Безопасен ли личный капитал? Объяснение безопасности личного капитала

БлогРазумно инвестируйтеAug 18, 2021
instagram viewer

я использую Личный капитал на ежемесячной основе собирать информацию о моем собственном капитале. Я занимаюсь этим более десяти лет.

Когда я говорю людям, что использую для этого инструмент, все они задают мне один и тот же вопрос - безопасен ли Personal Capital?

Безопасность - одна из самых больших проблем, с которыми люди сталкиваются при работе с любым финансовым агрегатором или инструментом. Будь то Mint, Personal Capital или какой-либо другой сервис - размещение ваших данных в «облаке» может нервировать. Это особенно верно, учитывая, сколько взломов мы видели за последнее время. Equifax, одно из крупнейших агентств кредитной информации, было взломано, и данные 143 миллионов потребителей были украдены. Это было огромно.

Откуда вы знаете, что ваши данные будут в безопасности в другой компании?

Все сводится к двум ключевым частям: как они защищают вашу информацию, когда она у них есть, и как они защищают передачу вашей информации, пока они ее получают.

Оглавление
  1. Две ключевые области безопасности
  2. Насколько безопасны мои данные в облаке?
  3. Насколько безопасны мои данные в Personal Capital?
  4. Краткое руководство по шифрованию
  5. Насколько безопасна связь с личным капиталом?
  6. Как личный капитал защищает от мошенничества
  7. Безопасен ли личный капитал?
  8. Нет ничего безопасного на 100%

Две ключевые области безопасности

Когда дело доходит до финансовых приложений и безопасности, стоит обратить внимание на два ключевых момента:

  1. Насколько безопасны мои данные - Когда вы отдаете инструменту свои данные, как они хранятся и защищаются? Что хранится и где хранится? Как контролируются сотрудники, чтобы предотвратить любые кражи?
  2. Насколько безопасно подключение - Когда вы общаетесь с инструментом, насколько безопасно это соединение? Когда вы входите в систему, когда просматриваете свои данные, когда вы что-либо обновляете, когда вы даете им свои учетные данные... передача этих данных подвержена риску.

Информация, которую вы вводите в систему, должна находиться в надежном месте ее хранения. Способ передачи этой информации также должен быть безопасным.

Насколько безопасны мои данные в облаке?

Одна из самых больших проблем, с которыми люди сталкиваются с такими инструментами, как Personal Capital, - это хранение их данных в «облаке».

Я обратился к Дэвиду М. Паркер, ассистент. Проф., Div. отдела бухгалтерского учета и финансов и директора Центра изучения мошенничества и коррупции в Университете Святого Ксавьера за его мысли о таких услугах, как Mint и Personal Capital. Он поделился некоторыми ценными мыслями о том, как взвесить потенциальные риски и выгоды от использования облачных инструментов:

Дэвид М. Паркер, ассистент. Проф., Div. бухгалтерского учета и финансов и директор Центра изучения мошенничества и коррупции

Что касается общих мыслей о хранении данных в облаке путем передачи ваших данных Amazon, Microsoft, Dropbox, Equifax, вашему банку, Google, Facebook или кому-либо еще… безопасно ли это? Последние новости показывают, что многие компании пострадали от утечки данных из-за киберпреступников.

Могут ли ваши данные быть украдены, если вы передадите их в облако? да.

Итак, вы решили хранить свои данные дома в безопасности. Его можно украсть? Также да. Киберпреступники могут взломать ваш домашний компьютер, домашний Wi-Fi, термостат с подключением к Интернету, дверной звонок и т. Д.

В пользу облака входит то, что у такой крупной компании, как Amazon или Microsoft, может быть больше ресурсов, и она лучше справляется с защитой, чем вы дома. И, конечно же, делать все возможное, чтобы оставаться в безопасности, в интересах их бизнеса. Они также предлагают избыточное хранилище в такой степени, в которой вы не могли бы просто хранить свои данные дома, где ваш жесткий диск может взорваться или ваш дом с вашими данными может сгореть. Так что часто это приемлемый риск.

У меня нет прямого личного опыта работы с Mint или Personal Capital. Насколько я понимаю, эти сторонние сервисы агрегатора финансовых данных работают, собирая все ваши финансовые данные в одном месте и предлагать своим клиентам удобство в виде красивых графиков и диаграмм. Это означает, что им нужно работать с вашим банком, брокером и т. Д. чтобы получить доступ к вашим транзакциям. Степень и тип доступа, который они смогут получить, могут зависеть от того, рассматривает ли финансовое учреждение их как партнера или конкурента.

Мне приходит в голову проблема с размером поверхности атаки. Если и у вашего банка, и у вашего агрегатора есть копия вашей информации, это дает преступнику две возможные цели для ее кражи. Кроме того, если вся ваша информация собирается в одном месте, вместо того, чтобы взламывать несколько учетных записей, у преступника теперь есть все необходимое.

