Безопасен ли е личният капитал? Обяснение на сигурността на личния капитал

БлогИнвестирайте разумноAug 18, 2021
instagram viewer

използвам Личен капитал на месечна база до събирам информация за нетната си стойност. Бях на това за повече от десетилетие.

Когато казвам на хората, че използвам инструмент за това, всички те ми задават един и същ въпрос - безопасен ли е личният капитал?

Сигурността е една от най -големите грижи, които хората имат с всеки финансов агрегатор или инструмент. Независимо дали става въпрос за Mint, Personal Capital или друга услуга - поставянето на вашите данни в „облака“ може да обезпокои. Това е особено вярно предвид колко хакове сме виждали наскоро. Equifax, една от най -големите агенции за отчитане на кредити, беше хакната и данните на 143 милиона потребители бяха откраднати. Беше огромно.

Как да разберете, че вашите данни ще бъдат безопасни в друга компания?

Това се свежда до две ключови части - как те защитават вашата информация, когато я имат и как защитават предаването на вашата информация, докато я получат.

Съдържание
  1. Две ключови зони за сигурност
  2. Колко безопасни са моите данни в облака?
  3. Колко безопасни са моите данни в личния капитал?
  4. Бърз грунд за криптиране
  5. Колко безопасна е връзката с личния капитал?
  6. Как личният капитал предпазва от измами
  7. Безопасен ли е личният капитал?
  8. Нищо не е 100% безопасно

Две ключови зони за сигурност

Що се отнася до финансовите приложения и сигурността, трябва да разгледате две ключови части:

  1. Колко безопасни са моите данни - Когато давате на инструмента вашите данни, как се съхраняват и защитават? Какво се съхранява и къде се съхранява? Как се наблюдават служителите, за да се предотврати всякакъв вид кражба?
  2. Колко безопасна е връзката - Когато комуникирате с инструмента, колко сигурна е тази връзка? Когато влизате, когато преглеждате данните си, когато актуализирате нещо, когато им давате своите идентификационни данни... предаването на тези данни е изложено на риск.

Информацията, която въвеждате в системата, трябва да бъде безопасна на мястото си на съхранение. Начинът, по който съобщавате тази информация, също трябва да бъде защитен.

Колко безопасни са моите данни в облака?

Едно от най -големите притеснения, които хората имат с инструменти като Personal Capital, е разполагането на техните данни в „облака“.

Посегнах към Дейвид М. Паркър, доц. Проф., Отд. на счетоводството и финансите и директор, Център за изследване на измамите и корупцията в университета „Сент Ксавие“, за мислите му относно услуги като монетен двор и личен капитал. Той сподели някои ценни мисли за това как да се претеглят потенциалните рискове и ползи от използването на облачни инструменти:

Дейвид М. Паркър, доц. Проф., Отд. на счетоводството и финансите и директор, Център за изследване на измамите и корупцията

По отношение на общите мисли за съхраняване на данни в облака, като предоставяте данните си на Amazon, Microsoft, Dropbox, Equifax, вашата банка, Google, Facebook или на когото и да е... безопасно ли е? Последните новини разкриват многото, много компании, които са претърпели нарушения на данните от ръцете на киберпрестъпници.

Могат ли вашите данни да бъдат откраднати, ако ги предадете в облака? Да.

Така че решавате да запазите данните си безопасни у дома. Може ли да бъде откраднат? Също така да. Киберпрестъпниците могат да проникнат в домашния ви компютър, домашната ви wi-fi, вашия интернет термостат или звънец на вратата и т.н.

Точките в полза на облака включват, че голяма компания като Amazon или Microsoft може да има повече ресурси и да е по -добра в защитната сигурност, че сте у дома. И със сигурност е в най -добрия интерес на техния бизнес да направят всичко възможно да останат сигурни. Те също така предлагат излишно съхранение до степен, в която не бихте искали просто да съхранявате данните си вкъщи, където вашият твърд диск може да се взриви или къщата ви да изгори с вашите данни в него. Така че, това често е приемлив риск.

Нямам пряк личен опит с Mint или Personal Capital. Моето разбиране за тези услуги за агрегиране на финансови данни на трети страни е, че те работят, като събират всички ваши финансови данни на едно място и предлагащи на своите клиенти удобството на хубавите графики и диаграми. Това означава, че те трябва да работят с вашата банка, брокер и т.н. за да получите достъп до вашите транзакции. Степента и видът на достъп, който ще могат да получат, може да зависи от това дали финансовата институция ги разглежда като партньор или конкурент.

