it-swarm.com.de

Bank nach einem Cross-Login gefragt?

Ich habe hier in den USA ein neues Bankkonto bei der beliebten Online-Bank von HSBC eingerichtet ...

Sie kennen den Schritt, in dem Sie das von Ihnen gesendete Konto überprüfen müssen von , indem Sie zwei kleine Testzahlungen erhalten?

Ich war erstaunt zu sehen, dass HSBC ein neues System hat:

Sie geben ihnen den Login für Ihre aktuelle Online-Bank.

(enter image description here

Darunter befindet sich ein Benutzer-/Passfeld, das anscheinend bei Ihrer Online-Bank verwendet wird, um einen Browser zu fälschen.

Ich habe es tatsächlich versucht und danach aufgeräumt.

Unglaublich, der nächste Schritt sie geben Ihnen die Zwei-Faktor-Fragen wieder] ("per Text, E-Mail .." usw.) - Sie haben das richtig gelesen.

Dann wiederholen sie den Code fragen zu Ihnen!

(enter image description here

648315 war der Code, der mir tatsächlich von meiner Kreditgenossenschaft geschrieben wurde; Ich habe es dort eingegeben.

(Beachten Sie die beruhigende Meldung: "Ihre Anmeldedaten werden nicht in unserem System gespeichert"!)

Damit,

  1. Ist das jetzt üblich?! Ist es umgekehrt brandneu?

  2. Wäre es tatsächlich irgendwie illegal?

  3. Es scheint unglaublich, dass andere Banken sie nicht blockieren, sobald sie von der Praxis erfahren haben oder sich zumindest bitter beschweren.

Ich kann mir nicht vorstellen, dass dies passiert ist. Aber da ist es.

Wenn Sie es versuchen möchten, sehen Sie sich die Bildschirme an und tun Sie so, als würden Sie dort ein Konto eröffnen. Sie sind erst einige Schritte nach diesem Schritt verpflichtet (auch nicht für die Vermarktung von Müll). Es ist also wirklich harmlos, diesen Bildschirm zu sehen.

Lustigerweise war es hat nicht funktioniert in meinem Fall: Das Endergebnis war "Entschuldigung, Sie müssen die Methode 'kleine Testeinzahlungen' verwenden ...".

Der Prozess hat technisch gesehen alle Schritte klar durchlaufen: Unglaublich, dass ich das (rohes HTML, etwas schlecht gehandhabt) von meiner Kreditgenossenschaft gesehen habe, als ich "Text? E-Mail?" .. und ich habe buchstäblich die SMS etc. von meiner Bank bekommen.) Vielleicht ist es am Ende aufgrund von IP fehlgeschlagen, oder ihr Schaber ist ausgefallen oder was auch immer - wer weiß.)

(Leider sieht es so aus, als ob meine Bank die letzten IP-Versuche nicht auflistet.)

Ist es nur ich oder ist das total falsch ?!?

24
Fattie

Es gibt einige Antworten darauf, aber ich werde eine einzigartige Perspektive hinzufügen:

Ist das jetzt üblich?! Ist es umgekehrt brandneu?

Es ist relativ neu, wird aber alltäglich sein. Konsumentenorientierte Finanzinstitute in den USA hatten eine schreckliche Zeit damit, ihre Infrastruktur zu aktualisieren und zu verstehen, welche Rolle sie in der sich entwickelnden internetbasierten Finanz- und Zahlungsinfrastruktur spielen.

Eine Sache, die sie jetzt nach vielen Fehlstarts verstehen, ist, dass jeder von ihnen ein Identitätsanbieter ist - offen gesagt in weit größerem Maße als jede E-Mail- oder Social-Media-Plattform.

Dieses Verständnis ist der Grund, warum sie Kundenanmeldeinformationen miteinander verbrauchen und verwenden und kein anderes delegiertes Authentifizierungsschema einführen. An wen könnten sie delegieren? Facebook?

