我最近注册了Privacy.com,该网站使用名为Plaid的服务链接银行帐户。为此,它要求用户将其银行用户名和密码提供给来自Plaid而不是其银行的网页。然后,Plaid代表用户使用这些凭据访问用户的银行帐户以获取信息。 Plaid为网站和应用程序提供了一个API,可轻松访问此银行信息。

除了Privacy.com,许多其他流行的服务都使用Plaid,包括Venmo,Robinhood和Coinbase。

尽管该服务很受欢迎,但它似乎违反了两个“基本”的Internet安全规则:



永远不要将凭据提供给第三方。标准是将用户重定向到提供登录信息的服务网站上的登录页面。 Plaid不会这样做,而是在自己的网站上提供登录表格。更糟糕的是,Plaid允许服务将表单嵌入其网站(作为iframe)。临时互联网用户无法在随机网站上分辨出此表单与“不安全”表单之间的区别,因此这似乎在鼓励不良的安全做法。更糟糕的是,Plaid提供的登录页面看起来非常正式,显示银行徽标并使用银行的配色方案。

切勿以纯文本形式存储密码。 Plaid访问银行帐户详细信息的唯一方法是使用密码,并且由于我的银行密码仅是Plaid要求的一次,因此它们必须以纯文本或“加密”但可以转换为纯文本的形式存储,这样他们才能继续使用它来访问我的帐户。



问题似乎在于,大多数银行都没有提供API来检索客户数据,因此在不违反这些“基本”安全规则的情况下,像Plaid这样的服务(以及所有使用Plaid的服务)根本不可能实现。但是我不认为打破它们的理由。如果不可能安全地执行此操作,那么应该完全执行吗?

我的困惑是,所有这些服务都是“合法的”。它们都不是骗局。他们都提供了有价值的服务,并拥有良好的声誉。格子已经筹集了数十亿美元的资金!

我认为使用格子标志使用银行徽标使他们的“伪造”银行登录表格看起来合法,银行将追随格子诉讼。但显然其中有些是投资者!在格子的网站上,花旗,美国运通和其他公司被列为投资者。银行似乎并不反对这种不良做法,在某些情况下确实在鼓励这种做法。

这使我认为我可能会遗漏一些东西。也许Plaid对银行系统具有某些特殊访问权限,但它看起来并不像看起来那么糟糕。另一方面,也许只有尚未被黑客入侵的事实才能阻止格纹的声誉。如果他们被黑客入侵,将是毁灭性的,因为最坏的情况意味着数百万用户的活动银行用户名和密码被泄露。此外,如果许多银行故意将其凭据提供给第三方,也不会保护用户,因此很多人可能会损失很多钱。但是如果是这样的话,银行会不会努力阻止Plaid并保护其客户?

我认为Plaid提供的许多服务都很好并且很想使用它们,但是如果我怀疑的话这是正确的,我认为在保持安全的同时我不能这样做。当然,我希望我在这里完全错了,而Plaid可以通过某种方式安全地进行操作。

因此,Plaid是否可以对银行系统进行某些特殊访问,或者使用用户密码登录银行帐户,这需要将其以纯文本格式存储(或转换为纯文本格式),并说服用户将其凭据提供给第三方,鼓励不良的安全做法吗?

如果是后者,恐怕我现在必须传递格子服务,并认为我的银行密码遭到了破坏。

评论

我希望我几年前问过关于格子呢的这个问题。我现在刚刚来到这里写这个问题,而您已经完成了写它的完美工作。谢谢。

我的评论并未解决您的安全性问题,但确实解决了您决定通过格子的问题。我们的公司通过Expensify切换到Plaid,我们许多人对安全性也有同样的担忧。但是,在链接银行帐户的格子界面中,您可以使用右上角的“ X”关闭“选择银行”对话框,然后会看到一个新选项,用于添加帐户“手动”。此时,仅提示您输入常规ACH信息(路由和帐号)。我怀疑此选项是故意隐藏的。希望这会有所帮助。

@Jared这很有趣。我在waveapps.com(现在使用Plaid)中看不到该选项。我真的不喜欢Plaid模型,也不会使用Wave,Mint或其他依赖我与第三方共享明文密码的服务。这需要太多的信任,以至于它们超级安全且善意。

我问了一个相关的问题:softwarerecs.stackexchange.com/q/71524/14834

@Jared谢谢,这在Expensify中效果很好,例如

#1 楼


因此,Plaid是否对银行系统具有某些特殊访问权限,或者是
使用用户密码登录银行帐户,这需要
以纯文本格式存储(或将其转换为纯文本格式),并且说服
用户将其凭据提供给第三方,鼓励不良的安全做法?


