Всем привет, на просторах интернета нашёл вопрос, касающийся безопасности авторизации в БА через Plaid. Ниже привожу сам вопрос и комментарии разных пользователей по этому поводу.
Недавно я зарегистрировался на Privacy.com, который использует сервис Plaid для привязки банковского счета. Для этого от пользователя требуется указать свое имя пользователя и пароль для доступа к веб-странице Plaid, а не банка. Затем Plaid обращается к банковскому счету пользователя с этими учетными данными от имени пользователя для получения информации. Plaid предоставляет API для веб-сайтов и приложений, чтобы легко получить доступ к этой банковской информации.
Помимо Privacy.com, Plaid используют множество других популярных сервисов, включая Venmo, Robinhood и Coinbase.
Несмотря на популярность, эта услуга, похоже, нарушает два «фундаментальных» правила безопасности в Интернете:
Пример экрана входа в систему Plaid.
Проблема, похоже, в том, что большинство банков не предоставляют API для получения данных о клиентах, поэтому такая услуга, как Plaid (и все службы, использующие Plaid), просто была бы невозможна без нарушения этих «фундаментальных» правил безопасности. Но я не уверен, что это оправдание для их нарушения. Если это невозможно сделать безопасно, нужно ли это вообще делать?
Меня беспокоит то, что все эти услуги являются «законными». Ни один из них не является мошенничеством; все они предоставляют ценные услуги и имеют солидную репутацию. Plaid собрал миллиарды долларов!.
Я бы подумал, что если Plaid использует логотипы банков, чтобы их «поддельные» формы входа в банк выглядели законными, банки будут преследовать Plaid с судебными исками. Но, видимо, некоторые из них - инвесторы! На веб-сайте Plaid Citi, American Express и другие указаны в качестве инвесторов. Похоже, что банки не против этой плохой практики, а в некоторых случаях даже поощряют ее.
Это заставляет меня думать, что я что-то упускаю. Возможно, у Plaid есть какой-то особый доступ к банковским системам, и это не так плохо, как кажется. С другой стороны, возможно, репутация Plaid поддерживается только тем фактом, что они еще не были взломаны. Если (когда) они будут взломаны, это будет разрушительно, поскольку в худшем случае произойдет утечка миллионов активных имен пользователей и паролей в банках. Кроме того, многие банки не защищают пользователей, если они сознательно предоставили свои учетные данные третьей стороне, поэтому многие люди могут потерять много денег. Но если это так, разве банки не будут работать, чтобы остановить Plaid и защитить своих клиентов?
Я думаю, что многие услуги, предоставляемые Plaid, удобны, и я хотел бы их использовать, но если мои подозрения верны, я не думаю, что смогу сделать это, оставаясь в безопасности. Конечно, я надеюсь, что я здесь совершенно не прав, и у Plaid есть какой-то способ безопасной работы.
Итак, имеет ли Plaid какой-то особый доступ к банковским системам, или он использует пароли пользователей для входа в банковские счета, что требует их хранения в виде открытого текста (или преобразования в открытый текст) и убеждения пользователей предоставить свои учетные данные третьей стороне, поощрение плохой практики безопасности?
Если это последнее, я боюсь, что мне придется пока отказаться от услуг Plaid и считать мой банковский пароль скомпрометированным.
Я хочу отметить, что, несмотря на очевидные честные попытки Plaids обеспечить безопасность, их подход - кошмар конфиденциальности, поскольку вы предоставляете Plaid полный доступ ко всей информации о вас, которую имеет ваш банк, включая ссуды, средства, инвестиционные счета, кредит выписки с карт и т. д. Это отличает Plaid от других платежных сервисов, таких как PayPal, поскольку в них указан только номер вашего счета.
Если вы мне не верите, вот описание их сбора данных из их заявления о конфиденциальности:
Информация, полученная от ваших финансовых учреждений. Информация, которую мы получаем от финансовых учреждений и других поставщиков финансовых услуг, которые ведут ваши финансовые счета, зависит от конкретных услуг Plaid, которые наши разработчики используют для работы своих приложений, а также от информации, предоставляемой этими учреждениями и поставщиками. Но, как правило, мы собираем следующие типы информации от ваших финансовых учреждений и других поставщиков финансовых услуг:
Что еще хуже, они могут делиться всей этой информацией со своими клиентами, то есть с компанией, которая хочет, чтобы вы связались с ними. Это означает, что когда, например, ваша арендная плата оплачивается через Plaid (мой арендодатель использует услугу, основанную на Plaid), вся эта информация может быть передана этой услуге! И хотя они, в свою очередь, могут не распространять эти данные дальше, теперь вы должны доверять другой стороне, что они могут обеспечить безопасность ваших данных.