Dies ist auch das Modell, das Aggregatoren - https://plaid.com eines der aggressiveren in diesem Bereich - offensichtlich unter uneingeschränkter Zusammenarbeit der Banken verfolgen.

Wäre es tatsächlich irgendwie illegal?

Nein. So verrückt es auch scheinen mag, dieser Ansatz löst sich am genauesten für die Vertrauensdomäne und das Bedrohungsmodell.

Es scheint unglaublich, dass andere Banken sie nicht blockieren würden, wenn sie von der Praxis erfahren oder sich zumindest bitter beschweren würden.

Nein, ganz im Gegenteil. Banken haben Jahrzehnte, manchmal Jahrhunderte gemeinsamen Vertrauens und gegenseitiger Verantwortung sowie unzählige Ebenen der technischen und administrativen Integration.

Stellen Sie sich eine Bank erneut als den ursprünglichen Identitätsanbieter vor - noch mehr als eine Regierung, da Kredit- und Buchhaltungssysteme lange vor den Regierungen liegen.

Es ist eine separate Frage, ob Banken technisch ausgestattet sind , um diese Rolle zu spielen, und ob Verbraucher und Banken alle Identitätswechsel- und verwirrten Stellvertreterrisiken gegenseitig verstehen.

Aus struktureller Sicht haben sie keine andere Wahl, als es so anzugehen.

4
Jonah Benton

Haftungsausschluss: IANAL

1 ist das jetzt üblich?! umgekehrt ist es brandneu?

Zum ersten Mal habe ich davon gelesen, aber ich weiß, dass viele Online-Banking-Systeme vorschlagen, aggregieren Ihre anderen Bankkonten auf ihrer Website. Meins schlug vor, aber ich lehnte ab, so dass ich nicht genau sagen kann, wie sie es schaffen, der Drittbank zu beweisen, dass der Kunde ihnen erlaubt, Kontoelemente zu sammeln. Die Kontonummer ist sicher, ich weiß nicht für andere Anmeldeinformationen. Das Ziel ist es, alle Ihre Bankinformationen zu sammeln, da dies für Ansager von Wert ist.

2 Wäre es tatsächlich irgendwie illegal?

Wie schon gesagt IANAL. Aber ich kann mir nicht vorstellen, warum es illegal sein könnte: Sie fragen Sie nach Informationen, wie sie es verwenden werden. Sie sind der Eigentümer der Informationen und können wählen, ob Sie sie mit ihnen teilen möchten oder nicht. Der einzige Punkt, der illegal sein könnte, wäre, dass sie erklären, ein Element nicht zu speichern und es tatsächlich zu speichern. Als Profi müssen sie auch Ihre sensiblen Daten schützen, aber vorausgesetzt, sie werden weder im Klartext übertragen noch gespeichert, gehe ich davon aus, dass dies ausreicht.

3 Es scheint unglaublich, dass andere Banken sie nicht blockieren würden, wenn sie von der Praxis erfahren hätten, oder sich zumindest bitter beschweren würden.

Nicht so einfach. Die andere Bank hat einen Vertrag mit Ihnen, der Ihnen eine Reihe von Vorgängen ermöglicht, sofern Sie nachweisen können, dass Sie über ein Konto, ein Passwort und einen eindeutigen Code verfügen, der an ein Gerät oder eine E-Mail-Adresse gesendet wurde. Sie sind für die Sicherung dieser Elemente verantwortlich und bitten sie implizit, jeder Anfrage nachzukommen, die sie vorlegt. Sie würden sich wahrscheinlich mehr freuen, wenn Sie ihr eigenes System verwenden würden, um eine Verbindung zu Ihren anderen Bankkonten herzustellen, aber ich kann mir keinen rechtlichen Grund vorstellen, um zu verhindern, dass Sie ein System von Dritten verwenden Mehrwert.

