No.
Non sto nemmeno parlando del fatto che sia abbastanza buono per la finanza o meno, sto solo dicendo che se Google è l'unico modo per accedere al tuo servizio, allora non lo userò, e nessuno dei due farà altra privacy - utenti consapevoli.
Ora, dal punto di vista tecnico. L'utilizzo di accessi di terze parti è meno sicuro in quanto un errore sul sito di terze parti avrà ripercussioni anche sulla tua e il sito di terze parti può impersonare se stesso come uno dei tuoi utenti. Con il tuo login, devi solo difendere la tua infrastruttura. Con gli accessi di terze parti, devi difendere la tua infra e sperare che l'infra della terza parte sia sicuro.
Da un punto di vista legale, avere un proprio sistema di accesso significa avere un controllo e un controllo migliori su chi ha fatto cosa e quando, dove come con Google (o qualsiasi servizio di terze parti) tutto ciò che si ha è "qualcuno che finge di essere X registrato in quel momento da questo IP ". Sia che abbiano eseguito il recupero della password in anticipo, oppure che abbiano attivato 2FA è qualcosa che non sai e non puoi applicare. Quando qualcosa va storto, non sarai in grado di dimostrare che è colpa dell'utente non proteggere il suo account abbastanza bene e dovrà pagare, dove come con il tuo sistema sarai in grado di dire "a X la mattina qualcuno reimposta la tua password e non hai abilitato 2FA. Scusa, non è colpa nostra, ora è meglio che tu lavori per rendere sicuro quell'account email ".
Infine, gli accessi protetti non sono così difficili. Password di hashing corrette, non facendo errori stupidi come invio della password nelle email , utilizzando i captcha per contrastare bruteforce, bloccando gli IP dopo più accessi falliti e fornendo 2FA utilizzare protocolli standard è tutto ciò che serve per essere sicuro. In confronto, questo è il processo di login della mia banca:
Sì.LamiabancaèunadellepiùgrandibanchefrancesieillorologinècostituitodaunIDutentedi8cifreseguitodauncodicesegretodi6cifre(nessunalettera,sarebbetroppochiedere),chedeviinserireinunapiccolasicurezzateatroperchésecondoiloro"esperti" qualcuno in grado di keylogging non è in grado di prendere screenshot di dove si fa clic. Non c'è ovviamente nessun 2FA e non sarei sorpreso se il codice segreto fosse memorizzato in testo normale. L'unica cosa positiva è che bloccano gli IP dopo 5 tentativi di accesso, ma questo è tutto.
Quindi, supponendo che tu faccia tutto ciò che ti ho detto sopra, sarai più sicuro di una delle banche più grandi qui; come piccola precauzione in più puoi usare un ID utente casuale invece di qualcosa di conosciuto come un nome utente o email (ma questo fa ricordare all'utente due cose invece della sola password, che a sua volta può farle scegliere una password più debole / più facile da ricordare o per riutilizzarne uno già esistente).
Ovviamente, la sicurezza degli accessi non è l'unica cosa che devi fare specialmente su un sito web di finanza. Devi anche assicurarti che i tuoi server siano sicuri, quindi devi avere IDS, monitorare ogni servizio, controllare i log spesso e prepararti ad agire rapidamente se qualcosa sembra strano.