Чи безпечний особистий капітал? Пояснення безпеки особистого капіталу

БлогІнвестуйте розсудливоAug 18, 2021
instagram viewer

я використовую Особистий капітал щомісяця до збирати інформацію про мою чисту вартість. Я займався цим протягом більше десятиліття.

Коли я кажу людям, що використовую для цього інструмент, вони всі задають мені одне і те ж питання - чи безпечний особистий капітал?

Безпека - одна з найбільших проблем людей, які мають будь -який фінансовий агрегатор або інструмент. Незалежно від того, чи це Монетний двір, Особистий капітал чи якась інша служба - розміщення ваших даних у «хмарі» може засмутити. Це особливо вірно з огляду на те, скільки хаків ми бачили останнім часом. Equifax, одне з найбільших агентств кредитної звітності, було зламано, а 143 мільйони споживачів були викрадені. Це було колосально.

Як ви знаєте, що ваші дані будуть безпечними в іншій компанії?

Це зводиться до двох ключових частин - як вони захищають вашу інформацію, коли вони її мають, і як вони захищають передачу вашої інформації, коли вони її отримують.

Зміст
  1. Дві ключові зони безпеки
  2. Наскільки безпечні мої дані в хмарі?
  3. Наскільки безпечні мої дані щодо особистого капіталу?
  4. Швидкий праймер щодо шифрування
  5. Наскільки безпечним є зв'язок з особистим капіталом?
  6. Як особистий капітал захищає від шахрайства
  7. Чи безпечний особистий капітал?
  8. Ніщо не є на 100% безпечним

Дві ключові зони безпеки

Що стосується фінансових додатків та безпеки, слід звернути увагу на два ключових моменти:

  1. Наскільки безпечними є мої дані - Коли ви надаєте інструменту свої дані, як вони зберігаються та захищаються? Що зберігається і де зберігається? Як контролюють працівників, щоб запобігти будь -якому виду крадіжок?
  2. Наскільки безпечним є з'єднання - Наскільки безпечним є це з'єднання під час спілкування з інструментом? Коли ви входите, коли ви переглядаєте свої дані, коли ви щось оновлюєте, коли ви надаєте їм свої облікові дані... передача цих даних піддається ризику.

Інформація, яку ви вводите в систему, має бути безпечною у місці її зберігання. Спосіб передачі цієї інформації також має бути безпечним.

Наскільки безпечні мої дані в хмарі?

Одна з найбільших проблем, які викликають у людей такі інструменти, як особистий капітал, - це розміщення даних у «хмарі».

Я звернувся до Девіда М. Паркер, доц. Проф., Розд. бухгалтерського обліку та фінансів та директора Центру вивчення шахрайства та корупції при Університеті Сент -Ксав’є, за думки щодо таких послуг, як монетний двір та особистий капітал. Він поділився деякими цінними думками щодо того, як зважити потенційні ризики та вигоди від використання хмарних інструментів:

Девід М. Паркер, доц. Проф., Розд. бухгалтерського обліку та фінансів та директор, Центр вивчення шахрайства та корупції

Що стосується загальних думок щодо зберігання даних у хмарі, передаючи свої дані Amazon, Microsoft, Dropbox, Equifax, вашому банку, Google, Facebook чи комусь іншому... чи це безпечно? Останні новини показують багато, багато компаній, які зазнали порушень даних з боку кіберзлочинців.

Чи можна вкрасти ваші дані, якщо ви передасте їх у хмару? Так.

Отже, ви вирішили зберегти свої дані вдома. Чи можна його вкрасти? Також так. Кіберзлочинці можуть проникнути у ваш домашній комп’ютер, домашній wi-fi, ваш термостат або дзвінок у двері тощо.

Моменти на користь хмари включають те, що велика компанія, така як Amazon або Microsoft, може мати більше ресурсів і краще захищати свою безпеку, ніж ви вдома. І, звичайно, в інтересах їхнього бізнесу робити все можливе, щоб залишатися в безпеці. Вони також пропонують надлишкове сховище до такої міри, що ви б не просто зберігали свої дані вдома, де ваш жорсткий диск може підірватись або ваш будинок згоріти з вашими даними. Отже, це часто є прийнятним ризиком.

У мене немає прямого особистого досвіду роботи з Монетним двором або Особистим капіталом. Я розумію ці послуги агрегатора фінансових даних третіх сторін у тому, що вони працюють, збираючи всі ваші фінансові дані в одному місці і пропонують своїм клієнтам зручність у результаті приємних графіків та діаграм. Це означає, що їм потрібно працювати з вашим банком, посередником тощо. щоб отримати доступ до ваших транзакцій. Обсяг і тип доступу, який вони зможуть отримати, можуть залежати від того, чи розглядає їх фінансова установа як партнера чи конкурента.

Питання, яке мені спадає на думку, - це розмір поверхні атаки. Якщо і ваш банк, і ваш агрегатор мають копію вашої інформації, це дає злочинцеві дві можливі цілі, з яких можна її вкрасти. Крім того, якщо вся ваша інформація збирається в одному місці, замість того, щоб зламувати кілька облікових записів, злочинець тепер має єдину покупку.