Nun zu meiner Meinung. Aus Sicherheitsgründen sollte ein Geheimnis niemals von mehr als zwei Entitäten geteilt werden. Daher würde ich meine Anmeldeinformationen für eine Site niemals auf einer Site eines Drittunternehmens veröffentlichen, unabhängig vom Grund. Ich weiß, dass dies mich daran hindert, einige sexy Mehrwertaggregatoren zu verwenden, und ich akzeptiere es. Zumindest werde ich versuchen, diese Sicherheitsrichtlinie beizubehalten, solange ich in der Lage bin ...

6
Serge Ballesta

Ja, das ist jetzt eine Sache.

Hier hat Deutschland einen neuen Online-Zahlungsanbieter, mit dem Sie jede Rechnung sofort online bezahlen können, indem Sie sich auf Ihrem Bankkonto anmelden und die Überweisung für Sie vornehmen. Wie bequem, keine falsche Eingabe von Kontonummern und Sie müssen ihnen nur Ihre Anmeldedaten geben - sehen Sie die Ähnlichkeit?

Ich habe absolut keine Ahnung, wie dieser Dienst entstanden ist, wer dachte, dass es sich um eine finanzierbare Idee handelt und wer sie tatsächlich nutzt.

Also ja, das ist jetzt eine Sache, Ihre Bank ist nicht die einzige, die es tut, es muss bei weitem die dümmste Idee sein, die irgendjemand in diesem Jahrhundert hatte und die große Banken haben sich dazu verpflichtet Von diesen Dingen kann man nur mit der festen Überzeugung erklären, dass die Endzeiten nahe sind. Wen interessiert das?

Ist es nur ich oder ist das völlig falsch?!?

Es sind leider nur du und ich. Denn ja, das ist so völlig falsch, dass es ein separates Wort geben sollte, um auszudrücken, wie falsch es ist.

4
Tom

Ich habe dasselbe gesehen, das im letzten Jahr von zwei verschiedenen Banken angeboten wurde. Einmal habe ich mich für die beiden Einzahlungen entschieden und ein anderes Mal habe ich das Anmeldeformular verwendet, weil ich es vorgezogen habe, mein verknüpftes Konto sofort zu überprüfen, und es hat funktioniert. Ich erinnere mich, als ich das zum ersten Mal sah, hatte ich eine ähnliche Reaktion auf Sie, aber es ist sinnvoll, wenn Sie eine sofortige Überprüfung wünschen (z. B. wenn Sie Ihre erste Hypothekenzahlung mit einem neuen Servicer am Fälligkeitstag leisten!) Ich habe mich kurz danach dafür entschieden, mein Passwort zu ändern, wahrscheinlich eher aus Paranoia als aus Notwendigkeit.

In Bezug auf die Rechtmäßigkeit erklärte meine Bank auch, dass sie keine meiner Anmeldeinformationen behalten würde, und der einzige Weg, wie ich dies als illegal ansehen könnte, wäre, wenn sie sie tatsächlich behalten würden (absichtlich oder versehentlich). Aber selbst dann müssten sie wahrscheinlich gehackt werden und haben bewiesen, dass sie die Anmeldeinformationen gespeichert haben, damit die Legalität ins Spiel kommt. (Wie der AM-Hack, der beweist, dass gelöschte Konten nicht gelöscht wurden, obwohl Benutzer für diesen Dienst extra bezahlt haben.)

Es ist also ein Kompromiss. Es ist sicherlich eine allgemein schlechte Praxis, ein Bankkennwort auf einer Website außerhalb dieser Bank einzugeben. Wenn Ihr Ziel jedoch die sofortige Überprüfung ist und Sie Ihr Kennwort einfach sofort danach ändern können, sehe ich persönlich kein Problem damit es als Option anbieten. Davon abgesehen, wenn es die einzige Option wäre, dann hätte ich wahrscheinlich ein großes Problem damit.

1
TTT