Опять же, вот соответствующая выдержка из этого заявления о конфиденциальности (опять же, мой курсив):
Как мы передаем и храним вашу информацию:
Мы не продаем и не сдаем в аренду информацию о конечных пользователях маркетологам или другим третьим лицам. Но мы передаем информацию о конечных пользователях третьим лицам, как описано в настоящей Политике. Например, мы передаем вашу информацию разработчику приложения, которое вы используете, и по указанию этого разработчика (например, с другой третьей стороной, если вы так указали). Мы также делимся вашей информацией:
Итак, имеет ли Plaid какой-то особый доступ к банковским системам, или он использует пароли пользователей для входа в банковские счета, что требует их хранения в виде открытого текста (или преобразования в открытый текст) и убеждения пользователей предоставить свои учетные данные третьей стороне, поощрение плохой практики безопасности?
Plaid и многие другие службы (на ум приходит Mint) хранят ваши пароли, а иногда и вопросы безопасности в доступном (надеюсь, обратимом шифровании, а не в виде открытого текста).
Это плохая практика безопасности? Да.
Есть реальная альтернатива? Нет.
Финансовые системы в США почти никогда не поддерживают какие-либо федерации или открытые банковские API. У них нет никаких нормативных требований или стимулов для этого. У них нет финансового стимула для этого, поскольку разрешение третьим сторонам включать их данные в дополнительные услуги не приносит им пользы и может нанести им вред, если третья сторона будет выбрана вместо собственных услуг с добавленной стоимостью.
Хорошо, что можно сказать о Plaid, так это то, что, предоставляя стандартную услугу посредника, которая используется несколькими интерфейсами и которой доверяют значительные серверы, они сокращают количество людей, пытающихся заново изобрести это конкретное колесо. Без особых доказательств, я бы предпочел, чтобы кто-то специализировался на этой грязной работе, если это необходимо.
Вам, потребителю, предоставляется выбор: участвовать в этой менее безопасной практике и получать дополнительные услуги и взаимодействие между учетными записями или избегать этих услуг и преимуществ, которые они могут предложить. Наслаждаться!
(На самом деле, с Privacy.com у вас есть другой вариант - вы можете связать свой внутренний банковский счет в качестве источника ACH, используя свой банковский маршрутный номер и номер счета. Возможно, вам потребуется связаться со службой поддержки, чтобы настроить его, но это вариант. Это примерно так же небезопасно, как выписывать чек.)
[*]Это нелепо. Wells Fargo, например, позволяет создавать суб-учетные записи только для чтения - именно то, что нам нужно, если мы передаем учетные данные третьей стороне! Однако эти субаккаунты не могут использоваться третьими сторонами из-за способа настройки их аутентификации. Это все равно, что биться головой о гравий в поисках финансового учреждения с хорошо продуманной моделью безопасности и взаимодействия.
Я понимаю, что Capital One на самом деле пытается сделать это правильно, но сам не играл с этим.
[*]Как насчет ... Я соединяю свой банковский счет с Coinbase, переводя деньги, а затем меняю пароль банка? Я предполагаю, что если кто-то взломает Plaid, он получит старый пароль, так что я думаю, что это безопасно.
[*]Это защитит вашу учетную запись, но будьте осторожны, так как это, скорее всего, заблокирует вас, потому что Plaid будет продолжать попытки войти со старым паролем и терпит неудачу. Лучше удалить учетную запись из Coinbase перед сменой пароля. (Я говорю по опыту, я сделал это с собой, мне пришлось изменить свое имя пользователя в банке, чтобы моя учетная запись снова была разблокирована (и оставалась разблокированной).
[*]Ух ты. Спасибо за чаевые! Я бы не подумал, что это даже опасность. Почему бы вам не заставить пользователя пройти повторную аутентификацию? Это так глупо
[*]Весь эпизод укрепил мою веру в то, что банки идиотские. Они регистрируют строку неудачных попыток пользовательского агента, чтобы я мог их увидеть. Я спросил у них IP-адрес источника неудачных попыток, чтобы убедиться, что это не один из многих моих компьютеров; они отказались, сказали, что отпустят по ордеру или покажут мне, если я приду в филиал, но не смогли передать их мне. Они открыли «дело о мошенничестве» на основании моего звонка, но затем не разрешили мне переименовать учетную запись, потому что никакие изменения невозможны при открытом деле о мошенничестве. Это был кошмар.