Ризики завжди будуть. Жодна система ніколи не буде абсолютно безпечною. Завжди будуть вразливі місця і погані люди, готові ними скористатися. Але це завжди зводиться до індивідуального судження про те, чи є ризик розумним чи мінімальним у порівнянні з користю послуги.

Ваші дані не є на 100% безпечними вдома та не на 100% безпечними в хмарі.

Але компанії, яким ви довіряєте свої дані, матимуть захисні засоби ("захисна безпека"), щоб захистити вас.

Давайте детальніше розглянемо Особистий капітал і те, що вони роблять для захисту ваших даних.

Наскільки безпечні мої дані щодо особистого капіталу?

Ви турбуєтесь про збереження ваших даних Особистий капітал сервери?

Хлопець, з яким ви хочете поговорити, коли йдеться про безпеку в Personal Capital, - це Фріц Роббінс. Він є їхнім головним технічним директором та головним інформаційним директором. Він має більш ніж 20-річний досвід у їхній галузі, включаючи трирічний досвід роботи системним архітектором у RSA Security та 8 років керування власною компанією з програмного забезпечення з повного циклу роботи. Він має диплом магістра наук на факультет інформатики зі Стенфордського університету.

(також, чого б це не вартувало, засновник Personal Capital Білл Харріс співзасновник компанії PassMark Security що створили системи аутентифікації в Інтернеті, які використовуються більшістю великих банків, і Фріц Роббінс був у цій компанії як добре)

Я запитав Фріца про безпеку, і він згадав декілька моментів, про які я занурюсь нижче:

Фріц Роббінс, головний технічний директор/інформаційний директор з особистого капіталу

Наша точка зору полягає в тому, що перегляд ваших банківських та брокерських рахунків за допомогою Personal Capital є * безпечнішим *, ніж перехід безпосередньо на веб -сайт банківської/брокерської служби з вашого браузера. Ви торкнулися багатьох причин, чому:

  1. Ваші облікові дані зберігаються у захищеному центрі обробки даних, а не завжди передаються через браузер користувача (як правило, менш захищений)
  2. З’єднання доступне лише для читання, і гроші з вашого банківського/посередницького рахунку не можуть бути переведені через Особистий капітал та ваші банківські/брокерські паролі ніколи не повертаються у наш браузер із нашого серверів.
  3. Наш сервіс надає вам сповіщення про всі банківські/брокерські операції (електронною поштою або мобільним телефоном сповіщення), які полегшують вам моніторинг ваших банківських/брокерських рахунків на предмет шахрайства, все в одному місце!

Не дарма, але знання про безпеку команди, що стоїть за Personal Capital, дає мені впевненість, що вони на першому місці своєї гри.

Існує два способи захисту особистого капіталу ваших даних:

  • Вони використовують дуже потужне шифрування та,
  • Вони мають суворий внутрішній контроль доступу.

Швидкий праймер щодо шифрування

(клацніть, щоб розгорнути цей розділ і прочитати буквар щодо шифрування)

Шифрування захоплює. Основна ідея шифрування полягає в тому, що у вас є два ключі, відкритий ключ і приватний ключ.

Якщо ви хочете зашифрувати те, що тільки я можу прочитати, вам потрібен мій відкритий ключ. Ви шифруєте своє повідомлення за допомогою мого відкритого ключа, а потім передаєте зашифроване повідомлення. Єдиний спосіб його розшифрування - це використання приватного ключа (яким я ніколи б не поділився). Якщо я хочу надіслати вам щось зашифроване, мені знадобиться ваш відкритий ключ для його шифрування. Тоді ви зможете розшифрувати його за допомогою свого приватного ключа.

По суті, сучасні зашифровані комунікації працюють саме так. Існують варіанти, щоб зробити його більш безпечним, залежно від ваших потреб (більше обручів = безпечніше = більше часу).

Наприклад, один класичний варіант - покладатися на ключі "сесії", а не на "постійні". Це як використання тимчасового номера кредитної картки, а не фактичного. Для кожної розмови ви створюєте нові ключі, термін дії яких закінчується після закінчення сеансу.

Інший варіант - це те, як ми отримуємо відкриті ключі один до одного. Ми можемо просто опублікувати їх, і це зазвичай нормально, або ми можемо використовувати те, що відомо як Обмін ключами еліптичної кривої Діффі-Хеллмана (ECDHE). Це лише тимчасові ключі, які ми лише вдвох використовували б для цього єдиного сеансу. Ось що використовує особистий капітал.

AES-256-серйозне серйозне шифрування.

Коли ви вводите свої банківські дані в Personal Capital, вони шифрують його за допомогою AES-256 за допомогою багатошарового керування ключами, яке включає обертаються ключі та солі, що змінюються користувачем. AES-256 є розширеним стандартом шифрування (AES) і є золотим стандартом, визначеним NIST, Національним інститутом стандартів і технологій США. 256 відноситься до довжини використовуваного ключа, а 256-бітовий-найдовший. Це також те саме шифрування, що використовується урядом США.

