używam Kapitał osobisty co miesiąc do zbierz informacje o mojej wartości netto. Byłem na tym od ponad dekadę.
Kiedy mówię ludziom, że używam do tego narzędzia, wszyscy zadają mi to samo pytanie – czy kapitał osobisty jest bezpieczny?
Bezpieczeństwo jest jednym z największych problemów, jakie ludzie mają z jakimkolwiek agregatorem lub narzędziem finansowym. Niezależnie od tego, czy jest to Mint, Personal Capital, czy jakaś inna usługa – umieszczanie danych w „chmurze” może być denerwujące. Jest to szczególnie prawdziwe, biorąc pod uwagę, ile ostatnio widzieliśmy hacki. Equifax, jedna z największych agencji sporządzających raporty kredytowe, została zhakowana, a dane 143 milionom konsumentów skradziono. Był ogromny.
Skąd wiesz, że Twoje dane będą bezpieczne w innej firmie?
Sprowadza się to do dwóch kluczowych części – w jaki sposób chronią Twoje informacje, gdy je posiadają, oraz w jaki sposób zabezpieczają transmisję Twoich informacji, gdy je otrzymują.
Spis treści
- Dwa kluczowe obszary bezpieczeństwa
- Jak bezpieczne są moje dane w chmurze?
- Jak bezpieczne są moje dane w kapitale osobistym?
- Szybki podkład do szyfrowania
- Jak bezpieczne jest połączenie z kapitałem osobistym?
- Jak kapitał osobisty chroni przed oszustwami
- Czy kapitał osobisty jest bezpieczny?
- Nic nie jest w 100% bezpieczne
Dwa kluczowe obszary bezpieczeństwa
Jeśli chodzi o aplikacje finansowe i zabezpieczenia, należy przyjrzeć się dwóm kluczowym elementom:
- Jak bezpieczne są moje dane – Kiedy przekazujesz narzędziu swoje dane, w jaki sposób są one przechowywane i chronione? Co jest przechowywane i gdzie jest przechowywane? W jaki sposób monitorowani są pracownicy, aby zapobiec wszelkim kradzieżom?
- Jak bezpieczne jest połączenie? – Kiedy komunikujesz się z narzędziem, jak bezpieczne jest to połączenie? Kiedy się logujesz, kiedy przeglądasz swoje dane, kiedy coś aktualizujesz, kiedy podajesz im swoje dane uwierzytelniające… przekazywanie tych danych jest ryzykowne.
Informacje, które umieszczasz w systemie, muszą być bezpieczne w miejscu ich przechowywania. Sposób, w jaki przekazujesz te informacje, również musi być bezpieczny.
Jak bezpieczne są moje dane w chmurze?
Jedną z największych obaw, jakie ludzie mają z narzędziami takimi jak Kapitał Osobisty, jest posiadanie swoich danych w „chmurze”.
Skontaktowałem się z Davidem M. Parker, doc. prof. z działu księgowości i finansów oraz dyrektora Centrum Studiów nad Nadużyciami i Korupcją na Uniwersytecie Saint Xavier, za jego przemyślenia na temat usług takich jak mennica i kapitał osobisty. Podzielił się kilkoma cennymi przemyśleniami na temat tego, jak zważyć potencjalne ryzyko i korzyści wynikające z używania narzędzi opartych na chmurze:
Jeśli chodzi o ogólne przemyślenia na temat przechowywania danych w chmurze, przekazując je Amazonowi, Microsoftowi, Dropbox, Equifax, Twojemu bankowi, Google, Facebookowi lub komukolwiek… czy to bezpieczne? Najnowsze wiadomości ujawniają wiele, wiele firm, które ucierpiały w wyniku naruszenia bezpieczeństwa danych z rąk cyberprzestępców.
Czy Twoje dane mogą zostać skradzione, jeśli przekażesz je do chmury? TAk.
Dlatego decydujesz się na bezpieczne przechowywanie swoich danych w domu. Czy można go ukraść? Również tak. Cyberprzestępcy mogą włamać się do Twojego domowego komputera, domowej sieci Wi-Fi, termostatu z dostępem do Internetu lub dzwonka do drzwi itp.
