Biztonságos a személyes tőke? Személyes tőkebiztonság magyarázata

BlogFektessen KörültekintőenAug 18, 2021
instagram viewer

használom Személyes tőke havi rendszerességgel gyűjtsem össze a nettó értékű adataimat. Azért voltam rajta több mint egy évtizede.

Amikor azt mondom az embereknek, hogy valamilyen eszközt használok ehhez, mindannyian ugyanazt a kérdést teszik fel nekem - biztonságos -e a személyes tőke?

A biztonság az egyik legnagyobb aggodalom, ami az embereket érinti bármilyen pénzügyi aggregátorral vagy eszközzel. Akár pénzverde, akár személyes tőke, akár más szolgáltatás - az adatok „felhőbe” helyezése idegesítő lehet. Ez különösen igaz, tekintettel arra, hogy hány hacket láttunk az utóbbi időben. Az Equifaxot, az egyik legnagyobb hiteljelentő ügynökséget feltörték, és 143 millió fogyasztótól lopták el az adatait. Óriási volt.

Honnan tudja, hogy adatai biztonságban lesznek egy másik cégnél?

Ez két kulcsfontosságú részből áll - hogyan védik meg az adatait, ha megvannak, és hogyan védik az információ továbbítását, amíg megkapják.

Tartalomjegyzék
  1. Két kulcsfontosságú biztonsági terület
  2. Mennyire biztonságosak az adataim a felhőben?
  3. Mennyire biztonságosak az adataim a Personal Capital -nál?
  4. Gyors alapozó a titkosításhoz
  5. Mennyire biztonságos a személyes tőkével való kapcsolat?
  6. Hogyan védekezik a személyes tőke a csalások ellen
  7. Biztonságos a személyes tőke?
  8. Semmi sem 100% -ban biztonságos

Két kulcsfontosságú biztonsági terület

Ami a pénzügyi alkalmazásokat és a biztonságot illeti, két kulcsfontosságú elemet kell megnézni:

  1. Mennyire biztonságosak az adataim - Amikor megadja az eszköznek az adatait, hogyan tárolják és védik? Mit tárolnak és hol tárolják? Hogyan ellenőrzik az alkalmazottakat, hogy megakadályozzák a lopásokat?
  2. Mennyire biztonságos a kapcsolat - Amikor kommunikál az eszközzel, mennyire biztonságos ez a kapcsolat? Amikor bejelentkezik, amikor megtekinti az adatait, ha frissít valamit, amikor megadja nekik hitelesítő adatait… az adatok továbbítása kockázatos.

A rendszerbe helyezett információknak biztonságban kell lenniük a tárolási helyükön. Az információközlés módjának is biztonságosnak kell lennie.

Mennyire biztonságosak az adataim a felhőben?

Az egyik legnagyobb aggodalom az embereknek az olyan eszközökkel kapcsolatban, mint a Personal Capital, hogy adataikat a „felhőben” tárolják.

Felkerestem David M. Parker, Asst. Prof., Div. számviteli és pénzügyi igazgatója, valamint a Saint Xavier Egyetem Csalás és Korrupció Tanulmányok Központjának igazgatója, az olyan szolgáltatásokkal kapcsolatos gondolatai miatt, mint a pénzverde és a személyes tőke. Néhány értékes gondolatot osztott meg a felhőalapú eszközök használatával kapcsolatos lehetséges kockázatok és előnyök mérlegeléséről:

David M. Parker, Asst. Prof., Div. számviteli és pénzügyi igazgatója, valamint a Csalás és Korrupció Tanulmányok Központjának igazgatója

Ami az általános gondolatokat illeti az adatoknak a felhőben való tárolásával kapcsolatban azáltal, hogy adatait átadja az Amazonnak, a Microsoftnak, a Dropboxnak, az Equifaxnek, a bankjának, a Google -nak, a Facebooknak vagy bárkinek… biztonságos? A legfrissebb hírekből kiderül, hogy sok -sok vállalat szenvedett el adatvédelmi incidenseket a kiberbűnözők részéről.

Ellophatják adatait, ha átadja őket a felhőnek? Igen.

Tehát úgy dönt, hogy otthon biztonságban tartja adatait. El lehet lopni? Szintén igen. A kiberbűnözők betörhetnek az otthoni számítógéphez, az otthoni wi-fi-hez, az internet-kompatibilis termosztáthoz vagy ajtócsengőhöz stb.

