Er personlig kapital sikker? Personlig kapitalsikkerhed forklaret

BlogInvester ForsigtigtAug 18, 2021
instagram viewer

Jeg bruger Personlig kapital på månedsbasis til indsamle mine formueoplysninger. Jeg har været til det i over et årti.

Når jeg fortæller folk, at jeg bruger et værktøj til det, stiller de mig alle det samme spørgsmål - er personlig kapital sikker?

Sikkerhed er en af ​​de største bekymringer, folk har med enhver finansiel aggregator eller et værktøj. Uanset om det er Mint, Personal Capital eller en anden service - at sætte dine data i "skyen" kan være ubehageligt. Dette gælder især i betragtning af, hvor mange hacks vi har set for nylig. Equifax, et af de største kreditrapporteringsbureauer, blev hacket, og 143 millioner forbrugere fik stjålet deres data. Det var enormt.

Hvordan ved du, at dine data er sikre i en anden virksomhed?

Det kommer ned på to centrale dele - hvordan beskytter de dine oplysninger, når de har dem, og hvordan sikrer de overførslen af ​​dine oplysninger, mens de får dem.

Indholdsfortegnelse
  1. To vigtige sikkerhedsområder
  2. Hvor sikre er mine data i skyen?
  3. Hvor sikre er mine data ved personlig kapital?
  4. Hurtig primer på kryptering
  5. Hvor sikker er forbindelsen til personlig kapital?
  6. Hvordan personlig kapital beskytter mod svig
  7. Er personlig kapital sikker?
  8. Intet er 100% sikkert

To vigtige sikkerhedsområder

Når det kommer til finansielle apps og sikkerhed, er der to nøgleelementer at se på:

  1. Hvor sikre er mine data - Hvordan gemmes og beskyttes de, når du giver værktøjet dine data? Hvad gemmes, og hvor gemmes det? Hvordan overvåges medarbejderne for at forhindre enhver form for tyveri?
  2. Hvor sikker er forbindelsen - Hvor sikker er forbindelsen, når du kommunikerer med værktøjet? Når du logger ind, når du ser dine data, når du opdaterer noget, når du giver dem dine legitimationsoplysninger... overførslen af ​​disse data er udsat for risiko.

De oplysninger, du lægger i systemet, skal være sikre på opbevaringsstedet. Den måde, du kommunikerer disse oplysninger på, skal også være sikker.

Hvor sikre er mine data i skyen?

En af de største bekymringer, folk har med værktøjer som Personal Capital, er at have deres data i "skyen".

Jeg rakte ud til David M. Parker, ass. Prof., div. af regnskab og finans og direktør, Center for Study of Fraud and Corruption ved Saint Xavier University, for hans tanker om tjenester som mynte og personlig kapital. Han delte nogle værdifulde tanker om, hvordan man afvejede de potentielle risici og fordele ved at bruge skybaserede værktøjer:

David M. Parker, ass. Prof., div. af Regnskab & Finans og direktør, Center for Studiet af Svig og Korruption

Med hensyn til generelle tanker om lagring af data i skyen ved at give dine data til Amazon, Microsoft, Dropbox, Equifax, din bank, Google, Facebook eller hvem som helst... er det sikkert? De seneste nyhedsartikler afslører de mange, mange virksomheder, der har lidt databrud i forbindelse med cyberkriminelle.

Kan dine data blive stjålet, hvis du afleverer dem til skyen? Ja.

Så du beslutter dig for at holde dine data sikre derhjemme. Kan den stjæles? Også ja. Cyberkriminelle kan bryde ind på din hjemmecomputer, dit wi-fi-hjem, din internetaktiverede termostat eller dørklokke osv.

Punkter til fordel for skyen inkluderer, at et stort firma som Amazon eller Microsoft måske har flere ressourcer og er bedre til defensiv sikkerhed, at du er hjemme. Og det er bestemt i deres virksomheds interesse at gøre deres bedste for at forblive sikre. De tilbyder også redundant lagring i et omfang, du ikke bare ville have gemt dine data derhjemme, hvor din harddisk kunne sprænge eller dit hus brænde ned med dine data i den. Så det er ofte en acceptabel risiko.

Jeg har ingen direkte personlig erfaring med Mint eller Personal Capital. Min forståelse af disse tredjepartstjenester for finansielle data aggregatorer er, at de fungerer ved at samle alle dine finansielle data på ét sted og tilbyder deres kunder den resulterende bekvemmelighed ved de flotte grafer og diagrammer. Det betyder, at de skal arbejde med din bank, mægler osv. for at få adgang til dine transaktioner. Omfanget og typen af ​​adgang, de vil kunne få, kan afhænge af, om finansinstituttet ser dem som en partner eller en konkurrent.