[*]Но, по крайней мере, в этом случае Плед тоже кажется идиотом. Повторная попытка аутентификации, которая не удалась, просто вызывает проблемы. Возможно, банки поддержали их, предоставив неоднозначные ответы на ошибки, некоторые из которых законно защищены от повторных попыток, но даже в этом случае Plaid должен проявлять большую осторожность, чтобы избежать этого наихудшего сценария.
[*]Да, Плайд безопасен. Они не хранят пароль, они создают «банковские отношения» между банковским счетом и службой, использующей Plaid с токенами. И если клиент меняет пароль своего банковского счета, банк уведомляет Plaid об этом NOC (уведомление об изменении), и вам придется повторно аутентифицироваться по ссылке Plaid, чтобы восстановить связь с вашим банковским счетом.
[*]Можете ли вы предоставить ссылки на информацию о том, что они используют токены, а не пароли? Это, безусловно, было бы идеальным способом для них делать что-то, но кроме таких сервисов, как Plaid, мало свидетельств того, что банки хотят / могут предоставлять такие токены сторонним сервисам.
[*]Я считаю, что «токены» Plaid, о которых вы говорите, - это произвольные токены, которые Plaid генерирует и передает бизнесу, который использует Plaid в качестве посредника; Затем бизнес будет использовать этот токен, чтобы сообщить Plaid, к какому банковскому счету нужно получить доступ (в большинстве случаев, к которому Plaid затем получит доступ, используя сохраненные учетные данные, которые у них есть). Итак, да, токены существуют, но не между Plaid и банками; между покупателями Plaid и Plaid.
[*]Я не куплюсь на это ни на секунду. Они утверждают, что «Plaid поддерживает около 9 600 финансовых учреждений в США и Канаде - от национальных банков до местных кредитных союзов». Они не могут интегрироваться с каждым отдельным учреждением, используя какой-то обмен токенами. Готов поспорить, что у многих небольших банков и кредитных союзов нет команды разработчиков, о которой можно было бы говорить, и они не смогли бы внедрить такие системы.
[*]Мне нравится, что все проголосовали против фактического правильного ответа. SMH Я знаю технического директора Plaid и говорил с ним об этом. Они реконструируют мобильные приложения, чтобы позволить им создавать токены доступа. Поэтому, хотя они и используют ваш пароль для создания исходного токена, после этого он им не понадобится. И вот как они предлагают так много учреждений, даже проще, когда многие из них используют одни и те же сторонние системы мобильного доступа.
[*]Как генеральный директор поставщика удостоверений (FusionAuth), который работает со многими банками, мне трудно в это поверить. Не существует волшебного «токена», который использует каждое мобильное приложение. Некоторые фактически используют сеансы на стороне сервера, и срок действия этих токенов быстро истекает. Некоторые используют JWT, срок действия которых также быстро истекает. Очень немногие банки используют токены обновления или другие долгоживущие токены из-за рисков безопасности. Утверждать, что Plaid полностью изменил разработку 10 000 мобильных приложений и каким-то образом придумал, как генерировать долгоживущие токены, крайне сложно поверить. Я поверю этому, когда Plaid опубликует это.
[*]Я не говорил, что есть какой-то «волшебный токен», который использует каждое мобильное приложение или что они реконструировали 10 000 приложений. Я пытался указать на то, что есть большие группы банков, которые все используют одно и то же приложение с белой меткой, поэтому после того, как вы реконструировали одно, вы выполнили большую часть работы за других, которые его используют. Возможно, я неправильно помню о хранении паролей, и Plaid в любом случае не понимает этого.
[*]Но в основном это была моя точка зрения. Даже если большинство банков используют приложение с белой меткой, Plaid никогда не сможет использовать токены для управления подключением к вашему банку. Причина в том, что у большинства банков короткие сеансы (например, 10-15 минут), и они управляются токеном. Если простой использует этот токен, они будут «отключены» через 10 минут. Очевидно, это не сработает. Вместо этого они, вероятно, хранят пароли в виде простого текста и скрапинг экрана для доступа к банковским счетам. Это ужасно небезопасное решение.
[*]Я только что использовал Plaid для доступа к своему банку, и я понял, откуда я знаю, что они используют долгоживущие токены. Потому что мне нужно предоставить токен 2FA только один раз. И без него невозможно использовать мой пароль для этого банковского счета. Так объясните мне, как они поддерживают этот доступ без долгоживущего токена, без второй авторизации 2FA? Это также демонстрирует бесполезность хранения паролей во многих случаях.
