì, dovrebbe essere sicuro se implementato correttamente. Detto questo, non c'è nulla che impedisca a un commerciante di implementarlo in modo improprio o malizioso, quindi dovresti ricontrollare un paio di cose.

Come funziona

Ho esaminato la guida all'implementazione SID (destinata agli ingegneri del software che lavorano in un sito commerciale) e questo è essenzialmente come funziona:

1. Fai clic su un pulsante sul sito web del commerciante
2. Il commerciante concatena una serie di valori (compresa la quantità e il codice valuta) e lo crittografa.
3. Il commerciante invia i dati crittografati a un servizio Web SID, che risponde con informazioni che indicano al commerciante dove reindirizzare il browser.
4. Il tuo browser viene reindirizzato al tuo attuale sito web di banking online. Presumibilmente c'è un elenco di questi che sono registrati con SID (inclusi Nedbank, ABSA, Standard Bank e First National Bank), quindi sa dove Per mandarti. Probabilmente aggiunge un po 'di spazzatura alla fine del querystring per dire alla tua banca che stai provando a fare un pagamento SFT EFT.
5. Accedi al tuo sito web di banking online. Direttamente. I dati sono protetti dal certificato SSL della tua banca e SID non ha modo di ottenerlo. (Sembra che l'UX possa essere adattato per SID, ma dovrebbe essere il sito web attuale della tua banca, che puoi verificare usando i passaggi che elencherò di seguito).
6. Il sito bancario ti invia una password una tantum tramite SMS o notifiche push. Devi inserirla per completare il pagamento.
7. Il sito web bancario elabora il pagamento e reindirizza al sito commerciale
8. Il sito del commerciante visualizza una conferma. Sembra che possa memorizzare il nome della tua banca o il numero di conto per elaborare i rimborsi, ma non memorizza le tue credenziali di accesso o il PIN.

Che cosa verificare

Dato il design sopra, devi solo confermare che quando inserisci il tuo PIN lo stai effettivamente postando sul tuo sito web di banking online e non altrove. Controlla la barra degli indirizzi del tuo browser per assicurarti (1) che sia verde, e (2) il nome di dominio sia il nome di dominio corretto del tuo sito web di banking online. Se c'è anche un piccolo errore (ad esempio MyBankc.om invece di MyBank.com ), chiudi il browser e dimentica di utilizzare quel commerciante, poiché indica che il commerciante è malevolo o è stato violato.

È possibile configurare la pagina Web bancaria in modo che nella barra degli indirizzi sia presente un URL e un indirizzo diverso a cui verrà inviato il modulo. Questa sorta di richiesta interdominio, purtroppo, non è bloccata dalla stessa politica di origine . Se sei preoccupato, prova a immettere il PIN errato mentre guardi il traffico di rete (ad esempio utilizzando gli strumenti di sviluppo di Chrome) e assicurati che vada dove vuoi. La richiesta verrà rifiutata ma puoi vedere il traffico. Se l'unico traffico è diretto al sito web della tua banca, la pagina è sicura e puoi inserire il PIN corretto.

No

Fornisci a un'altra parte le chiavi del tuo conto bancario, fino a includere tutti i codici di transazione una tantum. Sono letteralmente "man-in-the-middle".

Anche quando dicono di non archiviarli, cosa sta mantenendo questa festa onesta? Questa parte fornisce sicurezza contro l'uso improprio, errori di codifica, frode, hacking interno o esterno come fa la tua banca? Hai un accordo scritto con questo partito e con la tua banca affermando questo? Cosa succede quando una transazione viene effettuata su un account sbagliato perché qualcuno ha fatto un errore di codifica (o peggio)?

A parte questo, non capisco perché non vorresti usare questo tipo di "servizio". Dal momento che si basa intrinsecamente sulla banca che fornisce funzionalità di transazione online, a che serve questo servizio? belle foto?

Citando la pagina della guida del sito a cui sei collegato (il corsivo è mio):

SID uses the most advanced security features available on the Internet and although SID invokes your Internet Banking service, it does not access or store your Internet Banking identifier or password. These are entered directly into your Internet Banking log on screen using the usual security provided by your bank.

un po 'giù:

Your session occurs directly between your PC and your bank in the same way as if you had logged into your bank’s Internet Banking system separately from any SID transaction.

e nella risoluzione dei problemi (principalmente problemi di ricezione SMS di base):

If all else fails, please escalate to your bank by contacting their internet banking help desk for assistance.

Sembra il solito processo, ti riempiono di campo comune (importo, conto da accreditare) e poi tieni indirizzato alla tua banca per riempire le informazioni personali (PIN / numero di carta), ti tengono il tuo conto in banca sapere dove inviare denaro (che non ha bisogno di autenticazione come si aggiunge al tuo account).

Addendum dopo i commenti:

Il processo è discutibile, specialmente il punto 3.:

1. Select the SID payment option on the merchant’s checkout page.
2. Select your bank.
3. Login to your existing, secure Internet banking.
4. Select the bank account you wish to pay from (If you have more than one account linked to your internet banking profile).
5. Enter the OTP received from your bank or respond to a push message received from your bank to complete the payment.

Il punto 3 in cui è necessario accedere al proprio conto bancario attraverso una pagina che forniscono è davvero una cosa rischiosa. Devi fidarti di loro, che è ... strano.
Dovresti contattare la tua banca per sapere se consentono davvero questo tipo di accesso 'per conto' o no o semplicemente non usare questo sistema.