Et problem, jeg tænker på, er angrebsfladens størrelse. Hvis din bank og din samler begge har en kopi af dine oplysninger, giver den kriminelle to mulige mål at stjæle dem fra. Hvis alle dine oplysninger er indsamlet ét sted i stedet for at skulle bryde ind på flere konti, har kriminelle nu one-stop-shopping.

Der vil altid være risici. Intet system vil nogensinde være helt sikkert. Der vil altid være sårbarheder og dårlige mennesker, der er villige til at udnytte dem. Men det kommer altid ned på en individuel vurdering af, om risikoen er rimelig eller minimal sammenlignet med fordelene ved tjenesten.

Dine data er ikke 100% sikre derhjemme, og de er ikke 100% sikre i skyen.

Men de virksomheder, som du har tillid til med dine data, har sikkerhedsforanstaltninger på plads ("defensiv sikkerhed") for at beskytte dig.

Lad os se nærmere på Personal Capital og hvad de gør for at sikre dine data.

Hvor sikre er mine data ved personlig kapital?

Er du bekymret for, at dine data gemmes på Personlig kapital servere?

Den fyr, du vil tale med, når det kommer til sikkerhed hos Personal Capital, er Fritz Robbins. Han er deres teknologichef og informationschef. Han har over 20 års erfaring inden for deres område, herunder en treårig periode som systemarkitekt hos RSA Security og 8 år med at drive sit eget softwareteknikfirma i fuld livscyklus. Han har en M.S. i datalogi fra Stanford University for at starte.

(også for hvad det er værd, var Personal Capitals grundlægger Bill Harris med til at stifte PassMark Security, et firma der byggede online godkendelsessystemer, der blev brugt af de fleste større banker, og Fritz Robbins var hos det selskab som godt)

Jeg spurgte Fritz om sikkerhed, og han nævnte et par af de punkter, jeg vil dykke dybere ned på herunder:

Fritz Robbins, CTO/CIO for Personal Capital

Vores synspunkt er, at visning af dine bank- og mæglerkonti via Personal Capital er * sikrere * end at gå direkte til bank-/mæglerwebstedet fra din browser. Du berørte mange af grundene til, at:

  1. Dine legitimationsoplysninger gemmes i et sikkert datacenter i modsætning til, at de altid overføres via brugerens (generelt mindre sikre) browser
  2. Forbindelsen er skrivebeskyttet, og der kan ikke overføres penge fra din bank-/mæglerkonto via Personal Capital og dine bank-/mægleradgangskoder returneres aldrig til din browser fra vores servere.
  3. Vores service giver dig besked om alle bank-/mæglertransaktioner (via e -mail eller mobil push notifikationer), der gør det let for dig at overvåge dine bank-/mæglerkonti for bedrageri, alt i ét placere!

Ikke for ingenting, men at kende sikkerhedskoteletterne fra teamet bag Personal Capital giver mig tillid til, at de er oven på deres spil.

Der er to måder, hvorpå Personal Capital holder dine data sikre:

  • De bruger meget kraftig kryptering og,
  • De har strenge interne adgangskontroller.

Hurtig primer på kryptering

(klik for at udvide dette afsnit og læse en primer om kryptering)

Kryptering er fascinerende. Den grundlæggende idé bag kryptering er, at du har to nøgler, en offentlig nøgle og en privat nøgle.

Hvis du vil kryptere noget, som kun jeg kan læse, har du brug for min offentlige nøgle. Du krypterer din besked med min offentlige nøgle og giver derefter den krypterede besked. Den eneste måde at dekryptere det på er ved at bruge min private nøgle (som jeg aldrig ville dele). Hvis jeg vil sende dig noget krypteret, skal jeg bruge din offentlige nøgle til at kryptere det. Så kan kun du dekryptere det ved hjælp af din private nøgle.

Grundlæggende fungerer moderne krypteret kommunikation alle på denne måde. Der er variationer for at gøre det mere sikkert, afhængigt af dine behov (flere bøjler = mere sikker = mere tid).

For eksempel er en klassisk variant at stole på "session" -nøgler frem for "permanente". Det er som at bruge et midlertidigt kreditkortnummer frem for dit egentlige. For hver samtale opretter du nye nøgler, der udløber, efter at sessionen er slut.

En anden variation er, hvordan vi får de offentlige nøgler til hinanden. Vi kan bare publicere dem, og det er typisk fint, eller vi kan bruge det, der kaldes Elliptic Curve Diffie-Hellman (ECDHE) nøgleudveksling. Det er mere midlertidige nøgler, som kun vi to ville bruge til denne enkelt session. Det er, hvad Personal Capital bruger.

AES-256 er alvorlig seriøs kryptering.

Når du indtaster dine bankoplysninger i Personal Capital, krypterer de den med AES-256 med nøglehåndtering i flere lag, som omfatter roterende brugerspecifikke nøgler og salte. AES-256 er Advanced Encryption Standard (AES) og er guldstandarden som bestemt af NIST, United States National Institute of Standards and Technology. 256 refererer til længden af ​​den anvendte nøgle, og 256-bit er den længste. Det er også den samme kryptering, der bruges af den amerikanske regering.