[*]Я тоже об этом думал. Я пришел к выводу, что большинство банков используют разные рабочие процессы аутентификации в веб-интерфейсе и через мобильные API. Plaid - это, скорее всего, очистка экрана (взлом API) мобильных API-шлюзов для получения доступа. Скорее всего, вы регулярно входили в свое мобильное приложение, используя имя пользователя и пароль без MFA. Опять же, долгоживущие токены должны быть доступны браузеру. Проверьте свои файлы cookie, и вы не увидите ничего долговечного. Тем самым опровергая ваше утверждение.
[*]2FA иногда (ошибочно) использует долгоживущие токены, но токен, на который вы ссылаетесь, предназначен для «проверки» самого устройства. Это похоже на то, когда вы входите в систему с нового компьютера и вам нужно пройти какой-то процесс по электронной почте или что-то еще, тогда вы устанавливаете флажок «запомнить это устройство». Это побуждает к выпуску долгоживущего (иногда никогда не истекающего) токена, просто означающего, что вы уже прошли испытание для этого устройства один раз, и дополнительный шаг больше не требуется. Настоящая двухфакторная аутентификация никогда не должна этого делать, и это, как правило, дополнительный шаг поверх двухфакторной аутентификации (также обычно выполняется в отсутствие двухфакторной аутентификации).
[*]ЛОЖЬ, пользовательское соглашение Plaid предоставляет их администратору Бобу место в бэк-офисе с полным доступом (кстати, работяга, часто до 3а), чтобы делать все, что он хочет, хотя с тремя особняками ему больше не нужно денег. Есть zip и больше ничего не надо, чтобы остановить этот сценарий.
[/LIST]
Недавно я зарегистрировался на Privacy.com, который использует сервис Plaid для привязки банковского счета. Для этого от пользователя требуется указать свое имя пользователя и пароль для доступа к веб-странице Plaid, а не банка. Затем Plaid обращается к банковскому счету пользователя с этими учетными данными от имени пользователя для получения информации. Plaid предоставляет API для веб-сайтов и приложений, чтобы легко получить доступ к этой банковской информации.
Помимо Privacy.com, Plaid используют множество других популярных сервисов, включая Venmo, Robinhood и Coinbase.
Несмотря на популярность, эта услуга, похоже, нарушает два «фундаментальных» правила безопасности в Интернете:
- Никогда не передавайте учетные данные третьим лицам. Стандарт заключается в перенаправлении пользователя на страницу входа на веб-сайт службы, обеспечивающей вход. Plaid этого не делает, вместо этого предоставляет форму входа на собственный веб-сайт. Хуже того, Plaid позволяет службам встраивать форму на свои веб-сайты (как iframe). Обычные пользователи Интернета не могут отличить эту форму от «незащищенной» на каком-то случайном веб-сайте, поэтому это, похоже, способствует плохой практике безопасности. Что еще хуже, Plaid предоставляет страницу входа в систему, которая выглядит очень официально, с логотипом банка и цветовой схемой банка.
- Никогда не храните пароли в виде открытого текста. Единственный способ для Plaid получить доступ к реквизитам банковского счета - это пароль, и поскольку мой банковский пароль потребовался Plaid только один раз, они должны хранить его в виде открытого текста или «зашифрованного», но конвертируемого в обычный текст, чтобы они могли продолжать использовать его для доступа к моей учетной записи.
Пример экрана входа в систему Plaid.
Проблема, похоже, в том, что большинство банков не предоставляют API для получения данных о клиентах, поэтому такая услуга, как Plaid (и все службы, использующие Plaid), просто была бы невозможна без нарушения этих «фундаментальных» правил безопасности. Но я не уверен, что это оправдание для их нарушения. Если это невозможно сделать безопасно, нужно ли это вообще делать?
Меня беспокоит то, что все эти услуги являются «законными». Ни один из них не является мошенничеством; все они предоставляют ценные услуги и имеют солидную репутацию. Plaid собрал миллиарды долларов!.
Я бы подумал, что если Plaid использует логотипы банков, чтобы их «поддельные» формы входа в банк выглядели законными, банки будут преследовать Plaid с судебными исками. Но, видимо, некоторые из них - инвесторы! На веб-сайте Plaid Citi, American Express и другие указаны в качестве инвесторов. Похоже, что банки не против этой плохой практики, а в некоторых случаях даже поощряют ее.
