האם ההון האישי בטוח? הסבר אבטחת הון אישי

בלוגהשקיעו בזהירותAug 18, 2021
instagram viewer

אני משתמש הון אישי על בסיס חודשי ל לאסוף את המידע השווי הנקי שלי. הייתי בזה במשך למעלה מעשור.

כשאני אומר לאנשים שאני משתמש בכלי לשם כך, כולם שואלים אותי את אותה שאלה - האם ההון האישי בטוח?

אבטחה היא אחד החששות הגדולים ביותר שיש לאנשים עם כל צבר או כלי פיננסי. בין אם זה מנטה, הון אישי או שירות אחר - הכנסת הנתונים שלך ל"ענן "יכולה להיות מרתיעה. זה נכון במיוחד בהתחשב בכמה פריצות שראינו לאחרונה. Equifax, אחת מסוכנויות דיווח האשראי הגדולות ביותר, נפרצה ונתונים נגנבו על ידי 143 מיליון צרכנים. זה היה עצום.

איך אתה יודע שהנתונים שלך יהיו בטוחים בחברה אחרת?

הוא מסתכם בשני חלקים מרכזיים - כיצד הם מגנים על המידע שלך כשיש להם אותו וכיצד הם מגנים על העברת המידע שלך בזמן שהם מקבלים אותו.

תוכן העניינים
  1. שני אזורי אבטחה מרכזיים
  2. עד כמה הנתונים שלי בטוחים בענן?
  3. עד כמה הנתונים שלי בטוחים בהון אישי?
  4. פריימר מהיר על הצפנה
  5. עד כמה בטוח הקשר עם הון אישי?
  6. כיצד ההון האישי מגן מפני הונאה
  7. האם ההון האישי בטוח?
  8. שום דבר לא בטוח ב 100%

שני אזורי אבטחה מרכזיים

בכל הנוגע לאפליקציות פיננסיות ואבטחה, יש להסתכל על שני חלקים מרכזיים:

  1. עד כמה הנתונים שלי בטוחים - כאשר אתה נותן לכלי את הנתונים שלך, כיצד הם נשמרים ומוגנים? מה מאוחסן והיכן הוא מאוחסן? כיצד עוקבים אחר העובדים כדי למנוע כל סוג של גניבה?
  2. עד כמה החיבור בטוח - כאשר אתה מתקשר עם הכלי, עד כמה הקשר הזה מאובטח? כשאתה מתחבר, כשאתה צופה בנתונים שלך, כשאתה מעדכן משהו, כשאתה נותן להם את האישורים שלך... העברת הנתונים האלה כפופה לסיכון.

המידע שאתה מכניס למערכת חייב להיות בטוח במקום האחסון שלה. הדרך שבה אתה מעביר מידע זה חייבת להיות מאובטחת.

עד כמה הנתונים שלי בטוחים בענן?

אחד החששות הגדולים ביותר שיש לאנשים בכלים כמו הון אישי הוא שהנתונים שלהם נמצאים ב"ענן ".

פניתי לדוד מ. פארקר, אסט. פרופ ', חטיבה. של חשבונאות ומימון ומנהל, מרכז לחקר הונאה ושחיתות באוניברסיטת סנט חאווייר, על מחשבותיו על שירותים כמו מנטה והון אישי. הוא שיתף כמה מחשבות יקרות כיצד לשקול את הסיכונים וההטבות הפוטנציאליים של שימוש בכלים מבוססי ענן:

דיוויד מ. פארקר, אסט. פרופ ', חטיבה. חשבונאות ומימון ומנהל המרכז לחקר הונאה ושחיתות

בכל הקשור למחשבות כלליות לגבי אחסון נתונים בענן על ידי מסירת הנתונים שלך לאמזון, מיקרוסופט, דרופבוקס, אקוויפקס, הבנק שלך, גוגל, פייסבוק או למי שזה לא בטוח? ידיעות אחרונות חושפות את החברות הרבות הרבות שסבלו מהפרות נתונים בידי פושעי רשת.

האם ניתן לגנוב את הנתונים שלך אם תמסור אותם לענן? כן.

אז אתה מחליט לשמור על הנתונים שלך בטוחים בבית. האם אפשר לגנוב אותו? גם כן. פושעי רשת יכולים לפרוץ אל המחשב הביתי שלך, ה- Wi-Fi הביתי שלך, התרמוסטט המותאם לאינטרנט או פעמון הדלת וכו '.