Всегда будут риски. Никакая система никогда не будет абсолютно безопасной. Всегда найдутся уязвимости и плохие люди, готовые ими воспользоваться. Но это всегда сводится к индивидуальному суждению о том, является ли риск разумным или минимальным по сравнению с выгодой от услуги.

Ваши данные не на 100% безопасны дома и не на 100% безопасны в облаке.

Но компании, которым вы доверяете свои данные, будут иметь меры безопасности («защитная безопасность»), чтобы защитить вас.

Давайте подробнее рассмотрим Personal Capital и то, что они делают для защиты ваших данных.

Насколько безопасны мои данные в Personal Capital?

Вы беспокоитесь о том, что ваши данные будут храниться на Личный капитал серверы?

Когда речь заходит о безопасности в Personal Capital, вам хочется поговорить с Фрицем Роббинсом. Он их технический директор и директор по информационным технологиям. Он имеет более чем 20-летний опыт работы в своей области, включая трехлетний опыт работы системным архитектором в RSA Security и 8 лет работы в собственной компании по разработке программного обеспечения полного жизненного цикла. Он имеет степень магистра. Кандидат компьютерных наук в Стэнфордском университете.

(Кроме того, как бы то ни было, основатель Personal Capital Билл Харрис стал соучредителем PassMark Security, компании которая построила онлайн-системы аутентификации, используемые большинством крупных банков, и Фриц Роббинс был с этой компанией в качестве хорошо)

Я спросил Фрица о безопасности, и он упомянул несколько моментов, о которых я подробнее расскажу ниже:

Фриц Роббинс, технический директор / ИТ-директор Personal Capital

Мы считаем, что просмотр ваших банковских и брокерских счетов через Personal Capital * безопаснее *, чем прямой переход на банковский / брокерский сайт из браузера. Вы затронули многие из причин, почему:

  1. Ваши учетные данные хранятся в безопасном центре обработки данных, а не всегда передаются через браузер пользователя (обычно менее безопасный).
  2. Соединение доступно только для чтения, и никакие деньги не могут быть переведены с вашего банковского / брокерского счета через Личный капитал и ваши банковские / брокерские пароли никогда не возвращаются в ваш браузер из наших серверы.
  3. Наш сервис уведомляет вас обо всех банковских / брокерских операциях (по электронной почте или через мобильный телефон). уведомления), которые упрощают отслеживание ваших банковских / брокерских счетов на предмет мошенничества, все в одном место!

Не зря, но знание того, что команда, стоящая за Personal Capital, в области безопасности, дает мне уверенность, что они на высоте.

Персональный капитал может защитить ваши данные двумя способами:

  • Они используют очень мощное шифрование и,
  • У них есть строгий внутренний контроль доступа.

Краткое руководство по шифрованию

(щелкните, чтобы развернуть этот раздел и прочитать учебник по шифрованию)

Шифрование - это увлекательно. Основная идея шифрования заключается в том, что у вас есть два ключа: открытый ключ и закрытый ключ.

Если вы хотите зашифровать что-то, что могу прочитать только я, вам понадобится мой открытый ключ. Вы шифруете свое сообщение моим открытым ключом, а затем передаете зашифрованное сообщение. Единственный способ расшифровать его - использовать мой закрытый ключ (которым я бы никогда не поделился). Если я хочу отправить вам что-то зашифрованное, мне понадобится ваш открытый ключ, чтобы зашифровать это. Только тогда вы сможете расшифровать его своим закрытым ключом.

По сути, все современные зашифрованные коммуникации работают именно так. В зависимости от ваших потребностей существуют варианты, позволяющие сделать его более безопасным (больше обручей = больше безопасности = больше времени).

Например, одним из классических вариантов является использование «сеансовых» ключей, а не «постоянных». Это все равно, что использовать номер временной кредитной карты, а не фактический. Для каждого разговора вы создаете новые ключи, срок действия которых истекает после завершения сеанса.

Другой вариант - это то, как мы передаем открытые ключи друг другу. Мы можем просто опубликовать их, и это обычно нормально, или мы можем использовать то, что известно как Обмен ключами Elliptic Curve Diffie-Hellman (ECDHE). Это скорее временные ключи, которые только мы двое будем использовать для этого единственного сеанса. Это то, что использует Personal Capital.

AES-256 - это серьезно серьезное шифрование.

Когда вы вводите свои банковские учетные данные в Personal Capital, они шифруют их с помощью AES-256 с многоуровневым управлением ключами, которое включает в себя ротацию пользовательских ключей и солей. AES-256 - это расширенный стандарт шифрования (AES) и золотой стандарт, установленный NIST, Национальным институтом стандартов и технологий США. 256 обозначает длину используемого ключа, а 256 бит - самый длинный. Это же шифрование, используемое правительством США.

