Mintのようなサービスで銀行のパスワードを保存することが安全であると考えられるのはなぜですか？

Question

私の理解では、通常、ウェブサイトでは一方向の暗号化ハッシュ関数を使用してパスワードのハッシュのみを保存することが推奨されています。この方法では、誰かがデータベースをハッキングできる場合でも、パスワードを取得する方法はありません。[1]

一方、財務管理サイトMint には銀行ログイン情報の入力が必要です。おそらく彼らはこれを使用して銀行情報にアクセスするため、取得できる方法でパスワードを保存できなければなりません。それでも、私が読んだほとんどのレビューはミントが安全だと考えています[2]。一般的なウェブサイトよりも銀行のパスワードを保存するという安全性の低い慣習を順守しながら、それはどのように安全ですか？

[1]例：パスワードを格納するために3DESが使用されないのはなぜですか？

[2]例：ミントはあなたのお金の準備ができていますか？。

Graham Hill · Answer

情報セキュリティでは、「Xは安全」という概念を実際には使用していません。代わりに、「XにはYが受け入れるリスクのレベルがあります」。

Mintが機能するためには、彼らがあなたの銀行にログオンし、あなたが本人であるように見せかけることができるように、銀行のパスワードを持っている必要があります。したがって、彼らはそれらを保管する必要があり、これはリスクを追加します。

（彼らはそれらのパスワードを保護するためにあらゆる種類のことを行うことができます。彼らは多層暗号化を使用できます。彼らはデータセンターで優れた物理的セキュリティを持っています。彼らは毎日自分自身に侵入することができます。参照してください https://www.mint .com/how-it-works/security/security-security/technology = リストの場合。ただし、認証情報のハッシュ化は、実行できないことの1つです。彼らはあなたになりすましており、ハッシュ化しません。銀行のパスワード。そうすることはできません。）

Mintを使用すると、リスクが増大します。リスクのレベルの増加が許容できる場合は、解決する必要があります。そうでない場合は、リスクを軽減するためのアクションを実行する必要があります。これは、Mintを使用しないことを意味します。