L'audacia di accountchek.com

Naviga le tue risposte
6

Forse sono troppo sensibile come professionista IT che ha una mentalità di sicurezza, ma sto facendo un rifinanziamento ipotecario in questo momento. Il mio finanziatore, che è legittimo (li ho usati alcuni anni fa per l'acquisto originale della mia casa), mi sta chiedendo di aiutarli a verificare i saldi dei miei conti bancari tramite un servizio chiamato accountchek.com (da non confondere con accountche c k.com).

Apparentemente il modo in cui funziona questo servizio è che vai sul sito, inserisci il tuo indirizzo e-mail, le ultime 4 cifre del tuo SSN e un codice che il tuo prestatore ha preconfigurato per te. Una volta che lo fai, ti chiede il nome utente e password di tutti i tuoi conti bancari in modo che possa verificare i tuoi saldi. Ho chiamato il mio creditore e ho chiesto incredulo se si aspettavano seriamente che io lo facessi. Sì, sì, lo fanno.

Sono solo io, o è contrario a tutto ciò che ci è stato insegnato a distribuire password a terzi? Immagino che questa sia una sorta di meta, una questione filosofica piuttosto che una che ha a che fare con la tecnologia, ma dal momento che la tecnologia è nel mix qui, ho pensato di chiedere un feedback.

    
posta theglossy1 10.07.2017 - 17:58
fonte

2 risposte

7

Questa è una pessima idea, ma sì, vari aggregatori fanno esattamente questo. Uno dei pochi aspetti positivi dei nuovi regolamenti di Open Banking e PSD2 significherà che gli aggregatori non avranno più bisogno di questo genere di assurdità, poiché le banche forniranno API per condividere i dati.

Rappresenta una grande sfida per capire dove si possa verificare la perdita di dati dopo un incidente, ma per il cliente c'è un enorme aumento di sicurezza nel non mettere tutte queste combinazioni di nome utente e password nel database degli aggregatori.

    
risposta data 10.07.2017 - 22:31
fonte
1

Siamo in Apr 2018 in questo momento e ho appena passato questa stessa assurdità con il mio creditore. Quando ho visto l'obbligo di inserire le credenziali di accesso, ho disegnato una bandiera rossa. Ho chiamato una delle mie banche, SFCU, e mi hanno tenuto in attesa mentre controllavano e ricontrollavano su "Accountchek". Sono tornati e hanno detto tre cose importanti: 1. Lo farò a mio rischio poiché non hanno mai sentito di un simile requisito 2. Comprometterò le mie credenziali di accesso consentendo a una terza parte di accedervi 3. Se devo farlo, mi consigliano vivamente di tornare indietro e cambiare le password dopo aver completato il controllo

In conclusione, mi sono rifiutato di farlo senza rendere felice il mio istituto di credito, ma ha detto di usare il loro centro documenti per un caricamento sicuro!

Non posso credere che ci siano in realtà delle istituzioni, che si aspettano che i clienti facciano questo !!!

    
risposta data 07.04.2018 - 03:59
fonte

Leggi altre domande sui tag

Elenco di letture consigliate: exploit del sistema operativo È sicuro utilizzare un eseguibile di Windows con certificato SHA256 scaduto ma un certificato SHA1 valido?