Вони ніколи не зберігають ваші облікові дані для фінансового входу. Ці дані зашифровані та зберігаються на Envestnet Yodlee, платформі, яка надає перелік фінансових послуг та інструментів та компаній з управління багатством. Yodless періодично перевіряється Офісом контролера валюти, і доступні їх процеси безпеки тут.

Що стосується внутрішнього контролю доступу, ніхто в Personal Capital не має доступу до ваших облікових даних. Нуль.

Наскільки безпечним є зв'язок з особистим капіталом?

Ваші дані є безпечними та зашифрованими на їх серверах, але спочатку вони мають потрапити туди, без того, щоб хтось заглянув.

Тут шифрування відіграє ще одну роль.

Вся ваша онлайн -взаємодія з Personal Capital зашифрована, тому ніхто не може розшифрувати те, що ви спілкуєтесь із серверами Personal Capital. Вони віддають перевагу TLS 1.2, але також підтримують TLS 1.1 та TLS 1.0. Вони не дозволяють інші менш безпечні протоколи. При шифруванні вам потрібно обмінятися ключами під час сеансу спілкування, і вони використовують обмін ключами ECDHE для ідеальної вперед секретності (прочитайте грунтовку шифрування для отримання додаткової інформації).

Вони також вимагають Двофакторний дозвіл. Це означає, що якщо ви входите з невідомого або нового пристрою, вони підтвердять, що це ви за допомогою телефону або електронної пошти (ви вибираєте, коли його налаштовуєте). Я вважаю, що це необхідно для будь -якої фінансової установи, і є деякі банки, у яких цього ще немає!

Нарешті, їхні програми тестуються NowSecure та процес сертифікації AppSecure.

Як особистий капітал захищає від шахрайства

До цього моменту ми говорили лише про те, як особистий капітал захищає вас та ваші дані. Що робити, якщо дані погані?

Що робити, якщо ваша кредитна картка використовується шахрайським способом? Personal Capital відстежує ваші транзакції і може надіслати вам електронний лист щоденного монітора транзакцій із переліком всього, що він бачив за цей день. Замість того, щоб переглядати свою заяву в кінці місяця, ви переглядаєте її щодня, коли ваша пам’ять свіжа. Можливо, ви не пам’ятаєте транзакцію за два тижні тому, але якщо вона сталася сьогодні, ви це зробите.

Я особисто встановити сповіщення про транзакції на будь -яку суму вище 0 доларів або 1 долар США (залежить від картки, деякі не дозволять вам зробити $ 0), але це хороша альтернатива, якщо ви відчуваєте, що рівень сповіщень надмірний (ймовірно, що це так).

Чи безпечний особистий капітал?

так, Особистий капітал насправді може бути безпечнішим, ніж ваш банк.

(Це найбільше хвилює людей.)

Як Особистий капітал буде безпечніше, ніж ваш банк?

Вони роблять все, що робить ваш банк, а в деяких випадках і більше:

  1. Він доступний лише для читання. Коли ви підключаєте свої рахунки до особистого капіталу, особистий капітал не може робити нічого, крім прочитання даних. Ви не можете переказувати кошти.
  2. Це не приваблива мета. Він доступний лише для читання, а ваші облікові дані зберігаються в іншому місці (Yodlee).
  3. Він має двофакторну авторизацію. Не всі банки мають двофакторну авторизацію (приголомшливу, але правдиву), але особистий капітал має. Це додатковий і необхідний рівень безпеки.
  4. Вони шифрують все до 256 біт. Проти нападу грубої сили, це займе 1 мільярд мільярдів років.
  5. Одна точка доступу для кількох банків означає, що вам не потрібно входити в кожен з цих банків окремо. Насправді, коли ви входите у свій особистий капітал, вам ніколи не доведеться вводити свої банківські дані, щоб він ніколи не передавався. Якщо ваш комп’ютер зламаний шкідливим програмним забезпеченням або кейлоггером, ваші фінансові рахунки захищені.

Ніщо не є на 100% безпечним

Як то кажуть, єдине, що на 100% безпечно - це утримання.

Ніщо інше не є на 100% безпечним. Особистий капітал не є на 100% безпечним. The найкращі альтернативи особистому капіталу також не на 100% безпечні.

Якщо додати до системи ще один шар, це може бути інший шар, який можна атакувати.

Тим не менш, ви повинні зважити переваги, які ви отримуєте від їх використання (ви можете почитайте мій огляд Personal Capital бачити все, що мені подобається і що мені не подобається), порівняно з невеликим шансом на них напасти.

Мені особисто зручно користуватися ними, але це вирішувати вам. Вони встановили всі належні засоби захисту, часто вищі стандарти, ніж потрібно, і це для мене досить добре.

Перевірте особистий капітал

click fraud protection