Это заставляет меня думать, что я что-то упускаю. Возможно, у Plaid есть какой-то особый доступ к банковским системам, и это не так плохо, как кажется. С другой стороны, возможно, репутация Plaid поддерживается только тем фактом, что они еще не были взломаны. Если (когда) они будут взломаны, это будет разрушительно, поскольку в худшем случае произойдет утечка миллионов активных имен пользователей и паролей в банках. Кроме того, многие банки не защищают пользователей, если они сознательно предоставили свои учетные данные третьей стороне, поэтому многие люди могут потерять много денег. Но если это так, разве банки не будут работать, чтобы остановить Plaid и защитить своих клиентов?
Я думаю, что многие услуги, предоставляемые Plaid, удобны, и я хотел бы их использовать, но если мои подозрения верны, я не думаю, что смогу сделать это, оставаясь в безопасности. Конечно, я надеюсь, что я здесь совершенно не прав, и у Plaid есть какой-то способ безопасной работы.
Итак, имеет ли Plaid какой-то особый доступ к банковским системам, или он использует пароли пользователей для входа в банковские счета, что требует их хранения в виде открытого текста (или преобразования в открытый текст) и убеждения пользователей предоставить свои учетные данные третьей стороне, поощрение плохой практики безопасности?
Если это последнее, я боюсь, что мне придется пока отказаться от услуг Plaid и считать мой банковский пароль скомпрометированным.
- Хотел бы я задавать этот вопрос о Пледе много лет назад. И я, наконец, пришел сюда прямо сейчас, чтобы написать этот вопрос, и вы уже выполнили ИДЕАЛЬНУЮ работу по его написанию. Спасибо.
- Мой комментарий не касается вашего секретного вопроса, но он касается вашего решения передать Plaid. Наша компания перешла на Plaid через Expensify, и многие из нас так же беспокоились о безопасности. Однако в пользовательском интерфейсе Plaid при связывании своего банковского счета вы можете закрыть диалоговое окно «Выберите банк», используя «X» в правом верхнем углу, и тогда вам будет предложена новая опция для добавления своей учетной записи "вручную". На этом этапе вам предлагается только обычная информация ACH (номера маршрутизации и счетов). Я подозреваю, что эта опция намеренно скрыта. Надеюсь это поможет.
- Это интересно. Я не вижу такой возможности с waveapps.com (который теперь использует Plaid). Мне действительно не нравится модель Plaid, и я не буду использовать Wave, Mint или другие сервисы, которые полагаются на то, что я делюсь паролем в виде открытого текста с третьим лицом. Это требует такого большого доверия, что они очень безопасны и действуют из лучших побуждений.
- TD Bank уже подал иск, обвиняя Plaid в обмане своих клиентов.
- Совершенно безумно, что все эти финансовые учреждения позволяют Plaid и сотрудничать с ним в этом. Это просто безумие.
Я хочу отметить, что, несмотря на очевидные честные попытки Plaids обеспечить безопасность, их подход - кошмар конфиденциальности, поскольку вы предоставляете Plaid полный доступ ко всей информации о вас, которую имеет ваш банк, включая ссуды, средства, инвестиционные счета, кредит выписки с карт и т. д. Это отличает Plaid от других платежных сервисов, таких как PayPal, поскольку в них указан только номер вашего счета.
Если вы мне не верите, вот описание их сбора данных из их заявления о конфиденциальности:
Информация, полученная от ваших финансовых учреждений. Информация, которую мы получаем от финансовых учреждений и других поставщиков финансовых услуг, которые ведут ваши финансовые счета, зависит от конкретных услуг Plaid, которые наши разработчики используют для работы своих приложений, а также от информации, предоставляемой этими учреждениями и поставщиками. Но, как правило, мы собираем следующие типы информации от ваших финансовых учреждений и других поставщиков финансовых услуг:
- Информация об учетной записи, включая название финансового учреждения, имя учетной записи, тип учетной записи, номер отделения, IBAN, BIC, а также номер счета и маршрутный номер;
- Информация об остатке на счете, включая текущий и доступный остаток;
- Информация о кредитных счетах, включая сроки выписки и остатки задолженности, суммы и даты платежей, историю транзакций и процентную ставку;
- Информация о ссудных счетах, включая сроки погашения, остатки, суммы и даты платежей, процентную ставку, тип ссуды, план платежей и условия;
- Информация об инвестиционных счетах, включая идентифицирующую информацию об активах, количестве и стоимости;
- Информация о владельце (-ах) учетной записи, включая имя, адрес электронной почты, номер телефона и адресную информацию; а также
- Информация о транзакциях по счету, включая сумму, дату, тип, количество, цену, задействованные ценные бумаги и описание транзакции.
