¿Es seguro iniciar sesión en su banca en línea a través de un tercero?

8

En Sudáfrica hay un método de pago llamado SiD que se puede usar para pagar cosas como vuelos. SiD es un método asistido en el que rellena un formulario de terceros con sus datos de inicio de sesión de banca por Internet y lo ayudan en el proceso de pago de banca en línea al completar ciertos números para usted (monto, referencia, etc.).

Esto es lo que parece:

EstossonloscamposdeiniciodesesióndemibancaporInternetenunformulariodeterceros.Lapáginaensegundoplano(elrojo)sereconocecomomipáginadebancaporInternet.

En la página de ayuda , dice que no almacenan detalles pero puede almacenar el número de cuenta bancaria para reembolsos.

  

SID puede almacenar su número de cuenta bancaria para fines de reembolso. Sin embargo,   ningún tercero puede acceder u operar sus instalaciones de Banca por Internet   basado en esta información, o cualquier otra información retenida por SID.

Esto se está utilizando en varios lugares aquí como una opción de pago y, según tengo entendido, dar los detalles de inicio de sesión a un tercero es una muy mala idea. Podrían almacenar fácilmente los números que puse en su formulario y usarlos más tarde.

Dado que esto se está volviendo popular, es posible que solo esté siendo paranoico. ¿Es este método, proporcionar mi información de inicio de sesión a un formulario de terceros, seguro?

    
pregunta 10.02.2017 - 15:36
fuente

4 respuestas

21

No podemos determinar si es seguro o no sin una auditoría completa (no solo de SiD, sino de su banco). ¿Es menos seguro que no usarlo? Es difícil decirlo, ya que no sabemos qué tan seguro está el sistema sin él.

Sin embargo, lo que podemos decir es que estás introduciendo a otra entidad en la que debes confiar. Si está pasando sus datos bancarios a SiD, entonces tienen la posibilidad de usarlos para el fraude. Usted confía en ellos para que no.

Esto no es sin precedentes; Guardo esta información en mi administrador de contraseñas, lo que significa que confío en que no intencionalmente o involuntariamente permita que cosas malas pasen a esos secretos.

Tendrá que determinar por sí mismo qué nivel de confianza es necesario para que se sienta cómodo con SiD.

    
respondido por el Xiong Chiamiov 10.02.2017 - 16:54
fuente
8

Sí, es razonablemente seguro

Sí, debería ser seguro si se implementa correctamente. Dicho esto, no hay nada que impida que un comerciante lo implemente de manera incorrecta o malintencionada, por lo que debe verificar dos cosas.

Cómo funciona

Revisé la Guía de implementación de SID (diseñada para ingenieros de software que trabajan en un sitio de comerciantes) y esto Es esencialmente como funciona:

  1. Hace clic en un botón en el sitio web del comerciante
  2. El comerciante concatena una serie de valores (incluida la cantidad y el código de moneda) y lo cifra.
  3. El comerciante envía los datos cifrados a un servicio web SID, que responde con información que le indica al comerciante dónde redirigir su navegador.
  4. Su navegador se redirige a su sitio web de banca en línea real. Es de suponer que hay una lista de estos que están registrados con SID (incluidos Nedbank, ABSA, Standard Bank y First National Bank), para que sepa dónde para enviarte. Probablemente agregue algo de correo no deseado al final de la cadena de consulta para informarle a su banco que está intentando realizar un pago SID EFT.
  5. Usted inicia sesión en su sitio web de banca en línea. Directamente. Los datos están protegidos por el certificado SSL de su banco y SID no tiene forma de obtenerlos. (Parece que la UX puede estar diseñada para SID, pero debería ser el sitio web real de su banco, que puede verificar usando los pasos que se enumeran a continuación).
  6. El sitio bancario le envía una contraseña de un solo uso a través de SMS o notificaciones push. Debe ingresar eso para completar el pago.
  7. El sitio web bancario procesa el pago y lo redirige de nuevo al sitio del comerciante
  8. El sitio del comerciante muestra una confirmación. Parece que puede almacenar su nombre de banco o número de cuenta para procesar los reembolsos, pero no almacena sus credenciales de inicio de sesión o PIN.

