No.
Ni siquiera estoy hablando de si es lo suficientemente bueno para las finanzas o no, solo digo que si Google es la única forma de iniciar sesión en su servicio, entonces no lo usaré, y tampoco lo haré con otra privacidad. -conscientes usuarios.
Ahora, en el aspecto técnico. El uso de inicios de sesión de terceros es menos seguro porque una falla en el sitio de terceros también afectará al suyo, y el sitio de terceros puede hacerse pasar por cualquiera de sus usuarios. Con tu propio login, solo tienes que defender tu infraestructura. Con los inicios de sesión de terceros, tiene que defender su infraestructura y espero que la infraestructura del tercero sea segura.
En el aspecto legal, tener su propio sistema de inicio de sesión significa que usted tiene un mejor control y auditoría sobre quién hizo qué y cuándo, dónde y con Google (o cualquier servicio de terceros) todo lo que tiene es "alguien que pretende ser X registrado en ese momento desde este IP ". Si se recuperó la contraseña de antemano o si se habilitó 2FA es algo que no sabe y no puede hacer cumplir. Cuando algo salga mal, no podrá demostrar que es culpa del usuario no haber asegurado su cuenta lo suficientemente bien y tendrá que pagar, donde, al igual que con su propio sistema, podrá decir "en X por la mañana, alguien reinicie su contraseña y no tenía 2FA habilitado. Lo sentimos, no es culpa nuestra, ahora es mejor que trabaje para proteger esa cuenta de correo electrónico ".
Finalmente, los inicios de sesión seguros no son tan difíciles. Hashear correctamente las contraseñas, no cometer errores estúpidos como enviar la contraseña en correos electrónicos , usar captchas para frustrar la fuerza bruta, bloquear direcciones IP después de varios inicios de sesión fallidos y proporcionar 2FA usar protocolos estándar es todo lo que necesita para estar seguro. En comparación, este es el proceso de inicio de sesión de mi banco:
Sí.MibancoesunodelosbancosmásgrandesdeFrancia,ysuiniciodesesiónconsisteenunIDdeusuariode8dígitosseguidodeuncódigosecretode6dígitos(sinletras,queseríademasiadopedir),quedebeingresarconunapequeñaseguridad.teatroporque,segúnsus"expertos", alguien capaz de hacer keylogging no es capaz de tomar capturas de pantalla de donde hace clic. Obviamente no hay 2FA, y no me sorprendería si el código secreto se almacenara en texto plano. Lo único bueno es que bloquean las IP después de 5 intentos de inicio de sesión, pero eso es todo.
Entonces, asumiendo que haces todo lo que te dije anteriormente, estarás más seguro que uno de los bancos más grandes aquí; como una pequeña precaución adicional, puede usar un ID de usuario aleatorio en lugar de algo conocido como un nombre de usuario o correo electrónico (pero eso hace que el usuario recuerde dos cosas en lugar de solo la contraseña, lo que a su vez puede hacer que elijan una contraseña más débil / más fácil de recordar) o para reutilizar una que ya tienen).
Por supuesto, la seguridad de los inicios de sesión no es lo único que debe hacer, especialmente en un sitio web de finanzas. También debe asegurarse de que sus propios servidores estén seguros, por lo que debe tener IDS, monitorear cada servicio, revisar los registros con frecuencia y prepararse para actuar rápidamente si algo parece sospechoso.