A felhő mellett szóló pontok közé tartozik, hogy egy olyan nagy cég, mint az Amazon vagy a Microsoft, több erőforrással rendelkezhet, és jobban tudja védeni a biztonságot, mint otthon. És minden bizonnyal üzleti érdekükben áll, hogy minden tőlük telhetőt megtesznek a biztonság érdekében. Emellett redundáns tárolást is kínálnak, olyan mértékben, hogy nem csak otthon tárolja adatait, ahol a merevlemez felrobbanhat, vagy a háza leéghet az adatokkal. Tehát gyakran elfogadható kockázat.

Nincs közvetlen személyes tapasztalatom a Mint vagy a Personal Capital szolgáltatással kapcsolatban. Úgy gondolom, hogy ezek a harmadik féltől származó pénzügyi adatok összesítő szolgáltatásai úgy működnek, hogy összegyűjtik az összes Ön adatait pénzügyi adatokat egy helyre, és ügyfeleiknek a szép grafikonok és diagramok kényelmét kínálják. Ez azt jelenti, hogy együttműködniük kell a bankjával, a brókerével stb. hogy hozzáférhessen a tranzakcióihoz. A hozzáférés mértéke és típusa attól függ, hogy a pénzintézet partnernek vagy versenytársnak tekinti -e őket.

Egy kérdés, ami eszembe jut, a támadási felület mérete. Ha a bankja és az összesítője is rendelkezik másolattal az Ön adatairól, akkor a bűnözőnek két lehetséges célpontot kell megadnia, ahonnan ellophatja azokat. Továbbá, ha minden információját egy helyen gyűjtik össze, ahelyett, hogy több fiókba kellene betörnie, a bűnöző most egyablakos vásárlást végez.

Mindig lesznek kockázatok. Egyetlen rendszer sem lesz tökéletesen biztonságos. Mindig lesznek sebezhetőségek és rossz emberek, akik hajlandóak kihasználni őket. De mindig egyéni döntés születik arról, hogy a kockázat ésszerű vagy minimális -e a szolgáltatás előnyeivel összehasonlítva.

Adatai nem 100% -ban biztonságosak otthon, és nem 100% -ban biztonságosak a felhőben.

De azoknak a vállalatoknak, amelyekben megbízik az adataival, biztosítékok vannak érvényben („védelmi biztonság”), amelyek megvédik Önt.

Nézzük meg közelebbről a Personal Capital -ot és azt, hogy mit tesznek az adatok védelme érdekében.

Mennyire biztonságosak az adataim a Personal Capital -nál?

Aggódik amiatt, hogy adatait tárolják Személyes tőke szerverek?

A srác, akivel beszélni szeretne a Personal Capital biztonságáról, Fritz Robbins. Ő a technológiai vezetőjük és az információs igazgató. Több mint 20 éves tapasztalattal rendelkezik ezen a területen, beleértve az RSA Security rendszerépítészeként eltöltött három év tapasztalatát, és 8 évig saját teljes életciklusú szoftverfejlesztő vállalat vezetését. Van egy M.S. a számítástechnika szakon a Stanford Egyetemen a rendszerindításig.

(ráadásul ennyiért a Personal Capital alapítója, Bill Harris társalapította a PassMark Security céget hogy a legtöbb nagy bank által használt online hitelesítési rendszereket épített, és Fritz Robbins ezzel a céggel volt jól)

Megkérdeztem Fritz -t a biztonságról, és megemlített néhány olyan pontot, amelyekről az alábbiakban részletesebben fekszem:

Fritz Robbins, a Personal Capital CTO/informatikai igazgatója

Véleményünk szerint a bankszámla és a brókerszámlák személyes tőkén keresztül történő megtekintése * biztonságosabb *, mint a böngészőből közvetlenül a banki/brókercéghez való belépés. Sok okot érintett, amiért:

  1. A hitelesítő adatait egy biztonságos adatközpontban tárolják, és nem mindig a felhasználó (általában kevésbé biztonságos) böngészőjén keresztül továbbítják
  2. A kapcsolat csak olvasható, és nem lehet pénzt átutalni a bankszámlájáról/brókercégéről A személyes tőke és a banki/ügynöki jelszavak soha nem kerülnek vissza a böngészőbe a mi oldalunkról szervereket.
  3. Szolgáltatásunk értesítést küld minden banki/ügynöki tranzakcióról (e -mailben vagy mobil push -on) értesítések), amelyek megkönnyítik a banki/brókerfiókok csalások nyomon követését, egyben hely!