Qué verificar

Dado el diseño anterior, solo necesita confirmar que cuando ingresa su PIN, en realidad lo está publicando en su sitio web de banca en línea y no en otra parte. Verifique la barra de direcciones de su navegador para asegurarse (1) de que esté verde y (2) el nombre de dominio es el nombre de dominio correcto de su sitio web de banca en línea. Si hay incluso un pequeño error (por ejemplo, MyBankc.om en lugar de MyBank.com ), cierre su navegador y olvídese de usar ese comerciante, ya que esto indica que el comerciante es malicioso o ha sido pirateado.

Supongo que es posible configurar la página web bancaria para que se muestre una URL en la barra de direcciones y una dirección diferente a la que se enviará el formulario. Este tipo de solicitud de dominio cruzado, desafortunadamente, no está bloqueada por la misma política de origen . Si le preocupa esto, puede intentar ingresar el PIN incorrecto mientras observa el tráfico de la red (por ejemplo, utilizando las herramientas de desarrollo de Chrome) y asegurarse de que vaya a donde quiera que vaya. La solicitud será rechazada pero se puede ver el tráfico. Si el único tráfico se dirige al sitio web de su banco, entonces la página es segura y puede ingresar el PIN correcto.

    
respondido por el John Wu 11.02.2017 - 00:57
fuente
3

No!

Le está dando a otra parte las claves de su cuenta bancaria, hasta e incluyendo cualquier código de transacción único. Son un hombre en el medio literal.

Incluso cuando dicen que no los almacenan, ¿qué es lo que hace que esta fiesta sea honesta? ¿Esta parte proporciona seguridad contra el uso indebido, errores de codificación, fraude, piratería interna o externa como lo hace su banco? ¿Tiene un acuerdo por escrito con esta parte y con su banco que lo indica? ¿Qué sucede cuando se realiza una transacción en una cuenta incorrecta porque alguien cometió un error de codificación (o algo peor)?

Aparte de eso, no entiendo por qué no querría utilizar este tipo de 'servicio'. Dado que se basa intrínsecamente en que el banco proporciona funcionalidad de transacciones en línea, ¿para qué sirve este servicio? imágenes bonitas?

    
respondido por el oɔɯǝɹ 10.02.2017 - 17:45
fuente
2

Cotizando la página de ayuda del sitio al que se vinculó (el énfasis es mío):

  

SID usa las funciones de seguridad más avanzadas disponibles en Internet   y aunque SID invoca su servicio de Banca por Internet, no lo hace   Acceda o almacene su identificador o contraseña de Banca por Internet. Estos   se ingresan directamente en su Banca por Internet inicie sesión en la pantalla usando   La seguridad habitual que proporciona su banco.

un poco abajo:

  

Su sesión ocurre directamente entre su PC y su banco en el mismo   como si hubiera iniciado sesión en el sistema de Banca por Internet de su banco   por separado de cualquier transacción SID.

y en la resolución de problemas (principalmente problemas básicos de recepción de SMS):

  

Si todo lo demás falla, diríjase a su banco comunicándose con su   servicio de asistencia de banca por Internet para asistencia.

Suena como el proceso habitual, rellenan su campo común (monto, cuenta a crédito) y luego lo dirigen a su página de banco para llenar la información personal (PIN / número de tarjeta), mantienen su cuenta bancaria para sepa dónde enviar dinero (que no necesita autenticación ya que se agrega a su cuenta).

Anexo después de los comentarios:

El proceso es discutible, especialmente el punto 3 .:

  
  1. Seleccione la opción de pago SID en la página de pago del comerciante.
  2.   
  3. Seleccione su banco.
  4.   
  5. Inicie sesión en su banca por Internet segura y existente.
  6.   
  7. Seleccione la cuenta bancaria desde la que desea pagar (si tiene más de   una cuenta vinculada a su perfil de banca por Internet).
  8.   
  9. ingresa la OTP   recibido de su banco o responder a un mensaje push recibido de   su banco para completar el pago.
  10.   

El punto 3 en el que necesita iniciar sesión en su cuenta bancaria a través de una página que proporcionan es, de hecho, algo arriesgado. Tienes que confiar en ellos, lo cual es ... extraño.
Debe comunicarse con su banco para saber si realmente permiten este tipo de inicio de sesión 'en su nombre' o no o simplemente no usan este sistema.

    
respondido por el Tensibai 10.02.2017 - 16:47
fuente

Lea otras preguntas en las etiquetas