我最近注册了 Privacy.com,它使用名为Plaid的服务来链接银行账户。为此,它要求用户从 Plaid 而不是他们的银行向网页提供他们的银行用户名和密码。然后,Plaid 代表用户使用这些凭据访问用户的银行帐户以获取信息。Plaid 为网站和应用程序提供了一个 API,可以轻松访问这些银行信息。
除了 Privacy.com,还有许多其他流行的服务使用 Plaid,包括 Venmo、Robinhood 和 Coinbase。
尽管很受欢迎,但这项服务似乎违反了两条“基本”互联网安全规则:
- 切勿将凭据提供给第三方。 标准是将用户重定向到提供登录服务的网站上的登录页面。Plaid 不这样做,而是在他们自己的网站上提供登录表单。更糟糕的是,Plaid 允许服务将表单嵌入到他们的网站中(作为 iframe)。普通的互联网用户不可能区分这与某个随机网站上的“不安全”表单之间的区别,因此这似乎在鼓励不良的安全做法。更糟糕的是,Plaid 提供了一个看起来非常官方的登录页面,显示了银行徽标并使用了银行的配色方案。
- 切勿以明文形式存储密码。 Plaid 访问银行账户详细信息的唯一方法是使用密码,由于 Plaid 只需要一次我的银行密码,他们必须以明文形式存储,或“加密”但可转换为明文,以便他们可以继续用它来访问我的帐户。
问题似乎在于大多数银行不提供用于检索客户数据的 API,因此如果不违反这些“基本”安全规则,就无法提供像 Plaid 这样的服务(以及所有使用 Plaid 的服务)。但我不相信这是打破它们的理由。 如果不可能安全地做到这一点,是否应该做到这一点?
我在这里的困惑是所有这些服务都是“合法的”。它们都不是骗局;他们都提供有价值的服务并享有良好的声誉。 格子已经筹集了数十亿美元的资金!
我认为 Plaid 使用银行徽标使他们的“假”银行登录表单看起来合法,银行会在 Plaid 之后提起诉讼。但显然他们中的一些人是投资者!在 Plaid 的网站上,花旗、美国运通等被列为投资者。银行似乎并不反对这种不良做法,并且在某些情况下实际上是在鼓励这种做法。
这让我觉得我可能遗漏了一些东西。也许 Plaid 对银行系统有一些特殊的访问权限,它并没有看起来那么糟糕。另一方面,也许 Plaid 的声誉只是因为他们还没有被黑客入侵。如果(何时)他们被黑客入侵,那将是毁灭性的,因为最坏的情况意味着数百万用户的活跃银行用户名和密码泄露。此外,如果用户故意将凭据提供给第三方,许多银行不会保护用户,因此很多人可能会损失很多钱。但如果是这样的话,银行不会努力阻止 Plaid 并保护他们的客户吗?
我认为 Plaid 提供的许多服务都很整洁并且愿意使用它们,但如果我在这里的怀疑是正确的,我认为我不能在保持安全的同时这样做。当然,我希望我在这里完全错了,Plaid 有一些安全操作的方法。
那么,Plaid 是否对银行系统有一些特殊的访问权限,或者它是否使用用户密码登录银行账户,这需要将它们以明文(或可转换为明文)的形式存储并说服用户将其凭据提供给第三方,鼓励不良的安全做法?
如果是后者,恐怕我现在不得不放弃 Plaid 服务,并认为我的银行密码已被泄露。