web-dev-qa-db-ja.com

銀行は相互ログインを求めましたか?

HSBCの人気のあるオンラインバンクで、ここ米国で新しい銀行口座を作成していました...

2つの小額のテスト支払いを受け取ることで、送金先のアカウントから確認する必要がある手順を知っていますか?

HSBCが新しいシステムを持っているのを見て驚いた:

あなたは彼らにあなたの現在のオンライン銀行のログインを与えます。

enter image description here

その下はユーザー/パスフィールドで、オンラインバンクでブラウザーを偽装しているようです。

私は実際にそれを試しました、後で片付けます。

信じられないことに、次のステップは2要素の質問にエコーします( "テキスト、電子メールで.. "etc)-あなたはその権利を読みます。

次に、コードが尋ねるコードをエコーし​​ます!

enter image description here

648315は実際に私の信用組合からテキストで送られてきました。そこにタイプしました。

(安心のメッセージに注意してください:「ログインの詳細はシステムに保存されません」!)

そう、

  1. これは今では一般的ですか?逆に、それは真新しいですか?

  2. それは実際には何らかの点で違法でしょうか?

  3. 他の銀行が慣行を聞いたらブロックしない、または少なくとも苦しく不平を言うことは信じられないようです。

私はこれが起こったことを理解することはできません。しかし、それはあります。

試してみたい場合は、画面を見て、先に進み、そこで口座を開くふりをしてください。そのステップの数ステップ後までは、実際に(ゴミをマーケティングする場合でも)義務付けられているわけではないので、実際にその画面が表示されるまでは無害です。

おかしなことに、それは動作しませんでした私の場合:最終結果は「申し訳ありませんが、「小さなテストデポジット」メソッドを使用する必要があります。 ……」.

プロセスはすべてのステップで技術的に明確に機能しました。信じられないほど、信用組合から「テキスト?メール?」 ..そして、私は文字通りSMSなどを私の銀行から受け取りました(おそらく、IPが原因で最後に失敗したか、彼らのスクレーパーが失敗したかなど-誰が知っていますか。)

(残念ながら、私の銀行には最近のIP試行がリストされていないようです。)

私だけですか、これですか完全に間違っています?!?

24
Fattie

これにはいくつかの答えがありますが、私はユニークな視点を追加します:

これは今では一般的ですか?逆に、それは真新しいですか?

比較的新しいですが、当たり前のことです。米国の消費者向け金融機関は、インフラストラクチャの更新と、進化するインターネットベースの金融および支払いインフラストラクチャで彼らがどのような役割を果たすかを理解することにひどい時間を費やしてきました。

彼らが今理解していることの1つは、多くの誤ったスタートの後、彼らのそれぞれがIDプロバイダーであることです。率直に言って、どの電子メールまたはソーシャルメディアプラットフォームよりもはるかに大きいです。

この理解が、顧客の資格情報を相互に消費および利用し、他の委任された認証スキームを導入しない理由です。誰に委任できますか?フェイスブック?

これは、アグリゲーター https://plaid.com がこの分野でより積極的なものの1つであるモデルでもあります-明らかに銀行の全面的な協力を得ています。

それは実際には何らかの点で違法でしょうか?

いいえ。奇妙に思われるかもしれませんが、このアプローチは信頼ドメインと脅威モデルを最も正確に解決します。

他の銀行がその慣行を聞いたらそれらをブロックしないか、少なくとも苦しく不平を言うことは信じられないようです。

いいえ、まったく逆です。銀行には、数十年、時には何世紀にもわたる信頼と相互責任の共有、および技術と管理の統合の無数の層があります。

繰り返しになりますが、銀行は元のIDプロバイダーと考えてください。政府よりもずっと信用度が高いので、信用と会計システムは政府よりもずっと前から存在しています。

銀行がこの役割を果たすために技術的に装備されているかどうか、および消費者と銀行がすべてのなりすましと混乱した代理リスクを相互に理解するかどうかは、別の問題です。

構造的な観点から、彼らはこの方法でそれに取り組む以外に選択肢はありません。

4
Jonah Benton

免責事項:IANAL

1これは今では一般的ですか?逆に新品ですか?