Nem hiába, de a Personal Capital mögött álló csapat biztonsági pontjainak ismerete bizalmat ad nekem, hogy a játékuk tetején állnak.

A Personal Capital kétféle módon védi adatait:

  • Nagyon hatékony titkosítást használnak, és
  • Szigorú belső hozzáférés -ellenőrzéssel rendelkeznek.

Gyors alapozó a titkosításhoz

(kattintson a szakasz kibontásához, és olvassa el a titkosítás alapját)

A titkosítás lenyűgöző. A titkosítás alapgondolata az, hogy két kulcsa van, egy nyilvános és egy privát kulcs.

Ha titkosítani szeretne valamit, amit csak én tudok olvasni, szüksége van a nyilvános kulcsomra. Titkosítja az üzenetét a nyilvános kulcsommal, majd megadja a titkosított üzenetet. Az egyetlen módja a visszafejtésnek a privát kulcsom használata (amelyet soha nem osztanék meg). Ha valami titkosítottat akarok küldeni, szükségem lesz a nyilvános kulcsára a titkosításhoz. Ezután csak Ön tudja visszafejteni a titkos kulcsát.

Alapvetően a modern titkosított kommunikáció mind így működik. Vannak variációk, amelyek biztonságosabbá teszik az Ön igényeitől függően (több karika = biztonságosabb = több idő).

Például az egyik klasszikus változat az, hogy a „munkamenet” kulcsokra kell támaszkodni az „állandó” kulcsok helyett. Ez olyan, mint egy ideiglenes hitelkártya -szám használata, nem pedig a tényleges. Minden beszélgetéshez új kulcsokat hoz létre, amelyek a munkamenet befejezése után lejárnak.

Egy másik változat az, hogy hogyan kapjuk meg a nyilvános kulcsokat egymáshoz. Csak közzétehetjük őket, és ez általában rendben van, vagy használhatjuk az úgynevezett Elliptikus görbe Diffie-Hellman (ECDHE) kulcscsere. Ez inkább ideiglenes kulcs, amelyet csak mi ketten használnánk ehhez az egyetlen munkamenethez. Ezt használja a Personal Capital.

Az AES-256 komolyan komoly titkosítás.

Amikor megadja banki hitelesítő adatait a Personal Capital szolgáltatásba, azok AES-256 kódolással titkosítják, többrétegű kulcskezeléssel, amely magában foglalja a forgó felhasználó-specifikus kulcsokat és sókat. Az AES-256 az Advanced Encryption Standard (AES), és a NIST, az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete által meghatározott arany szabvány. A 256 a használt kulcs hosszára vonatkozik, a 256 bit pedig a leghosszabb. Ez is ugyanaz a titkosítás, amelyet az amerikai kormány használ.

Soha nem tárolják a pénzügyi bejelentkezési adatait. Ezeket az adatokat titkosítják és tárolják az Envestnet Yodlee platformon, amely a pénzügyi szolgáltatások és a vagyonkezelési eszközök és vállalatok mosási listáját látja el. A Yodless -t rendszeresen ellenőrzi a Valuta Ellenőrző Hivatala, és rendelkezésre állnak biztonsági folyamataik itt.

Ami a belső hozzáférés -szabályozást illeti, a Personal Capitalnál senki sem fér hozzá az Ön hitelesítő adataihoz. Nulla.

Mennyire biztonságos a személyes tőkével való kapcsolat?

Az adatok biztonságban vannak és titkosítva vannak a szervereiken, de előbb oda kell jutniuk anélkül, hogy valaki bekukkantana.

Itt a titkosítás újabb szerepet játszik.