- Данные, собранные с ваших финансовых счетов, включают информацию со всех ваших дополнительных счетов (например, чековых, сберегательных и кредитных карт), доступных через единый набор учетных данных.
Что еще хуже, они могут делиться всей этой информацией со своими клиентами, то есть с компанией, которая хочет, чтобы вы связались с ними. Это означает, что когда, например, ваша арендная плата оплачивается через Plaid (мой арендодатель использует услугу, основанную на Plaid), вся эта информация может быть передана этой услуге! И хотя они, в свою очередь, могут не распространять эти данные дальше, теперь вы должны доверять другой стороне, что они могут обеспечить безопасность ваших данных.
Опять же, вот соответствующая выдержка из этого заявления о конфиденциальности (опять же, мой курсив):
Как мы передаем и храним вашу информацию:
Мы не продаем и не сдаем в аренду информацию о конечных пользователях маркетологам или другим третьим лицам. Но мы передаем информацию о конечных пользователях третьим лицам, как описано в настоящей Политике. Например, мы передаем вашу информацию разработчику приложения, которое вы используете, и по указанию этого разработчика (например, с другой третьей стороной, если вы так указали). Мы также делимся вашей информацией:
- С вашего согласия;
- С нашими поставщиками услуг, партнерами или подрядчиками в связи с услугами, которые они предоставляют нам или нашим разработчикам;
- Если мы добросовестно считаем, что раскрытие информации соответствует применимому закону, постановлению или судебному процессу (например, постановлению суда или повестке в суд);
- В связи с изменением прав собственности или контроля над всем или частью нашего бизнеса (например, слияние, приобретение, реорганизация или банкротство);
- Между Plaid и нашими нынешними и будущими материнскими, аффилированными, дочерними компаниями и другими компаниями, находящимися под общим контролем или собственностью; или же
- Поскольку мы считаем разумно целесообразным защитить права, конфиденциальность, безопасность или собственность вас, наших разработчиков, наших партнеров или Plaid.
- 1Я не могу поверить, что это законно и что банки это разрешают!
- 1Я согласен, это кошмар безопасности. Что еще хуже, если у вас возникли проблемы с привязкой к банку, они рекомендуют следующее: «Если вы получите сообщение об ошибке« Ошибка: пожалуйста, отключите добавленную / дополнительную безопасность, установленную для учетной записи », вам необходимо либо отключить настройте двухфакторную проверку на вашем банковском счете или обратитесь в свой банк, чтобы убедиться, что с вашим профилем онлайн-банкинга нет проблем ".
- В настоящее время ведется коллективный иск против Plaid, связанный с этими проблемами конфиденциальности
- Хорошо! Я не понимаю, как Plaid вообще вообще разрешили получать логины и пароли клиентов. Это полностью противоречит основам интернет-безопасности.
- "Мы не продаем и не сдаем в аренду информацию о конечных пользователях ... третьим сторонам ... мы передаем информацию о конечных пользователях третьим сторонам ... [в случае реорганизации, например, присвоения Хуану нового титула] ... ". Я не виню зло за то, что нас проверяли, это их работа, я виню нас за то, что мы не прошли испытание -
Итак, имеет ли Plaid какой-то особый доступ к банковским системам, или он использует пароли пользователей для входа в банковские счета, что требует их хранения в виде открытого текста (или преобразования в открытый текст) и убеждения пользователей предоставить свои учетные данные третьей стороне, поощрение плохой практики безопасности?
Plaid и многие другие службы (на ум приходит Mint) хранят ваши пароли, а иногда и вопросы безопасности в доступном (надеюсь, обратимом шифровании, а не в виде открытого текста).
Это плохая практика безопасности? Да.
Есть реальная альтернатива? Нет.
Финансовые системы в США почти никогда не поддерживают какие-либо федерации или открытые банковские API. У них нет никаких нормативных требований или стимулов для этого. У них нет финансового стимула для этого, поскольку разрешение третьим сторонам включать их данные в дополнительные услуги не приносит им пользы и может нанести им вред, если третья сторона будет выбрана вместо собственных услуг с добавленной стоимостью.
