¿El banco solicitó un inicio de sesión cruzado?

Hay algunas respuestas a esto, pero agregaré una perspectiva única:

  

¡¿Esto es común ahora ?! Por el contrario, ¿es nuevo?

Es relativamente nuevo, pero será un lugar común. Las instituciones financieras orientadas al consumidor en los EE. UU. Han tenido un tiempo terrible para actualizar su infraestructura y comprender qué papel desempeñan en la evolución de la infraestructura financiera y de pago basada en Internet.

Una cosa que entienden ahora, después de muchos inicios falsos, es que cada uno de ellos es un proveedor de identidad, francamente en mayor grado que cualquier correo electrónico o plataforma de redes sociales.

Este entendimiento es por qué están consumiendo y utilizando las credenciales de los clientes entre sí, y no introduciendo algún otro esquema de autenticación delegado. ¿A quién podrían delegar? Facebook?

Este es también el modelo que los agregadores, enlace es uno de los más agresivos en este espacio- están tomando, obviamente con la plena cooperación de bancos.

  

¿Sería realmente ilegal de alguna manera?

No. Por loco que parezca, este enfoque se resuelve con mayor precisión para el dominio de confianza y el modelo de amenaza.

  

Parece increíble que otros bancos no los bloqueen una vez que se enteren de la práctica, o al menos se quejen amargamente.

No, todo lo contrario. Los bancos tienen décadas, a veces siglos, de confianza compartida y responsabilidad mutua, e innumerables capas de integración técnica y administrativa.

Nuevamente, piense en un banco como el proveedor de identidad original, incluso más que en un gobierno, porque los sistemas de crédito y contabilidad son anteriores a los gobiernos.

Es un tema aparte si los bancos están técnicamente equipados para desempeñar este papel, y si los consumidores y los bancos comprenden mutuamente todas las suplantaciones y los confusos riesgos de los diputados.

Desde una perspectiva estructural, no tienen más remedio que abordarlo de esta manera.

Descargo de responsabilidad: IANAL

  

1 es esto común ahora ?! a la inversa, ¿es nuevo?

La primera vez que lo leo, pero sé que muchos sistemas bancarios en línea proponen agregar sus otras cuentas bancarias en su sitio. El mío se lo propuso pero lo rechacé, por lo que no puedo decir exactamente cómo logran demostrar al banco tercero que el cliente les permite reunir elementos de la cuenta. El número de cuenta es seguro, no lo sé para otras credenciales . El objetivo es recopilar toda su información bancaria, porque esto tiene valor para los anunciantes.

  

¿2 sería realmente ilegal de alguna manera?

Como ya dije IANAL. Pero no puedo imaginar por qué podría ser ilegal: te piden información sobre cómo la usarán. Usted es el propietario de la información y puede elegir compartirla con ellos o no. El único punto que podría ser ilegal sería que declaren no almacenar un elemento y realmente almacenarlo. Siendo profesionales, también tienen que proteger sus datos confidenciales, pero siempre que no se transmitan en texto claro ni se almacenen, asumo que es suficiente.

  

3 parece increíble que otros bancos no los bloqueen una vez que se enteren de la práctica, o al menos se quejen amargamente.

No es tan simple. El otro banco tiene un contrato con usted que le permite realizar una serie de operaciones siempre que pueda probar que tiene una cuenta, una contraseña y un código único enviado a un dispositivo o dirección de correo. Usted es responsable de asegurar esos elementos y les pide implícitamente que cumplan con cualquier solicitud que los presente. Probablemente estarían más contentos si utilizara su propio sistema para conectarse a sus otras cuentas bancarias, pero no puedo imaginar un punto legal para evitar que utilice un sistema de valor añadido de terceros.

Ahora para mi opinión. Desde el punto de vista de la seguridad, un secreto nunca debe ser compartido por más de 2 entidades. Por lo tanto, nunca publicaría mis credenciales para un sitio en un sitio de una compañía de terceros, sea cual sea el motivo. Sé que esto evitará que use algunos agregadores de valor agregado sexy y lo acepto. Al menos intentaré mantener esa política de seguridad mientras pueda ...

Sí, esto es ahora una cosa.

Aquí, Alemania tiene un nuevo proveedor de pagos en línea que le permitirá pagar cualquier factura en línea al iniciar sesión en su cuenta bancaria y realizar la transferencia de dinero por usted. Qué conveniente, no escriba incorrectamente ningún número de cuenta y solo necesita darles sus datos de inicio de sesión : ¿ve la similitud?

No tengo la menor idea de cómo se creó este servicio, quién pensó que era una idea que valía la pena financiar y quién la usa realmente.

Así que sí, esto es una cosa ahora, su banco no es el único que lo está haciendo, debe ser por mucho, mucho tiempo, la idea más tonta que se le haya ocurrido a este siglo y que los grandes bancos se han inscrito en Es una de esas cosas que solo puedes explicar con una fuerte convicción de que los tiempos finales están cerca, ¿a quién le importa?

  

¿Soy yo o está totalmente mal?!?

Desafortunadamente, solo somos tú y yo. Porque sí, esto es tan totalmente erróneo que debería haber una palabra separada para expresar qué tan equivocado está.

He visto esta misma cosa ofrecida por dos bancos diferentes en el último año. Una vez opté por los dos depósitos y la otra vez utilicé el formulario de inicio de sesión porque preferí que mi cuenta vinculada se verificara instantáneamente y funcionó. Recuerdo que la primera vez que vi esto tuve una reacción similar a usted, pero tiene sentido en la situación en la que desea una verificación instantánea (¡como cuando realiza su primer pago de hipoteca con un nuevo administrador en la fecha de vencimiento!) I opté por cambiar mi contraseña poco después de hacer esto, probablemente más por paranoia que por necesidad.

En cuanto a la legalidad del mismo, mi banco también declaró que no retendría ninguna de mis credenciales, y la única manera de ver que esto sea ilegal es si realmente lo retuvieron (ya sea intencional o accidentalmente). Pero incluso entonces probablemente tendrían que ser pirateados y comprobaron que guardaron las credenciales para que entrara en juego la legalidad. (Al igual que el hackeo de AM, las cuentas eliminadas no se eliminaron en realidad a pesar de que los usuarios pagaron extra por ese servicio).

Por lo tanto, es una compensación. Sin duda, es una mala práctica en general ingresar una contraseña bancaria en un sitio fuera de ese banco, sin embargo, si su objetivo es la verificación instantánea, y dado que simplemente puede cambiar su contraseña inmediatamente después, no veo personalmente ningún problema. Ofreciéndolo como una opción. Dicho esto, si fuera la opción only , entonces creo que tendría un problema grande con