Za chmurą przemawia to, że duża firma, taka jak Amazon czy Microsoft, może mieć więcej zasobów i lepiej radzić sobie z bezpieczeństwem defensywnym niż ty w domu. I z pewnością w najlepszym interesie ich firmy jest dołożenie wszelkich starań, aby zachować bezpieczeństwo. Oferują również nadmiarową pamięć masową w zakresie, w jakim nie wystarczyłoby przechowywać dane w domu, gdzie dysk twardy mógłby wybuchnąć lub dom spłonął wraz z danymi. Tak więc często jest to akceptowalne ryzyko.
Nie mam bezpośredniego osobistego doświadczenia z Mint lub Personal Capital. Rozumiem, że te zewnętrzne usługi agregatów danych finansowych są takie, że działają one poprzez gromadzenie wszystkich Twoich dane finansowe w jednym miejscu i oferując swoim klientom wygodę w postaci ładnych wykresów i wykresów. Oznacza to, że muszą współpracować z Twoim bankiem, brokerem itp. aby uzyskać dostęp do swoich transakcji. Zakres i rodzaj dostępu, jaki będą mogli uzyskać, może zależeć od tego, czy instytucja finansowa postrzega ich jako partnera czy konkurenta.
Problemem, który przychodzi mi do głowy, jest wielkość powierzchni ataku. Jeśli twój bank i agregator mają kopię twoich informacji, daje to przestępcy dwa możliwe cele, z których może je ukraść. Ponadto, jeśli wszystkie informacje są gromadzone w jednym miejscu, zamiast włamywać się na wiele kont, przestępca ma teraz możliwość robienia zakupów w jednym miejscu.
Zawsze będzie ryzyko. Żaden system nigdy nie będzie całkowicie bezpieczny. Zawsze będą słabe punkty i źli ludzie, którzy będą chcieli je wykorzystać. Ale zawsze sprowadza się do indywidualnej oceny, czy ryzyko jest rozsądne, czy minimalne w porównaniu z korzyścią z usługi.
Twoje dane nie są w 100% bezpieczne w domu i nie są w 100% bezpieczne w chmurze.
Ale firmy, którym ufasz w zakresie swoich danych, będą miały zabezpieczenia („zabezpieczenia obronne”), aby Cię chronić.
Przyjrzyjmy się bliżej Kapitałowi Osobistemu i temu, co robią, aby zabezpieczyć Twoje dane.
Jak bezpieczne są moje dane w kapitale osobistym?
Martwisz się, że Twoje dane będą przechowywane? Kapitał osobisty serwery?
Facetem, z którym chcesz porozmawiać, jeśli chodzi o bezpieczeństwo w Personal Capital, jest Fritz Robbins. Jest ich Chief Technology Officer i Chief Information Officer. Ma ponad 20-letnie doświadczenie w swojej dziedzinie, w tym trzyletni staż jako architekt systemowy w RSA Security i 8 lat prowadzenia własnej firmy zajmującej się inżynierią oprogramowania w pełnym cyklu życia. Posiada tytuł M.S. w informatyce na Uniwersytecie Stanforda.
(również, co to jest warte, założyciel Personal Capital Bill Harris był współzałożycielem PassMark Security, firmy który zbudował systemy uwierzytelniania online używane przez większość dużych banków, a Fritz Robbins był w tej firmie jako dobrze)
Zapytałem Fritza o bezpieczeństwo i wspomniał o kilku kwestiach, o których zagłębię się poniżej:
Naszym zdaniem przeglądanie kont bankowych i maklerskich za pośrednictwem Kapitału Osobistego jest *bezpieczniejsze* niż bezpośrednie przejście do strony bankowej/maklerskiej z przeglądarki. Dotknąłeś wielu powodów, dla których:
- Twoje dane uwierzytelniające są przechowywane w bezpiecznym centrum danych, a nie zawsze są przesyłane przez przeglądarkę użytkownika (zazwyczaj mniej bezpieczną)
- Połączenie jest tylko do odczytu i żadne pieniądze nie mogą zostać przelane z konta bankowego/maklerskiego przez Kapitał osobisty, a hasła bankowe/maklerskie nigdy nie są zwracane do przeglądarki z naszego serwery.
- Nasza usługa zapewnia powiadomienia o wszystkich transakcjach bankowych/maklerskich (poprzez e-mail lub mobilny push) powiadomienia), które ułatwiają monitorowanie kont bankowych/maklerskich pod kątem oszustw, wszystko w jednym miejsce!