Хорошо, что можно сказать о Plaid, так это то, что, предоставляя стандартную услугу посредника, которая используется несколькими интерфейсами и которой доверяют значительные серверы, они сокращают количество людей, пытающихся заново изобрести это конкретное колесо. Без особых доказательств, я бы предпочел, чтобы кто-то специализировался на этой грязной работе, если это необходимо.
Вам, потребителю, предоставляется выбор: участвовать в этой менее безопасной практике и получать дополнительные услуги и взаимодействие между учетными записями или избегать этих услуг и преимуществ, которые они могут предложить. Наслаждаться!
(На самом деле, с Privacy.com у вас есть другой вариант - вы можете связать свой внутренний банковский счет в качестве источника ACH, используя свой банковский маршрутный номер и номер счета. Возможно, вам потребуется связаться со службой поддержки, чтобы настроить его, но это вариант. Это примерно так же небезопасно, как выписывать чек.)
[*]Это нелепо. Wells Fargo, например, позволяет создавать суб-учетные записи только для чтения - именно то, что нам нужно, если мы передаем учетные данные третьей стороне! Однако эти субаккаунты не могут использоваться третьими сторонами из-за способа настройки их аутентификации. Это все равно, что биться головой о гравий в поисках финансового учреждения с хорошо продуманной моделью безопасности и взаимодействия.
Я понимаю, что Capital One на самом деле пытается сделать это правильно, но сам не играл с этим.
[*]Как насчет ... Я соединяю свой банковский счет с Coinbase, переводя деньги, а затем меняю пароль банка? Я предполагаю, что если кто-то взломает Plaid, он получит старый пароль, так что я думаю, что это безопасно.
[*]Это защитит вашу учетную запись, но будьте осторожны, так как это, скорее всего, заблокирует вас, потому что Plaid будет продолжать попытки войти со старым паролем и терпит неудачу. Лучше удалить учетную запись из Coinbase перед сменой пароля. (Я говорю по опыту, я сделал это с собой, мне пришлось изменить свое имя пользователя в банке, чтобы моя учетная запись снова была разблокирована (и оставалась разблокированной).
[*]Ух ты. Спасибо за чаевые! Я бы не подумал, что это даже опасность. Почему бы вам не заставить пользователя пройти повторную аутентификацию? Это так глупо
[*]Весь эпизод укрепил мою веру в то, что банки идиотские. Они регистрируют строку неудачных попыток пользовательского агента, чтобы я мог их увидеть. Я спросил у них IP-адрес источника неудачных попыток, чтобы убедиться, что это не один из многих моих компьютеров; они отказались, сказали, что отпустят по ордеру или покажут мне, если я приду в филиал, но не смогли передать их мне. Они открыли «дело о мошенничестве» на основании моего звонка, но затем не разрешили мне переименовать учетную запись, потому что никакие изменения невозможны при открытом деле о мошенничестве. Это был кошмар.
[*]Но, по крайней мере, в этом случае Плед тоже кажется идиотом. Повторная попытка аутентификации, которая не удалась, просто вызывает проблемы. Возможно, банки поддержали их, предоставив неоднозначные ответы на ошибки, некоторые из которых законно защищены от повторных попыток, но даже в этом случае Plaid должен проявлять большую осторожность, чтобы избежать этого наихудшего сценария.
[*]Да, Плайд безопасен. Они не хранят пароль, они создают «банковские отношения» между банковским счетом и службой, использующей Plaid с токенами. И если клиент меняет пароль своего банковского счета, банк уведомляет Plaid об этом NOC (уведомление об изменении), и вам придется повторно аутентифицироваться по ссылке Plaid, чтобы восстановить связь с вашим банковским счетом.
[*]Можете ли вы предоставить ссылки на информацию о том, что они используют токены, а не пароли? Это, безусловно, было бы идеальным способом для них делать что-то, но кроме таких сервисов, как Plaid, мало свидетельств того, что банки хотят / могут предоставлять такие токены сторонним сервисам.
[*]Я считаю, что «токены» Plaid, о которых вы говорите, - это произвольные токены, которые Plaid генерирует и передает бизнесу, который использует Plaid в качестве посредника; Затем бизнес будет использовать этот токен, чтобы сообщить Plaid, к какому банковскому счету нужно получить доступ (в большинстве случаев, к которому Plaid затем получит доступ, используя сохраненные учетные данные, которые у них есть). Итак, да, токены существуют, но не между Plaid и банками; между покупателями Plaid и Plaid.