הנקודות לטובת הענן כוללות כי לחברה גדולה כמו אמזון או מיקרוסופט יהיו יותר משאבים ולהיות טובה יותר באבטחה הגנתית שאתה נמצא בבית. ובוודאי, זה האינטרס של העסק שלהם לעשות כמיטב יכולתם כדי להישאר בטוחים. הם מציעים גם אחסון מיותר במידה שלא רק היית מאחסן את הנתונים שלך בבית שבו הכונן הקשיח שלך עלול להתפוצץ או שהבית שלך יישרף עם הנתונים שלך בו. לכן, לרוב מדובר בסיכון מקובל.

אין לי ניסיון אישי ישיר עם מנטה או הון אישי. ההבנה שלי לגבי שירותי צבירת הנתונים הפיננסיים של צד שלישי היא שהם פועלים על ידי איסוף כל שלך נתונים פיננסיים למקום אחד ומציעים ללקוחותיהם את הנוחות המתקבלת מהגרפים והתרשימים הנחמדים. המשמעות היא שהם צריכים לעבוד עם הבנק שלך, הברוקר וכו '. כדי לקבל גישה לעסקאות שלך. היקף וסוג הגישה שהם יוכלו לקבל עשוי להיות תלוי אם המוסד הפיננסי רואה בהם שותף או מתחרה.

נושא שעולה לי בראש הוא גודל משטח ההתקפה. אם לבנק ולצבר שלך יש עותק של המידע שלך הוא נותן לעבריין שתי מטרות אפשריות לגנוב אותו. כמו כן, אם כל המידע שלך נאסף במקום אחד, במקום שתצטרך לפרוץ למספר חשבונות, לפושע יש כעת קניות חד פעמיות.

תמיד יהיו סיכונים. אף מערכת לעולם לא תהיה בטוחה לחלוטין. תמיד יהיו פגיעויות ואנשים רעים שמוכנים לנצל אותן. אבל, זה תמיד מסתכם בשיקול דעת אישי אם הסיכון סביר או מינימלי בהשוואה לתועלת השירות.

הנתונים שלך אינם בטוחים ב -100% בבית והם אינם בטוחים ב -100% בענן.

אך לחברות שאתה סומך עליהן עם הנתונים שלך יהיו אמצעי הגנה ("אבטחה הגנתית") שיגנו עליך.

הבה נבחן מקרוב את ההון האישי ומה הם עושים כדי לאבטח את הנתונים שלך.

עד כמה הנתונים שלי בטוחים בהון אישי?

האם אתה מודאג מכך שהנתונים שלך יישמרו הון אישי שרתים?

הבחור שאיתו אתה רוצה לדבר כשזה מגיע לאבטחה ב- Personal Capital הוא פריץ רובינס. הוא קצין הטכנולוגיה הראשי שלהם ומנהל המידע הראשי. יש לו ניסיון של למעלה מ -20 שנה בתחומם, כולל תקופת שלוש שנים כאדריכל מערכת ב- RSA Security ו -8 שנים בניהול חברת הנדסת תוכנה לכל החיים שלו. הוא בעל תואר M.S. במדעי המחשב מאוניברסיטת סטנפורד לאתחול.

(גם, בשביל מה זה שווה, מייסד אישי ההון, ביל האריס, ייסד חברה PassMark Security שבנתה מערכות אימות מקוונות בהן השתמשו רוב הבנקים הגדולים, ופריץ רובינס היה עם אותה חברה נו)

שאלתי את פריץ לגבי אבטחה והוא הזכיר כמה מהנקודות שאצלול להלן:

פריץ רובינס, CTO/CIO בהון אישי

נקודת המבט שלנו היא שצפייה בחשבונות הבנקאות והתיווך שלך באמצעות הון אישי היא * בטוחה יותר * מאשר להיכנס ישירות לאתר הבנקאות/תיווך מהדפדפן שלך. נגעת בהרבה מהסיבות מדוע:

  1. האישורים שלך מאוחסנים במרכז נתונים מאובטח לעומת שהם תמיד מועברים באמצעות הדפדפן (בדרך כלל פחות מאובטח) של המשתמש
  2. החיבור הוא לקריאה בלבד ולא ניתן להעביר כסף מחשבון הבנקאות/תיווך שלך באמצעות הון אישי, וסיסמאות הבנקאות/תיווך שלך לעולם אינן מוחזרות לדפדפן שלך מאיתנו שרתים.
  3. השירות שלנו נותן לך הודעה על כל עסקאות הבנקאות/תיווך (באמצעות דוא"ל או דחיפה לנייד הודעות) המקלות עליך לעקוב אחר חשבונות בנק/תיווך שלך בגין הונאה, הכל באחד מקום!