Един проблем, който ми идва на ум, е размерът на повърхността на атаката. Ако и вашата банка, и вашият агрегатор имат копие на вашата информация, това дава на престъпника две възможни цели, от които да го открадне. Освен това, ако цялата ви информация се събира на едно място, вместо да се налага да разбива няколко акаунта, престъпникът вече има едно гише.

Винаги ще има рискове. Никоя система никога няма да бъде напълно защитена. Винаги ще има уязвимости и лоши хора, готови да ги експлоатират. Но винаги се свежда до индивидуална преценка дали рискът е разумен или минимален в сравнение с ползата от услугата.

Вашите данни не са 100% безопасни у дома и не са 100% безопасни в облака.

Но компаниите, на които се доверявате с вашите данни, ще разполагат с предпазни мерки („защитна сигурност“), за да ви защитят.

Нека разгледаме по -отблизо Personal Capital и какво правят те, за да защитят вашите данни.

Колко безопасни са моите данни в личния капитал?

Притеснявате ли се, че вашите данни се съхраняват Личен капитал сървъри?

Човекът, с когото искате да говорите, когато става въпрос за сигурност в Personal Capital, е Фриц Робинс. Той е техният главен технологичен директор и главен информационен директор. Той има над 20 години опит в тяхната област, включително тригодишен стаж като системен архитект в RSA Security и 8 години, ръководещ собствена компания за софтуерен инженеринг с пълен жизнен цикъл. Той притежава M.S. по компютърни науки от Станфордския университет.

(също, за какво си струва, основателят на Personal Capital Бил Харис е съосновател на PassMark Security, компания която е изградила системи за онлайн удостоверяване, използвани от повечето големи банки, а Фриц Робинс е бил с тази компания като добре)

Попитах Фриц за сигурността и той спомена някои от точките, по които ще се потопя по -подробно по -долу:

Фриц Робинс, главен технически директор/директор по личен капитал

Нашата гледна точка е, че разглеждането на вашите банкови и брокерски сметки чрез Personal Capital е * по -безопасно *, отколкото директното посещение на банковия/брокерския сайт от вашия браузър. Докоснахте се до много от причините:

  1. Вашите идентификационни данни се съхраняват в защитен център за данни, а не винаги се предават чрез браузъра на потребителя (обикновено по-малко защитен)
  2. Връзката е само за четене и не могат да се превеждат пари от вашата банкова/брокерска сметка чрез Personal Capital и вашите банкови/брокерски пароли никога не се връщат в браузъра ви от нашия сървъри.
  3. Нашата услуга ви уведомява за всички банкови/брокерски транзакции (чрез имейл или мобилен push известия), които ви улесняват да следите вашите банкови/брокерски сметки за измами, всичко в едно място!

Не напразно, но познаването на сигурността на екипа зад Personal Capital ми дава увереност, че те са на върха на играта си.

Има два начина, по които Personal Capital защитава вашите данни:

  • Те използват много мощно криптиране и,
  • Те имат строг вътрешен контрол на достъпа.

Бърз грунд за криптиране

(щракнете, за да разширите този раздел и прочетете буква за криптиране)

Шифроването е завладяващо. Основната идея зад криптирането е, че имате два ключа, публичен ключ и частен ключ.

Ако искате да шифровате нещо, което само аз мога да чета, имате нужда от моя публичен ключ. Криптирате съобщението си с моя публичен ключ и след това давате шифрованото съобщение. Единственият начин да го декриптирате е като използвате личния си ключ (който никога не бих споделил). Ако искам да ви изпратя нещо криптирано, ще ми трябва вашият публичен ключ, за да го шифровам. Тогава само вие можете да го декриптирате, като използвате личния си ключ.

По принцип съвременните криптирани комуникации работят по този начин. Има варианти, за да го направите по -сигурен, в зависимост от вашите нужди (повече обръчи = по -сигурно = повече време).

Например, един класически вариант е да се разчита на клавишите „сесия“, а не на „постоянни“. Това е все едно да използвате временен номер на кредитна карта, а не действителния ви. За всеки разговор създавате нови ключове, които изтичат след приключване на сесията.

Друг вариант е как получаваме публичните ключове един към друг. Можем просто да ги публикуваме и това обикновено е добре, или можем да използваме това, което е известно като Размяна на ключове с елиптична крива Дифи-Хелман (ECDHE). Това са по -временни ключове, които само ние двамата бихме използвали за тази единична сесия. Това използва личният капитал.

AES-256 е сериозно сериозно криптиране.

Когато въвеждате банковите си идентификационни данни в Personal Capital, те го криптират с AES-256 с многослойно управление на ключове, което включва въртящи се специфични за потребителя ключове и соли. AES-256 е усъвършенстваният стандарт за криптиране (AES) и е златният стандарт, определен от NIST, Националния институт по стандарти и технологии на САЩ. 256 се отнася до дължината на използвания ключ, а 256-битовите са най-дългите. Това е също същото криптиране, използвано от правителството на САЩ.

