Tener más cuentas y más contraseñas probablemente aumenta las posibilidades de que alguien pueda piratear al menos una cuenta.
Pero incluso si alguien hackeara mi cuenta de Mint, ¿habría alguna razón para preocuparse?
¿Qué pasa con otros riesgos con mint.com? ¿Y si uso Bank of America en particular?
Mint.com usa algo llamado OFX (Open Financial Exchange) para obtener la información en su cuenta bancaria. Si alguien accedió a su cuenta de menta, no podría realizar ninguna transacción con su banco. Todo lo que podrían hacer es ver la misma información que usted ve, parte de la cual podría ser personal <- eso depende de usted.
Generalmente el punto más débil en seguridad está con el usuario. Es mucho más probable que un "atacante" obtenga la información de su cuenta de usted que del sitio en el que se registró.
Por qué eres el punto más débil:
Cuando ingresa la información de su cuenta, su contraseña nunca se guarda exactamente como la ingresa. Se pasa a través de lo que se llama una "función unidireccional", estas funciones son fáciles de calcular de una manera, pero dado el resultado final, es EXTREMADAMENTE difícil de calcular a la inversa. Entonces, en una base de datos, si alguien buscara su contraseña, vería algo como esto "31435008693ce6976f45dedc5532e2c1". Cuando inicia sesión en una cuenta, su contraseña se envía a través de esta función y luego el resultado se compara con lo que está guardado en la base de datos, si coinciden, se le otorga acceso. La forma en que un atacante obtendría su contraseña es ingresando valores en la función y comparando los valores con los suyos, esto se conoce como ataque de fuerza bruta. Para nuestro ejemplo (31435008693ce6976f45dedc5532e2c1), alguien tardaría 5 millones de años en descifrar el pt mediante un ataque básico de fuerza bruta. Usé "thisismypassword" como mi contraseña de ejemplo, tiene 12 caracteres. Esta es la razón por la que la mayoría de los sitios lo instan a crear contraseñas largas con una combinación de números, mayúsculas, minúsculas y símbolos.
Esta es una explicación muy básica de la seguridad y ambos lados tienen mejores herramientas que la explicada, pero esto le da una idea de cómo funciona la seguridad para sitios como estos.
Es mucho más probable que un virus o un registrador de claves roben su información.
Yo uso menta.
Editar:
de las preguntas frecuentes de Mint :
¿Almacenan la información de inicio de sesión de mi banco en sus servidores?
Sus credenciales de inicio de sesión bancarias se almacenan de forma segura en una base de datos separada mediante el cifrado de hardware y software de varias capas. Solo almacenamos la información necesaria para ahorrarle la molestia de actualizar, sincronizar o cargar información financiera manualmente.
Edición 2: Desde OFX
Open Financial Exchange (OFX) es una especificación unificada para el intercambio electrónico de datos financieros entre instituciones financieras, empresas y consumidores a través de Internet.
Así es como Mint puede comunicarse incluso con su pequeño banco local.
EDICIÓN FINAL: (Esto responde todo)
Para las contraseñas de Mint, calculamos un hash seguro de la contraseña elegida por el usuario y almacenamos solo el hash (el hash también se saltea; consulte http: //en.wikipedia.org/wiki/Sal ...). Hashing es una función unidireccional y no se puede revertir. No es posible ver ni recuperar la contraseña en sí. Cuando el usuario intenta iniciar sesión, calculamos el hash de la contraseña que intenta usar y lo comparamos con el valor hash registrado. (Esta es una técnica estándar que todos los sitios deberían usar).
Para las credenciales bancarias, generalmente debemos usar encriptación reversible para lo cual tenemos procedimientos especiales y hardware seguro guardado en nuestro centro de datos seguro y protegido. Las claves de descifrado nunca abandonan el dispositivo de hardware (que está diseñado para destruir el material de la clave si se ataca la protección contra manipulaciones). Este dispositivo solo se descifrará después de que sea activado por un quórum de otras claves, cada una de las cuales se almacena en una tarjeta inteligente y también se cifra con una contraseña conocida solo por una persona. Además, el dispositivo requiere un token de permiso firmado criptográficamente por tiempo limitado para cada descifrado. El sistema (que diseñé y patenté) también tiene instalaciones para la auditoría remota segura de cada descifrado.
Fuente: David K Michaels, vicepresidente de ingeniería, Mint.com - http://www.quora.com/How-do-mint-com-and-similar-websites-avoid-storing-passwords-in-plain-text
Algunos bancos permiten el acceso de solo lectura a mint.com a través de un "código de acceso" separado que un cliente puede crear. Esto todavía permitiría que un atacante averigüe cuánto dinero tiene y los detalles de la transacción, y puede tener conocimiento de alguna otra información (quizás su número de cuenta, su dirección, etc.).
El problema incluso con este acceso de solo lectura es que muchos bancos también permiten a los usuarios de otros bancos configurar una autorización de débito directo que permite retiros. Y para configurar el enlace de débito directo, el principal obstáculo es poder identificar correctamente las fechas y los montos de dos pequeñas transacciones de depósito de prueba, que podrían realizarse con solo acceso de solo lectura.
La mayoría de los bancos solo admiten una única contraseña de acceso completo por cuenta, y ahí tienes un mayor riesgo potencial de actividad fraudulenta real.
Pero si descubre dicha actividad y la informa de manera oportuna, debe recibir un reembolso. Asegúrate de revisar tu cuenta con frecuencia. También asegúrese de cambiar sus contraseñas de vez en cuando.
Con Mint, sin duda, le está diciendo a un tercero su nombre de usuario y contraseña. Si mint se ve comprometida o contrata a un mal actor, técnicamente no hay nada que detenga las travesuras. Simplemente debe estar atento y ser consciente de sus derechos y las protecciones legales que tiene contra el fraude.
A pesar de toda la experiencia técnica y la seguridad cuidadosa que implementan, nosotros, los clientes, debemos saber que no existe, ni existirá, un sistema perfectamente seguro.
La compensación es lo que puede hacer por el mayor riesgo. Y cuando se toma en cuenta todas las Otras * formas en que se expone su información bancaria, y lo poco que puede hacer al respecto, mint.com es solo un aumento menor en el riesgo en mi opinión.
* Vea paypal, los números de ruta de un cheque, cualquier sitio de comercio electrónico en el que compre, cada banco que tenga un sistema en línea, el depósito directo de su departamento de recursos humanos y cada vez que pase su tarjeta de débito/crédito en alguna parte.
Todos estos son riesgos técnicos, algunos de los cuales están más allá de su control para cambiar. Aparte de mantener su dinero en su colchón, no puede evitar el riesgo. (Y luego tu colchón se incendia.)
Aquí hay una respuesta muy simple, pregúntele a su corredor/banco. El mío usa ofx. Cuando se me preguntó si me reembolsarían por cualquier actividad no autorizada, la respuesta fue no. Bastante simple, los bancos que lo usan no se sienten lo suficientemente seguros.
Tomás