לא בכדי, מלבד הכרת צלעות האבטחה של הצוות שמאחורי Personal Capital נותן לי ביטחון שהם על המשחק שלהם.

ישנן שתי דרכים בהן הון אישי שומר על בטיחות הנתונים שלך:

  • הם משתמשים בהצפנה חזקה מאוד ו,
  • יש להם בקרות גישה פנימיות קפדניות.

פריימר מהיר על הצפנה

(לחץ כדי להרחיב קטע זה ולקרוא פריימר בנושא הצפנה)

הצפנה מרתקת. הרעיון הבסיסי מאחורי ההצפנה הוא שיש לך שני מפתחות, מפתח ציבורי ומפתח פרטי.

אם אתה רוצה להצפין משהו שרק אני יכול לקרוא, אתה צריך את המפתח הציבורי שלי. אתה מצפין את ההודעה שלך באמצעות המפתח הציבורי שלי ואז מעביר את ההודעה המוצפנת. הדרך היחידה לפענח אותו היא באמצעות המפתח הפרטי שלי (שלעולם לא הייתי משתף). אם אני רוצה לשלוח לך משהו מוצפן, אצטרך את המפתח הציבורי שלך כדי להצפין אותו. רק אז תוכל לפענח אותו באמצעות המפתח הפרטי שלך.

באופן עקרוני, כל התקשורת המוצפנת המודרנית פועלת באופן זה. ישנן וריאציות כדי להפוך אותו לאבטח יותר, בהתאם לצרכים שלך (יותר חישוקים = ​​בטוחים יותר = יותר זמן).

לדוגמה, וריאציה קלאסית אחת היא להסתמך על מפתחות "הפעלה" ולא על מקשים "קבועים". זה כמו להשתמש במספר כרטיס אשראי זמני ולא בפועל. עבור כל שיחה, אתה יוצר מפתחות חדשים שפוג תוקפם לאחר סיום ההפעלה.

וריאציה נוספת היא האופן שבו אנו משיגים את המפתחות הציבוריים זה לזה. אנחנו יכולים פשוט לפרסם אותם, וזה בדרך כלל בסדר, או שנוכל להשתמש במה שמכונה החלפת מפתחות אליפטיקה עקומה Diffie-Hellman (ECDHE). זה מפתחות זמניים יותר שרק שנינו היינו משתמשים בהם למפגש יחיד זה. זה מה שמשתמש בהון אישי.

AES-256 הוא הצפנה רצינית ברצינות.

כאשר אתה מזין את פרטי הבנק שלך בהון האישי, הם מצפינים אותו ב- AES-256 עם ניהול מפתחות מרובי שכבות, הכולל סיבובים של מפתחות ומלחים ספציפיים למשתמש. AES-256 הוא תקן ההצפנה המתקדמת (AES) והוא תקן הזהב כפי שנקבע על ידי NIST, המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית. 256 מתייחס לאורך המפתח המשמש ו- 256 סיביות הוא הארוך ביותר. זוהי גם אותה הצפנה שבה משתמשת ממשלת ארה"ב.

הם אף פעם לא שומרים את פרטי הכניסה הכספיים שלך. נתונים אלה מוצפנים ומאוחסנים ב- Envestnet Yodlee, פלטפורמה המפעילה רשימת כביסה של שירותים פיננסיים וכלים וחברות לניהול הון. Yodless נבדק מעת לעת על ידי משרד מבקר המטבע ותהליכי האבטחה שלהם זמינים פה.

באשר לבקרות גישה פנימיות, לאף אחד ב- Personal Capital אין גישה לאישורים שלך. אֶפֶס.

עד כמה בטוח הקשר עם הון אישי?

הנתונים שלך בטוחים ומוצפנים בשרתים שלהם, אך הם צריכים להגיע לשם קודם מבלי שמישהו יציץ.

שם ההצפנה ממלאת תפקיד נוסף.

כל האינטראקציה המקוונת שלך עם Personal Capital מוצפנת, כך שאף אחד לא יכול לפענח מה אתה מתקשר עם שרתי Personal Capital. הם מעדיפים TLS 1.2 אך גם תומכים ב- TLS 1.1 ו- TLS 1.0. הם אינם מאפשרים פרוטוקולים אחרים פחות מאובטחים. בהצפנה, עליך להחליף מפתחות במהלך מפגש תקשורת והם משתמשים בהחלפת מפתחות ECDHE לצורך סודיות מושלמת קדימה (קרא את פריימר ההצפנה למידע נוסף).