Те никога не съхраняват вашите идентификационни данни за финансово влизане. Тези данни се криптират и съхраняват в Envestnet Yodlee, платформа, която управлява списък с финансови услуги и инструменти и компании за управление на богатството. Yodless периодично се одитира от Службата на контрольора на валутата и техните процеси за сигурност са налични тук.

Що се отнася до вътрешния контрол на достъпа, никой от Personal Capital няма достъп до вашите идентификационни данни. Нула.

Колко безопасна е връзката с личния капитал?

Вашите данни са безопасни и криптирани на техните сървъри, но трябва първо да стигнат до там, без някой да надникне.

Тук криптирането играе още една роля.

Цялото ви онлайн взаимодействие с Personal Capital е криптирано, така че никой не може да дешифрира това, което общувате със сървърите на Personal Capital. Те предпочитат TLS 1.2, но също така поддържат TLS 1.1 и TLS 1.0. Те не допускат други по-малко сигурни протоколи. При шифроване трябва да обменяте ключове по време на сесия на комуникация и те използват обмен на ключове ECDHE за перфектна секретност напред (прочетете буква за криптиране за повече информация).

Те също изискват 2-факторно разрешение. Това означава, че ако влезете от неизвестно или ново устройство, те ще потвърдят, че това сте вие ​​чрез вашия телефон или имейл (вие избирате, когато го настроите). Чувствам, че това е задължително за всяка финансова институция и има някои банки, които все още нямат това!

И накрая, техните приложения се тестват от NowSecure и процеса на сертифициране на AppSecure.

Как личният капитал предпазва от измами

До този момент говорихме само за това как Личният капитал защитава вас и вашите данни. Ами ако данните са лоши?

Ами ако кредитната ви карта се използва по измамен начин? Personal Capital следи транзакциите ви и може да ви изпрати имейл на Daily Transaction Monitor, който изброява всичко, което е видял този ден. Вместо да преглеждате изявлението си в края на месеца, вие го преглеждате ежедневно, когато паметта ви е свежа. Може да не си спомняте транзакция от преди две седмици, но ако се е случила днес, ще го направите.

Аз лично задайте известия за транзакции за всяка сума над $ 0 или $ 1 (зависи от картата, някои няма да ви позволят да направите $ 0), но това е добра алтернатива, ако смятате, че нивото на известия е прекалено (вероятно е така).

Безопасен ли е личният капитал?

Да, Личен капитал всъщност може да бъде по -безопасно от вашата банка.

(Това е грижата, която най -много тревожи хората.)

Как е Личен капитал ще бъде по -безопасно от вашата банка?

Те правят всичко, което прави вашата банка, плюс още, в някои случаи:

  1. Само за четене. Когато свържете профилите си с Personal Capital, Personal Capital не може направете всичко, освен четене на данните. Не можете да превеждате средства.
  2. Това не е привлекателна цел. Той е само за четене и вашите идентификационни данни се съхраняват на друго място (Yodlee).
  3. Има 2-факторно разрешение. Не всички банки имат 2-факторно разрешение (зашеметяващо, но вярно), но Personal Capital го има. Това е допълнителен и необходим слой на сигурност.
  4. Те криптират всичко до 256 бита. Срещу атака с груба сила, ще отнеме 1 милиард милиарда години.
  5. Една точка за достъп за множество банки означава, че не е нужно да влизате във всяка от тези банки поотделно. Всъщност, когато влезете в личния си капитал, никога не трябва да въвеждате банковите си идентификационни данни, така че той никога да не се предава. Ако компютърът ви е компрометиран от злонамерен софтуер или кейлогър, финансовите ви сметки са защитени.

Нищо не е 100% безопасно

Както се казва, единственото, което е 100% безопасно, е въздържанието.

Нищо друго не е 100% безопасно. Личен капитал не е 100% безопасно. The най -добрите алтернативи на личния капитал също не са 100% безопасни.

Ако добавите друг слой към системата, това е друг слой, който може да бъде атакуван.

Това означава, че трябва да прецените ползите, които получавате от използването им (можете прочетете моя преглед на Personal Capital да виждам всичко, което харесвам и не харесвам в тях) срещу малкия шанс те да бъдат атакувани.

Аз лично се чувствам удобно да ги използвам, но в крайна сметка вие решавате. Те са поставили всички подходящи защити, често по -високи стандарти, отколкото се изисква, и това е достатъчно добро за мен.

Вижте личния капитал

click fraud protection