Nie na darmo, ale znajomość zasad bezpieczeństwa zespołu stojącego za Kapitałem Osobistym daje mi pewność, że są na szczycie swojej gry.
Kapitał osobisty zapewnia bezpieczeństwo danych na dwa sposoby:
- Używają bardzo silnego szyfrowania i,
- Mają ścisłą wewnętrzną kontrolę dostępu.
Szybki podkład do szyfrowania
(kliknij, aby rozwinąć tę sekcję i przeczytaj elementarz dotyczący szyfrowania)
Jeśli chcesz zaszyfrować coś, co tylko ja mogę odczytać, potrzebujesz mojego klucza publicznego. Szyfrujesz swoją wiadomość moim kluczem publicznym, a następnie przekazujesz zaszyfrowaną wiadomość. Jedynym sposobem na odszyfrowanie jest użycie mojego klucza prywatnego (którym nigdy bym się nie udostępnił). Jeśli chcę wysłać Ci coś zaszyfrowanego, do zaszyfrowania będę potrzebować Twojego klucza publicznego. Tylko wtedy możesz go odszyfrować za pomocą swojego klucza prywatnego.
Zasadniczo w ten sposób działa współczesna komunikacja szyfrowana. Istnieją różne warianty, które zwiększają bezpieczeństwo, w zależności od Twoich potrzeb (więcej obręczy = bezpieczniejsze = więcej czasu).
Na przykład jedną z klasycznych odmian jest poleganie na kluczach „sesyjnych”, a nie „stałych”. To tak, jakby używać tymczasowego numeru karty kredytowej, a nie rzeczywistego. Dla każdej rozmowy tworzysz nowe klucze, które wygasają po zakończeniu sesji.
Inną wariacją jest sposób, w jaki uzyskujemy klucze publiczne do siebie. Możemy je po prostu opublikować, co zwykle jest w porządku, lub możemy użyć tak zwanej Wymiana kluczy z krzywą eliptyczną Diffie-Hellmana (ECDHE). To bardziej tymczasowe klucze, których tylko my dwoje użylibyśmy podczas tej pojedynczej sesji. To właśnie wykorzystuje Kapitał Osobisty.
Kiedy wprowadzasz dane uwierzytelniające bank do Personal Capital, szyfrują je za pomocą AES-256 z wielowarstwowym zarządzaniem kluczami, które obejmuje rotację kluczy i soli specyficznych dla użytkownika. AES-256 to Advanced Encryption Standard (AES) i jest złotym standardem określonym przez NIST, Narodowy Instytut Standardów i Technologii Stanów Zjednoczonych. 256 odnosi się do długości używanego klucza, a 256-bitów jest najdłuższym. Jest to również to samo szyfrowanie, którego używa rząd USA.
Nigdy nie przechowują twoich finansowych danych logowania. Dane te są szyfrowane i przechowywane w Envestnet Yodlee, platformie, która obsługuje listę usług finansowych oraz narzędzi i firm do zarządzania majątkiem. Yodless jest okresowo kontrolowany przez Biuro Kontrolera Waluty i dostępne są ich procesy bezpieczeństwa tutaj.
Jeśli chodzi o wewnętrzną kontrolę dostępu, nikt w Personal Capital nie ma dostępu do twoich danych uwierzytelniających. Zero.
Jak bezpieczne jest połączenie z kapitałem osobistym?
Twoje dane są bezpieczne i zaszyfrowane na ich serwerach, ale muszą się tam dostać jako pierwsze bez podglądania.
W tym miejscu szyfrowanie odgrywa jeszcze jedną rolę.
Cała twoja interakcja online z kapitałem osobistym jest zaszyfrowana, więc nikt nie może odszyfrować tego, co komunikujesz z serwerami kapitału osobistego. Wolą TLS 1.2, ale także wspierają TLS 1.1 i TLS 1.0. Nie zezwalają na inne mniej bezpieczne protokoły. W szyfrowaniu musisz wymieniać klucze podczas sesji komunikacji i używają wymiany kluczy ECDHE dla Perfect Forward Secrecy (przeczytaj elementarz szyfrowania, aby uzyskać więcej informacji).