De gemmer aldrig dine økonomiske loginoplysninger. Disse data er krypteret og gemt på Envestnet Yodlee, en platform, der driver en vasketøjsliste over finansielle tjenester og formueforvaltningsværktøjer og virksomheder. Yodless revideres periodisk af kontoret for valutakontrolløren, og deres sikkerhedsprocesser er tilgængelige her.

Hvad angår intern adgangskontrol, har ingen hos Personal Capital adgang til dine legitimationsoplysninger. Nul.

Hvor sikker er forbindelsen til personlig kapital?

Dine data er sikre og krypterede på deres servere, men de skal først derhen uden at nogen kigger.

Det er her, kryptering spiller endnu en rolle.

Al din online interaktion med Personal Capital er krypteret, så ingen kan tyde, hvad du kommunikerer med Personal Capital -servere. De foretrækker TLS 1.2, men understøtter også TLS 1.1 og TLS 1.0. De tillader ikke andre mindre sikre protokoller. Ved kryptering skal du udveksle nøgler under en kommunikationssession, og de bruger ECDHE -nøgleudveksling til Perfect Forward Secrecy (læs krypteringsprimeren for mere information).

De kræver også 2-faktor autorisation. Det betyder, at hvis du logger ind fra en ukendt eller ny enhed, vil de bekræfte, at det er dig via din telefon eller e -mail (du vælger, når du konfigurerer den). Jeg føler, at det er et must for enhver finansiel institution, og der er nogle banker, der ikke har dette endnu!

Endelig testes deres apps af NowSecure og AppSecure -certificeringsprocessen.

Hvordan personlig kapital beskytter mod svig

Til dette punkt har vi kun talt om, hvordan Personal Capital beskytter dig og dine data. Hvad hvis dataene er dårlige?

Hvad hvis dit kreditkort bliver brugt på en svigagtig måde? Personal Capital overvåger dine transaktioner og kan sende dig en Daily Transaction Monitor -e -mail, der viser alt, hvad den har set den dag. I stedet for at gennemgå din erklæring i slutningen af ​​måneden, gennemgår du den dagligt, når din hukommelse er frisk. Du husker muligvis ikke en transaktion fra to uger siden, men hvis det skete i dag, gør du det.

Jeg personligt indstil transaktionsmeddelelser for et beløb over $ 0 eller $ 1 (afhænger af kortet, nogle lader dig ikke gøre $ 0), men dette er et godt alternativ, hvis du føler, at notifikationsniveauet er overkill (det er det sandsynligvis).

Er personlig kapital sikker?

Ja, Personlig kapital faktisk kunne være mere sikker end din bank.

(Dette er den bekymring, der bekymrer folk mest.)

Hvordan er Personlig kapital vil være mere sikker end din bank?

De gør alt, hvad din bank gør plus mere, i nogle tilfælde:

  1. Det er skrivebeskyttet. Når du forbinder dine konti med Personal Capital, kan Personal Capital ikke gøre alt andet end at læse dataene. Du kan ikke overføre midler.
  2. Det er ikke et tiltalende mål. Det er skrivebeskyttet, og dine legitimationsoplysninger gemmes andre steder (Yodlee).
  3. Det har 2-faktor autorisation. Ikke alle banker har 2-faktor autorisation (fantastisk, men sandt), men Personal Capital gør det. Det er et ekstra og nødvendigt lag af sikkerhed.
  4. De krypterer alt til 256 bit. Mod et brutalt kraftangreb, det ville tage 1 milliard milliarder år.
  5. Et adgangspunkt for flere banker betyder, at du ikke behøver at logge ind på hver af disse banker individuelt. Faktisk, når du logger ind på din personlige kapital, behøver du aldrig indtaste dine bankoplysninger, så det aldrig bliver overført. Hvis din computer er kompromitteret af malware eller en keylogger, er dine finansielle konti sikre.

Intet er 100% sikkert

Som de siger, er det eneste, der er 100% sikkert, afholdenhed.

Intet andet er 100% sikkert. Personlig kapital er ikke 100% sikkert. Det bedste alternativer til personlig kapital er heller ikke 100% sikre.

Hvis du tilføjer et andet lag til systemet, er det et andet lag, der kan angribes.

Når det er sagt, skal du afveje de fordele, du får ved at bruge dem (du kan læs min personlige kapitalanmeldelse for at se alt, hvad jeg kan lide og ikke kan lide ved dem) versus den lille chance for, at de kan blive angrebet.

Jeg er personligt fortrolig med at bruge dem, men det er i sidste ende op til dig at bestemme. De har sat alle de korrekte beskyttelser på plads, ofte højere standarder end der kræves, og det er godt nok for mig.

Tjek personlig kapital

click fraud protection