הם גם דורשים אישור דו-גורמי. המשמעות היא שאם אתה מתחבר ממכשיר לא ידוע או חדש, הם יאשרו שזה אתה באמצעות הטלפון או הדוא"ל שלך (אתה בוחר כאשר אתה מגדיר אותו). אני מרגיש שזה חובה לכל מוסד פיננסי ויש כמה בנקים שעדיין אין להם את זה!

לבסוף, האפליקציות שלהם נבדקות על ידי NowSecure ותהליך ההסמכה של AppSecure.

כיצד ההון האישי מגן מפני הונאה

עד כאן דיברנו רק על האופן שבו הון אישי מגן עליך ועל הנתונים שלך. מה אם הנתונים גרועים?

מה יקרה אם כרטיס האשראי שלך ישמש בצורה הונאה? Personal Capital עוקבת אחר העסקאות שלך ויכולה לשלוח לך הודעת דוא"ל של Daily Transaction Monitor המפרטת את כל מה שראתה באותו יום. במקום לבדוק את ההצהרה שלך בסוף החודש, אתה בוחן אותה מדי יום כאשר הזיכרון שלך טרי. אתה אולי לא זוכר עסקה מלפני שבועיים, אבל אם זה קרה היום, אתה תזכור.

אני אישית הגדר הודעות עסקה על כל סכום מעל $ 0 או $ 1 (תלוי בכרטיס, חלק לא יאפשרו לך לעשות $ 0), אך זוהי חלופה טובה אם אתה מרגיש שרמת ההודעות מוגזמת (כנראה שכן).

האם ההון האישי בטוח?

כן, הון אישי יכול להיות בטוח יותר מהבנק שלך.

(זהו החשש שהכי מדאיג אנשים.)

איך הון אישי הולך להיות בטוח יותר מהבנק שלך?

הם עושים כל מה שהבנק שלך עושה ועוד ועוד, במקרים מסוימים:

  1. זה לקריאה בלבד. כאשר אתה מחבר את החשבונות שלך להון אישי, הון אישי לא יכול לַעֲשׂוֹת כל דבר חוץ מקריאת הנתונים. אתה לא יכול להעביר כספים.
  2. זה לא יעד מושך. הוא לקריאה בלבד והאישורים שלך מאוחסנים במקומות אחרים (Yodlee).
  3. יש לו אישור דו-גורמי. לא לכל הבנקים יש הרשאה דו-גורמית (מהממת אבל נכונה) אבל ל- Personal Capital יש. זוהי שכבת אבטחה נוספת והכרחית.
  4. הם מצפינים הכל ל 256 סיביות. נגד מתקפת כוח אכזרי, זה ייקח מיליארד מיליארד שנים.
  5. נקודת גישה אחת למספר בנקים פירושה שאינך צריך להיכנס לכל אחד מהבנקים בנפרד. למעשה, כאשר אתה נכנס להון האישי שלך, לעולם אינך צריך להזין את פרטי הבנק שלך כך שהוא לעולם לא יועבר. אם המחשב שלך נפגע על ידי תוכנות זדוניות או keylogger, החשבונות הפיננסיים שלך מאובטחים.

שום דבר לא בטוח ב 100%

כמו שאומרים, הדבר היחיד שמבטיח ב -100% הוא התנזרות.

שום דבר אחר לא בטוח ב 100%. הון אישי אינו בטוח ב 100%. ה החלופות הטובות ביותר להון אישי גם הם לא בטוחים במאה אחוז.

אם אתה מוסיף שכבה נוספת למערכת, מדובר בשכבה נוספת שניתן לתקוף אותה.

עם זאת, עליך לשקול את היתרונות שאתה מקבל משימוש בהם (אתה יכול קרא את סקירת ההון האישי שלי לראות כל מה שאני אוהב ולא אוהב בהם) לעומת הסיכוי הקטן שהם יכולים להיות מותקפים.

לי אישית נוח להשתמש בהם אבל בסופו של דבר אתה צריך להחליט. הם הציבו את כל ההגנות הראויות, לעתים קרובות סטנדרטים גבוהים מהנדרש, וזה מספיק טוב בשבילי.

בדוק הון אישי

click fraud protection