Collegamento a un conto bancario: credenziali di accesso e informazioni di routing

1

Venmo vuole che le credenziali di accesso alla mia banca siano collegate al mio conto bancario. Dare la mia password di banca a un'altra parte si sente molto sbagliato e non è qualcosa che sono incline a fare.

Tuttavia, dopo averci pensato, non sono sicuro che l'approccio più tradizionale di dare routing e numeri di account sia necessariamente meglio. Almeno posso cambiare la mia password di banca. (Anche se poi mi chiedo: i siti che collegano ai conti bancari in questo modo memorizzano effettivamente la password? Oppure ottengono qualche altra forma di token di autorizzazione che sopravvive alle modifiche della password?)

È più rischioso dell'altro?

    
posta jamesdlin 05.08.2018 - 03:27
fonte

2 risposte

1

Non sono una persona finanziaria e mi sono chiesto anche questo. Quindi, penso che il modo migliore per rispondere a questa domanda sia iniziando con quali servizi può fornire una banca e quindi quali informazioni sono necessarie per utilizzare tali servizi. Ho studiato questo utilizzando effettivamente i servizi di seguito. Ci sono due servizi che conosco per trasferire denaro:

  • ACH : la tua banca richiederà di convalidare la transazione dell'ente straniero prima che tu possa inviare denaro. Ci sono anche limiti giornalieri. Questa è in gran parte l'unica barriera di sicurezza tra il tuo account è stato svuotato da ACH.
  • Cablaggio : la tua banca invia i tuoi fondi ovunque tu gli dica (dettagli sotto). Non ci sono limiti a questo trasferimento e molto probabilmente la banca si assumerà la responsabilità zero in caso di perdita di fondi (almeno il mio ha fatto). Anche l'istituto non verifica l'endpoint come farebbe con ACH; se voi o il consulente finanziario fat fat il numero di routing o il numero di conto siete potenzialmente in perdita. Ho chiesto a entrambe le istituzioni prima di inviare un bonifico bancario, cosa succede se mi manca un numero e entrambi mi hanno consigliato di non farlo e di ricontrollare i numeri.

Sia ACH che Wire richiedono lo stesso numero di trasferimento: numero di routing e numero di conto (hanno fatto nel mio caso, forse non è il tuo istituto, di nuovo devi controllare). I bonifici non possono mai essere invertiti (non posso confermarlo, ma sembra essere in ogni responsabilità). Tuttavia, ACH sembra avere questa capacità. ACH ha di nuovo dei limiti; un'istituzione che conoscevo era di $ 3000 al giorno. Questo rende quasi impossibile il drenaggio del tuo account tramite ACH, e poiché la maggior parte di ACH può essere invertita, vale la pena provare almeno a provare. Vale anche la pena ricordare che gli ACH sono limitati solo negli Stati Uniti. L'unico modo per drenare i fondi verso un'istituzione straniera sarebbe tramite un bonifico internazionale che ha norme / regolamenti ancora più rigidi di un cavo domestico. Vale anche la pena ricordare che di solito è necessario conoscere i dettagli dell'account dell'account estero per condurre il bonifico (come il nome completo e l'indirizzo del titolare del conto).

Quindi, detto questo. Se dai la tua password al tuo conto bancario chiunque sia avrà accesso ai tuoi numeri di conto . Ciò significa che possono impostare un trasferimento ACH e disattivare tutti gli avvisi che hai e quindi impostare un trasferimento ACH ricorrente che potresti non notare. Fare un bonifico è più difficile; la maggior parte se non tutte le banche richiedono di essere fisicamente presenti per condurre un bonifico bancario. Alcuni no; alcuni ti consentono di inviare fax nei moduli e nel tuo ID ... Quindi, lascia che si affondi.

Un'altra prospettiva per te è se non fornisci loro alcuna informazione eccetto il numero di routing e il numero di conto bancario della tua banca. Possono quindi utilizzare ACH per richiedere e prelevare fondi dal tuo account (pensa all'eCheck o al deposito diretto inverso).

Detto questo, non dovresti mai dare la tua password bancaria o numeri di account. Trovo inquietante che la gente desse questi numeri volenti o nolenti per l'iscrizione alla palestra (sì, sto indicando il tuo Pianeta Fitness!).

Vorrei anche ricordare che il numero di routing per la banca / istituzione è un'informazione pubblica. Puoi spesso vederlo sulla prima pagina del sito web; questo significa la sua una sequenza di numeri in meno per un attaccante da trovare. Il numero che l'utente malintenzionato vuole è il tuo numero di conto bancario.

Dovresti leggere la sezione Sicurezza per i cavi. Vale anche la pena ricordare che gli USA usano SWIFT per condurre bonifici bancari; questo sembra essere l'obiettivo per malware e altri tipi di attacchi .

    
risposta data 05.08.2018 - 07:38
fonte
1

Se per qualsiasi motivo hai hai per ricevere pagamenti su Venmo- ammesso che tu abbia dato questa considerazione in modo approfondito ed esplorato alternative- direi a favore di:

  • crea una coppia distinta di account di controllo + non di controllo per questo scopo che sono collegati ma che non hanno regole di trasferimento automatico
  • mantenere il saldo più basso possibile nel controllo, con la maggior parte dei contanti non controllati
  • fornire a Venmo il routing e il numero di conto nell'account di controllo
  • che non fornisce a Venmo le credenziali dell'account

In astratto, la questione delle credenziali vs routing / account è difficile da rispondere, perché c'è un alto grado di variabilità nelle pratiche di sicurezza pertinenti tra la popolazione di commercianti, fornitori e banche.

In questa particolare circostanza, direi che fornire il numero di conto di routing + a Venmo è meno rischioso di fornire loro le credenziali dell'account, per due ragioni:

  1. il sistema ACH è significativamente in ritardo rispetto al sistema delle carte di credito dei consumatori in termini di maturità tecnica, ma da decenni si occupa ancora di frodi. Esistono salvaguardie e, gestendo i saldi, si limita l'esposizione.
  2. Le credenziali
  3. sono fondamentalmente più potenti di account + routing e la governance e la sicurezza sull'uso delle credenziali presso le banche sono ancora (ancora!) nuove e in molti casi povere. Prendi nota di quante banche ancora non fanno 2FA.

Infine, in generale, non esiste un'infrastruttura OAuth sulle banche. Se fornite a terzi una credenziale e modificate le credenziali, tale terza parte non dovrebbe più avere accesso al vostro account.

    
risposta data 05.08.2018 - 18:38
fonte

Leggi altre domande sui tag