A személyes tőkével folytatott online interakciója titkosított, így senki sem tudja megfejteni, mit kommunikál a Personal Capital szervereivel. Előnyben részesítik a TLS 1.2 -t, de a feltételezett TLS 1.1 -et és TLS 1.0 -t is. Nem engedélyeznek más kevésbé biztonságos protokollokat. A titkosítás során a kommunikációs munkamenet során kulcsokat kell cserélnie, és ők az ECDHE kulcscserét használják a tökéletes továbbítási titkosításhoz (további információkért olvassa el a titkosítási alapozót).

Azt is megkövetelik 2 faktoros engedély. Ez azt jelenti, hogy ha ismeretlen vagy új eszközről jelentkezik be, akkor telefonon vagy e -mailben megerősítik, hogy Ön az (Ön választja, amikor beállítja). Úgy érzem, minden pénzintézet számára kötelező, és vannak olyan bankok, akik még nem rendelkeznek ezzel!

Végül az alkalmazásukat teszteli a NowSecure és az AppSecure tanúsítási folyamat.

Hogyan védekezik a személyes tőke a csalások ellen

Eddig csak arról beszéltünk, hogy a Personal Capital hogyan védi Önt és adatait. Mi van, ha rosszak az adatok?

Mi van, ha hitelkártyáját csalárd módon használják fel? A Personal Capital figyelemmel kíséri a tranzakciókat, és napi Tranzakciófigyelő e -mailt küldhet Önnek, amely felsorolja az aznap látottakat. Ahelyett, hogy a hónap végén megvizsgálná nyilatkozatát, naponta vizsgálja felül, amikor friss az emlékezete. Lehet, hogy nem emlékszik egy két héttel ezelőtti tranzakcióra, de ha ma történt, akkor igen.

én, személyesen állítson be tranzakciós értesítéseket minden 0 vagy 1 dollár feletti összegre (a kártyától függ, egyesek nem engednek 0 dollárt), de ez jó alternatíva, ha úgy érzi, hogy az értesítések szintje túlzás (valószínűleg).

Biztonságos a személyes tőke?

Igen, Személyes tőke biztonságosabb lehet, mint a bankja.

(Ez az aggodalom aggasztja leginkább az embereket.)

Hogy van Személyes tőke biztonságosabb lesz, mint a bankja?

Mindent megtesznek, amit a bank, és még néhányat is, bizonyos esetekben:

  1. Csak olvasható. Ha összekapcsolja fiókjait a személyes tőkével, a személyes tőke nem tudja tedd bármi, kivéve az adatok olvasását. Nem utalhat át pénzeszközöket.
  2. Ez nem vonzó célpont. Csak olvasható, és a hitelesítő adatait máshol tárolják (Yodlee).
  3. 2 faktoros jogosultsággal rendelkezik. Nem minden bank rendelkezik kéttényezős jogosultsággal (lenyűgöző, de igaz), de a Personal Capital rendelkezik. Ez egy extra és szükséges biztonsági réteg.
  4. Mindent 256 bitre titkosítanak. A nyers erő támadása ellen, 1 milliárd milliárd évre lenne szükség.
  5. Egy hozzáférési pont több bank számára azt jelenti, hogy nem kell külön -külön bejelentkeznie ezekbe a bankokba. Valójában, amikor bejelentkezik személyes tőkéjébe, soha nem kell megadnia banki hitelesítő adatait, hogy soha ne kerüljön továbbításra. Ha számítógépét rosszindulatú program vagy keylogger veszélyezteti, pénzügyi számlái biztonságban vannak.

Semmi sem 100% -ban biztonságos

Mint mondják, az egyetlen dolog, ami 100% -ban biztonságos, az absztinencia.

Semmi más nem 100% -ban biztonságos. Személyes tőke nem 100% -ban biztonságos. Az a személyes tőke legjobb alternatívái sem 100% -ban biztonságosak.

Ha újabb réteget ad hozzá a rendszerhez, akkor egy újabb réteg támadható meg.

Ennek ellenére mérlegelnie kell a használatukból származó előnyöket (megteheti olvassa el a Személyes tőke felülvizsgálatomat hogy mindent lássak, ami bennem tetszik és nem tetszik bennük) szemben azzal a kis eséllyel, hogy megtámadhatják őket.

Én személy szerint jól érzem magam a használatukkal, de ezt végül Ön dönti el. Minden megfelelő védelmet bevezettek, gyakran magasabb követelményeket, mint az előírt, és ez nekem elég jó.

Nézze meg a személyes tőkét

click fraud protection