格子和许多其他服务(我想到了薄荷),正在以可访问的(希望是可逆加密,而不是纯文本)格式存储密码和安全性问题。

安全性差吗?是的。

有现实的选择吗?否。

美国的金融系统几乎从不支持任何形式的联合会或开放式银行API。他们没有监管要求或激励措施。他们没有这样做的经济诱因,因为允许第三方将其数据合并到增值服务中并不会使他们受益,并且如果选择第三方而不是本地增值服务,可能会损害他们。

可以说,Plaid的好处是,通过提供可被多个前端使用并受到重要后端信任的标准中间人服务,他们正在减少尝试重新发明该特定对象的人数。轮。没有特别的证据,我宁愿有人专门从事这项肮脏的工作,如果需要完成的话。

您(消费者)可以选择参与这种不太安全的做法,获得增值服务和帐户之间的互操作,或者避免使用这些服务及其可能带来的好处。尽情享受吧!

(实际上,在Privacy.com上,您还有另一种选择-您可以使用银行的转帐号码和帐号将后端银行帐户作为ACH来源进行链接。您可能需要联系支持对其进行设置,但这是一种选择。这与编写支票一样不安全。)


Rant:

太荒谬了例如,富国银行(Wells Fargo)允许您创建只读子帐户-如果我们将凭据交给第三者,这正是我们想要的!但是,由于其身份验证的设置方式,这些子帐户不能与第三方共享。这就像敲碎砾石,寻找具有深思熟虑的安全性和互操作性模型的金融。

我了解,Capital One实际上正在努力做到这一点,但是避险我自己没玩过。

评论


那怎么办...我将我的银行账户与Coinbase配对,转账然后更改银行密码?我认为,如果有人闯入格子呢,他会得到一个旧密码,所以我猜它是安全的。

–Ish Thomas
19年1月25日在2:56



@IshThomas这样可以保护您的帐户,但要小心,因为它很可能将您锁定在您的帐户之外-因为Plaid会继续尝试使用旧密码登录并失败。最好在更改密码之前从Coinbase中删除该帐户。 (我是从经验上讲的,我是对自己说的,我必须更改银行用户名才能再次解锁(并保持解锁状态)。)

– gowenfawr
19年1月25日在13:43

哇哦谢谢你的提示!我什至不认为那是危险。您为什么不强迫用户重新认证?太傻了

–Ish Thomas
19年1月26日在4:10

@IshThomas整个事件强化了我的信念,即银行是愚蠢的。他们记录了用户尝试失败的用户代理字符串,供我查看。我要求他们提供错误尝试的源IP,以便确保它不是我的许多计算机之一。他们拒绝了,说他们将释放他们的证件,或者告诉我我是否进入分支机构,但不能把它们给我。他们根据我的电话开了一个“欺诈案”,但是后来不允许我重命名该帐户,因为使用公开欺诈案无法进行任何更改……这是一场噩梦。

– gowenfawr
19年1月26日在15:00

@gowenfawr但至少在这种情况下,格子似乎也很愚蠢。重试失败的身份验证尝试只会带来麻烦。银行有可能通过提供模棱两可的错误响应来支持它们,其中一些错误响应是合理地重试安全的,但是即使那样,Plaid也应格外谨慎,以避免出现这种最坏的情况。

–GrandOpener
19年3月22日在14:00

#2 楼

我想指出的是,尽管Plaids显然是诚实的安全尝试,但是当您完全访问Plaid时,他们的方法仍然是隐私​​的噩梦,您可以访问银行拥有的关于您的所有所有信息,包括贷款,资金,投资帐户,信贷信用卡对帐单等。这使Plaid与其他付款服务(如PayPal)有很大的不同,因为它们只有您的帐号。
如果您不相信我,这是他们的隐私声明中的数据收集说明(有效日期:2019年5月29日,用斜体显示):

从您的金融机构收集的信息。我们从维护您的财务帐户的金融机构和其他金融服务提供商那里获得的信息会有所不同,具体取决于我们的开发人员用来为其应用程序提供支持的特定格子服务以及这些机构和提供商所提供的信息。但是,通常,我们会从您的金融机构和其他金融服务提供商那里收集以下类型的信息:


帐户信息,包括金融机构名称,帐户名称,帐户类型,分支机构编号,IBAN,BIC以及帐户和转帐号码;


有关帐户余额的信息,包括当前和可用余额;


有关信用的信息帐户,包括对帐单到期日和所欠余额,付款金额和日期,交易历史记录和利率;


有关贷款帐户的信息,包括到期日,余额,付款金额和日期,利率,贷款类型,还款计划和条款;


有关投资帐户的信息,包括标识有关资产,数量和成本基础的详细信息;