初めて読んだのですが、多くのオンラインバンキングシステムがaggregateにサイトの他の銀行口座を提案することを知っています。鉱山は提案したが、私は拒否したため、クライアントが口座要素を収集することを許可しているサードパーティの銀行を証明する方法を正確に伝えることはできない。アカウント番号は確かですが、他のcredentialsについてはわかりません。アナウンサーにとって価値があるので、目標はすべての銀行情報を収集することです。

2それは実際には何らかの方法で違法でしょうか?

すでに述べたようにIANAL。しかし、それが違法である理由を想像することはできません。彼らはあなたにそれをどのように使うかについていくつかの情報を尋ねます。あなたは情報の所有者であり、情報を共有するかどうかを選択できます。違法となる可能性がある唯一の点は、要素を格納しないことを宣言し、実際に格納することです。プロフェッショナルであるため、機密データもprotectである必要がありますが、クリアテキストで送信されず、保存もされていなければ、それで十分だと思います。

3他の銀行が慣行を聞いた後、または少なくとも苦しく不平を言ったら、他の銀行がそれらをブロックしないことは信じられないようです。

それほど単純ではありません。他の銀行はあなたと契約を結んでおり、デバイス、メールアドレスに送信されたアカウント、パスワード、一意のコードを持っていることを証明できる場合は、いくつかの操作を許可しています。あなたはそれらの要素を保護する責任があり、それらを提示するすべての要求を尊重するよう暗黙のうちに要求します。独自のシステムを使用して他の銀行口座に接続すれば、おそらくもっと喜ばれるでしょうが、サードパーティのadded valueシステムを使用できないようにするための法的ポイントは想像できません。

今私の意見です。セキュリティの観点から、秘密は2つ以上のエンティティによって共有されるべきではありません。そのため、理由を問わず、第三者のサイトに自分の資格情報を投稿することはありません。これによりsexy付加価値アグリゲーターを使用できなくなることを知っており、それを受け入れます。少なくとも、できる限りそのセキュリティポリシーを維持しようとします...

6
Serge Ballesta

はい、これは今のものです。

ここでは、ドイツに新しいオンライン決済プロバイダーがあり、銀行口座にログインして送金を行うことで、オンラインで任意の請求書をすぐに支払うことができます。どのように便利で、アカウント番号を間違って入力することはありませんログインの詳細を提供するだけでよい-類似性を確認しますか?

このサービスがどのようにして生まれたのかはまったくわかりません。資金提供に値するアイデアだと考え、実際に使用しているのです。

だから、これは今のことです、あなたの銀行だけがそれをやっているのではありません、それは非常に長いストレッチによって、誰もが今世紀に思いついた最も愚かな考えである必要があり、そして大きな銀行がそれに署名したということです終了時刻が近いので誰が気にするのかという強い確信がある場合にのみ説明できるもののうち、

それは私だけですか、これは完全に間違っていますか?

残念ながらあなたと私だけです。はい、これは完全に間違っているので、それがどれほど間違っているかを表すために別の言葉がなければなりません。

4
Tom

昨年、これと同じことが2つの異なる銀行から提供されました。 1回は2つのデポジットを選択し、もう1回は実際にログインフォームを使用しました。これは、リンクされたアカウントを即座に確認することを好み、それが機能したためです。私がこれを初めて見たとき、私はあなたと同じような反応をしましたが、即時確認を望む状況では意味があります(期日に新しいサービサーで最初の住宅ローンの支払いをしているときなど)。これを行った直後にパスワードを変更することを選択しました。おそらく必要以上に偏執狂からです。

それの合法性については、私の銀行は私の資格情報を保持しないことも述べました、そしてこれが違法であると私が見ることができる唯一の方法は、彼らが実際にそれらを保持したかどうかです(意図的または偶然にかかわらず)。しかし、それでも、おそらくハッキングされ、合法性を発揮するために資格情報を保存したことが証明される必要があります。 (削除されたアカウントを証明するAMハッキングのように、ユーザーがそのサービスに追加料金を支払ったにもかかわらず、実際には削除されませんでした。)

したがって、それはトレードオフです。その銀行の外部のサイトで銀行のパスワードを入力することは、一般的には悪い習慣ですが、目標が即時確認であり、その後すぐにパスワードを変更するだけでよい場合は、個人的には問題は発生しませんオプションとして提供しています。つまり、onlyオプションである場合、bigの問題が発生すると思います。

1
TTT