[*]Я не куплюсь на это ни на секунду. Они утверждают, что «Plaid поддерживает около 9 600 финансовых учреждений в США и Канаде - от национальных банков до местных кредитных союзов». Они не могут интегрироваться с каждым отдельным учреждением, используя какой-то обмен токенами. Готов поспорить, что у многих небольших банков и кредитных союзов нет команды разработчиков, о которой можно было бы говорить, и они не смогли бы внедрить такие системы.
[*]Мне нравится, что все проголосовали против фактического правильного ответа. SMH Я знаю технического директора Plaid и говорил с ним об этом. Они реконструируют мобильные приложения, чтобы позволить им создавать токены доступа. Поэтому, хотя они и используют ваш пароль для создания исходного токена, после этого он им не понадобится. И вот как они предлагают так много учреждений, даже проще, когда многие из них используют одни и те же сторонние системы мобильного доступа.
[*]Как генеральный директор поставщика удостоверений (FusionAuth), который работает со многими банками, мне трудно в это поверить. Не существует волшебного «токена», который использует каждое мобильное приложение. Некоторые фактически используют сеансы на стороне сервера, и срок действия этих токенов быстро истекает. Некоторые используют JWT, срок действия которых также быстро истекает. Очень немногие банки используют токены обновления или другие долгоживущие токены из-за рисков безопасности. Утверждать, что Plaid полностью изменил разработку 10 000 мобильных приложений и каким-то образом придумал, как генерировать долгоживущие токены, крайне сложно поверить. Я поверю этому, когда Plaid опубликует это.
[*]Я не говорил, что есть какой-то «волшебный токен», который использует каждое мобильное приложение или что они реконструировали 10 000 приложений. Я пытался указать на то, что есть большие группы банков, которые все используют одно и то же приложение с белой меткой, поэтому после того, как вы реконструировали одно, вы выполнили большую часть работы за других, которые его используют. Возможно, я неправильно помню о хранении паролей, и Plaid в любом случае не понимает этого.
[*]Но в основном это была моя точка зрения. Даже если большинство банков используют приложение с белой меткой, Plaid никогда не сможет использовать токены для управления подключением к вашему банку. Причина в том, что у большинства банков короткие сеансы (например, 10-15 минут), и они управляются токеном. Если простой использует этот токен, они будут «отключены» через 10 минут. Очевидно, это не сработает. Вместо этого они, вероятно, хранят пароли в виде простого текста и скрапинг экрана для доступа к банковским счетам. Это ужасно небезопасное решение.
[*]Я только что использовал Plaid для доступа к своему банку, и я понял, откуда я знаю, что они используют долгоживущие токены. Потому что мне нужно предоставить токен 2FA только один раз. И без него невозможно использовать мой пароль для этого банковского счета. Так объясните мне, как они поддерживают этот доступ без долгоживущего токена, без второй авторизации 2FA? Это также демонстрирует бесполезность хранения паролей во многих случаях.
[*]Я тоже об этом думал. Я пришел к выводу, что большинство банков используют разные рабочие процессы аутентификации в веб-интерфейсе и через мобильные API. Plaid - это, скорее всего, очистка экрана (взлом API) мобильных API-шлюзов для получения доступа. Скорее всего, вы регулярно входили в свое мобильное приложение, используя имя пользователя и пароль без MFA. Опять же, долгоживущие токены должны быть доступны браузеру. Проверьте свои файлы cookie, и вы не увидите ничего долговечного. Тем самым опровергая ваше утверждение.
[*]2FA иногда (ошибочно) использует долгоживущие токены, но токен, на который вы ссылаетесь, предназначен для «проверки» самого устройства. Это похоже на то, когда вы входите в систему с нового компьютера и вам нужно пройти какой-то процесс по электронной почте или что-то еще, тогда вы устанавливаете флажок «запомнить это устройство». Это побуждает к выпуску долгоживущего (иногда никогда не истекающего) токена, просто означающего, что вы уже прошли испытание для этого устройства один раз, и дополнительный шаг больше не требуется. Настоящая двухфакторная аутентификация никогда не должна этого делать, и это, как правило, дополнительный шаг поверх двухфакторной аутентификации (также обычно выполняется в отсутствие двухфакторной аутентификации).
[*]ЛОЖЬ, пользовательское соглашение Plaid предоставляет их администратору Бобу место в бэк-офисе с полным доступом (кстати, работяга, часто до 3а), чтобы делать все, что он хочет, хотя с тремя особняками ему больше не нужно денег. Есть zip и больше ничего не надо, чтобы остановить этот сценарий.
[/LIST]