有关帐户所有者的信息,包括姓名,电子邮件地址,电话号码和地址信息;和


有关帐户交易的信息,包括金额,日期,类型,数量,价格,涉及的证券以及交易说明。


从您的财务帐户中收集的数据包括来自您所有帐户的信息子帐户(例如支票,储蓄和信用卡)可通过一组帐户凭据进行访问。



更糟糕的是,他们可以共享所有这些与客户(即希望您与其联系的公司)的信息。这意味着,例如,当您通过Plaid支付租金时(我的房东使用的服务依赖于Plaid),所有这些信息都可以与该服务共享!而且,尽管他们反过来可能无法进一步分发这些数据,但您现在必须信任另一方,他们能够保护您的数据安全。
再次,这是该隐私声明的相关摘录(再次,我的斜体字是):

我们如何共享和存储您的信息
我们不出售或出租最终用户信息给营销商或其他第三方。但是,我们确实按照本政策中所述与第三方共享最终用户信息。例如,我们与您正在使用的应用程序的开发者共享该信息,并由该开发者指示(例如,如果您有此指示,则与另一第三方共享)。我们还共享您的信息:


经您的同意;


与我们的服务提供商,合作伙伴或承包商就其执行的服务有关对于我们或我们的开发商;


如果我们真诚地认为披露是适当的,以遵守适用的法律,法规或法律程序(例如法院命令或传票);


与全部或部分业务的所有权或控制权变更(例如合并,收购,重组或破产)有关;


在Plaid与我们当前和未来的母公司,关联公司,子公司和其他受共同控制或拥有的公司之间;或


,因为我们认为合理合理地保护您,我们的开发商,我们的合作伙伴或格子布的权利,隐私,安全或财产。




评论


我不敢相信这是合法的,银行也允许这样做!

– tobiv
19-10-16在14:27

我同意,这是一场安全噩梦。更糟糕的是,如果您在与银行建立联系时遇到困难,这是他们鼓励的做法:“如果收到错误消息“错误:请禁用该帐户的添加/额外安全性”,则需要禁用您的银行帐户上的两因素验证设置,或者与您的银行联系以确保您的网上银行资料没有问题。”

–朋友
20年9月5日,0:56

#3 楼

是的,格子是安全的。他们不存储密码,而是在银行帐户和使用带有令牌的Plaid的服务之间创建“银行关系”。并且,如果客户更改了他的银行帐户密码,则银行将此NOC(变更通知)通知Plaid,您将必须在Plaid链接上重新进行身份验证才能重新建立银行帐户关系。

评论


您能否提供对使用令牌而不是密码的信息的引用?那当然是他们做事的理想方式,但是除了像Plaid这样的服务之外,几乎没有迹象表明银行愿意/能够为第三方服务提供这样的代币。

–GrandOpener
19 Mar 22 '19 at 14:19

我相信您所看到的“格子”“代币”是格子产生的任意代币,并且是使用格子作为中间人的业务。然后,企业将使用该令牌告知Plaid要访问哪个银行帐户(在大多数情况下,然后使用存储的凭据访问哪个Plaid)。因此,是的,存在代币,但不存在于格子和银行之间。在格子的客户和格子之间。

– gowenfawr
19 Mar 22 '19 at 14:32

我一秒钟都不会买。他们声称“格子支持大约9600家美国和加拿大的金融机构-从国家银行到地方信用社。”他们无法通过某种令牌交换与每个单独的机构集成。我敢打赌,许多较小的银行和信用合作社都没有开发团队可言,也无法实施这样的系统。

– Glyoko
19年10月2日在17:53

@ToddDabney-作为与许多银行合作的身份提供程序(FusionAuth)的首席执行官,我很难相信这一点。每个移动应用程序都没有使用任何神奇的“令牌”。实际上,有些使用服务器端会话,而这些令牌会很快过期。有些使用JWT,它们同样会很快过期。由于安全风险,很少有银行使用刷新令牌或其他长期存在的令牌。声称Plaid逆向工程了10,000个移动应用程序,并以某种方式弄清楚了如何生成长期存在的令牌,这令人难以置信。我会相信,当Plaid发布它时。

–voidmain
20-09-17在14:45

@ToddDabney-但这主要是我的观点。即使大多数银行使用带有白色标签的应用程序,Plaid也绝不会使用令牌来管理与您银行的连接。原因是大多数银行的会话很短(例如10-15分钟),并且由令牌管理。如果plain使用该令牌,则它们将在10分钟后“注销”。显然,这是行不通的。相反,他们可能会存储纯文本密码并进行屏幕抓取以访问银行帐户。这是一个非常不安全的解决方案。

–voidmain
20-09-21在22:39