Wymagają również Autoryzacja dwuetapowa. Oznacza to, że jeśli zalogujesz się z nieznanego lub nowego urządzenia, potwierdzą to przez Twój telefon lub e-mail (wybierasz podczas konfiguracji). Uważam, że jest to pozycja obowiązkowa dla każdej instytucji finansowej, a są banki, które jeszcze tego nie mają!
Na koniec ich aplikacje są testowane przez NowSecure i proces certyfikacji AppSecure.
Jak kapitał osobisty chroni przed oszustwami
Do tej pory rozmawialiśmy tylko o tym, w jaki sposób Kapitał Osobisty chroni Ciebie i Twoje dane. Co jeśli dane są złe?
Co się stanie, jeśli Twoja karta kredytowa zostanie użyta w nieuczciwy sposób? Kapitał osobisty monitoruje twoje transakcje i może wysłać ci e-mail z Daily Transaction Monitor, który zawiera listę wszystkiego, co widział tego dnia. Zamiast przeglądać swoje zestawienie pod koniec miesiąca, przeglądasz je codziennie, gdy twoja pamięć jest świeża. Możesz nie pamiętać transakcji sprzed dwóch tygodni, ale jeśli zdarzyła się dzisiaj, to pamiętasz.
ja osobiście ustaw powiadomienia o transakcjach dla dowolnej kwoty powyżej 0 USD lub 1 USD (w zależności od karty, niektórzy nie pozwolą ci zrobić 0 USD, ale jest to dobra alternatywa, jeśli uważasz, że poziom powiadomień jest przesadny (prawdopodobnie tak).
Czy kapitał osobisty jest bezpieczny?
TAk, Kapitał osobisty może być bezpieczniejszy niż Twój bank.
(To jest troska, która najbardziej martwi ludzi.)
Jak jest Kapitał osobisty będzie bezpieczniejszy niż Twój bank?
Robią wszystko, co robi Twój bank, a w niektórych przypadkach nawet więcej:
- Jest tylko do odczytu. Kiedy połączysz swoje konta z Kapitałem Osobistym, Kapitał Osobisty nie może robić wszystko oprócz odczytu danych. Nie możesz przelać środków.
- To nie jest atrakcyjny cel. Jest tylko do odczytu, a Twoje dane uwierzytelniające są przechowywane w innym miejscu (Yodlee).
- Posiada autoryzację dwuskładnikową. Nie wszystkie banki mają autoryzację dwuskładnikową (oszałamiająca, ale prawdziwa), ale kapitał osobisty ma. To dodatkowa i niezbędna warstwa bezpieczeństwa.
- Szyfrują wszystko do 256 bitów. przeciwko brutalnemu atakowi, zajęłoby to 1 miliard miliardów lat.
- Jeden punkt dostępu dla wielu banków oznacza, że nie musisz logować się do każdego z nich indywidualnie. W rzeczywistości, kiedy logujesz się do swojego kapitału osobistego, nigdy nie musisz wprowadzać swoich danych uwierzytelniających bank, więc nigdy nie zostaną one przesłane. Jeśli Twój komputer zostanie naruszony przez złośliwe oprogramowanie lub keylogger, Twoje konta finansowe są bezpieczne.
Nic nie jest w 100% bezpieczne
Jak mówią, jedyną rzeczą, która jest w 100% bezpieczna, jest abstynencja.
Nic innego nie jest w 100% bezpieczne. Kapitał osobisty nie jest w 100% bezpieczny. ten najlepsze alternatywy dla Kapitału Osobistego nie są też w 100% bezpieczne.
Jeśli dodasz do systemu kolejną warstwę, jest to kolejna warstwa, którą można zaatakować.
To powiedziawszy, musisz rozważyć korzyści, jakie czerpiesz z ich używania (możesz przeczytaj moją recenzję Kapitału Osobistego zobaczyć w nich wszystko, co lubię i nie lubię) w porównaniu z małą szansą, że zostaną zaatakowani.
Osobiście czuję się komfortowo z ich używaniem, ale ostatecznie to Ty decydujesz. Wprowadzili wszystkie odpowiednie zabezpieczenia, często wyższe standardy niż jest to wymagane, i to mi wystarcza.
Sprawdź kapitał osobisty