Они никогда не хранят ваши учетные данные для входа в систему. Эти данные зашифрованы и хранятся на Envestnet Yodlee, платформе, которая поддерживает обширный список финансовых услуг и инструментов и компаний для управления капиталом. Yodless периодически проверяется Управлением финансового контролера, и их процессы безопасности доступны. здесь.

Что касается внутреннего контроля доступа, никто в Personal Capital не имеет доступа к вашим учетным данным. Нуль.

Насколько безопасна связь с личным капиталом?

Ваши данные в безопасности и зашифрованы на их серверах, но сначала они должны попасть туда, чтобы никто не заглядывал.

Вот где шифрование играет еще одну роль.

Все ваше онлайн-взаимодействие с Personal Capital зашифровано, поэтому никто не может расшифровать, что вы общаетесь с серверами Personal Capital. Они предпочитают TLS 1.2, но также поддерживают TLS 1.1 и TLS 1.0. Они не допускают использование других менее безопасных протоколов. При шифровании вам необходимо обмениваться ключами во время сеанса связи, и они используют обмен ключами ECDHE для Perfect Forward Secrecy (прочтите учебник по шифрованию для получения дополнительной информации).

Они также требуют 2-факторная авторизация. Это означает, что если вы войдете в систему с неизвестного или нового устройства, они подтвердят, что это вы, по телефону или электронной почте (вы выбираете при настройке). Я считаю, что это необходимо для любого финансового учреждения, а в некоторых банках этого еще нет!

Наконец, их приложения проходят тестирование NowSecure и в процессе сертификации AppSecure.

Как личный капитал защищает от мошенничества

До сих пор мы говорили только о том, как Personal Capital защищает вас и ваши данные. Что делать, если данные плохие?

Что делать, если ваша кредитная карта используется мошенническим способом? Personal Capital отслеживает ваши транзакции и может отправлять вам электронное письмо Daily Transaction Monitor со списком всего, что он видел в тот день. Вместо того, чтобы просматривать свое утверждение в конце месяца, вы просматриваете его ежедневно, когда ваша память свежа. Возможно, вы не помните транзакцию двухнедельной давности, но если она произошла сегодня, вы запомните.

Я лично установить уведомления о транзакциях для любой суммы, превышающей 0 или 1 доллар (в зависимости от карты, некоторые не позволят вам заработать 0 долларов), но это хорошая альтернатива, если вы чувствуете, что уровень уведомлений избыточен (вероятно, так и есть).

Безопасен ли личный капитал?

Да, Личный капитал может быть безопаснее, чем ваш банк.

(Это то, что беспокоит людей больше всего.)

Как Личный капитал будет безопаснее, чем ваш банк?

Они делают все, что делает ваш банк, а в некоторых случаях и многое другое:

  1. Он доступен только для чтения. Когда вы подключаете свои счета к Personal Capital, Personal Capital не может делать ничего, кроме чтения данных. Вы не можете переводить средства.
  2. Это не привлекательная цель. Он доступен только для чтения, и ваши учетные данные хранятся в другом месте (Йодли).
  3. Имеет двухфакторную авторизацию. Не все банки имеют двухфакторную авторизацию (потрясающе, но факт), но у Personal Capital есть. Это дополнительный и необходимый уровень безопасности.
  4. Они шифруют все до 256 бит. Против атаки грубой силы, это займет 1 миллиард миллиардов лет.
  5. Одна точка доступа для нескольких банков означает, что вам не нужно входить в каждый из этих банков по отдельности. Фактически, когда вы входите в свой Personal Capital, вам никогда не нужно вводить свои банковские реквизиты, поэтому они никогда не передаются. Если ваш компьютер взломан вредоносным ПО или кейлоггером, ваши финансовые счета в безопасности.

Нет ничего безопасного на 100%

Как говорится, на 100% безопасно только воздержание.

Все остальное не является безопасным на 100%. Личный капитал не на 100% безопасно. В лучшие альтернативы Personal Capital тоже не на 100% безопасны.

Если вы добавите в систему еще один уровень, это еще один уровень, который можно атаковать.

Тем не менее, вы должны взвесить преимущества, которые вы получаете от их использования (вы можете прочтите мой обзор Personal Capital видеть все, что мне нравится и не нравится в них) по сравнению с малой вероятностью нападения на них.

Мне лично комфортно их использовать, но в конечном итоге решать вам. Они установили все надлежащие средства защиты, часто более высокие стандарты, чем требуется, и этого для меня достаточно.

Ознакомьтесь с личным капиталом

click fraud protection