¿Debo facilitar mi nombre de usuario y contraseña de mi cuenta de corretaje a mi prestamista hipotecario para verificar mis activos?

Question

Estoy solicitando una hipoteca y he encontrado un posible prestamista gracias a una recomendación de mi agente inmobiliario. El proceso de solicitud inicial me pareció normal y muy similar al que he experimentado con otros bancos. Esperaba verificar mis activos aportando documentación como extractos de cuenta, pero en lugar de eso me pidieron que vinculara mis cuentas bancarias con ellos a través de un sitio web de terceros (el nombre de dominio es finicity.com, así que estoy bastante seguro de que se trata de un sitio web de terceros). este ).

El prestamista fijó mis expectativas al respecto por correo electrónico:

Lo que no hacemos:

1. Nunca vemos ni tenemos acceso a sus datos de acceso.
2. No utilizamos su información por ningún otro motivo que no sea la tramitación de su préstamo.
3. No tenemos acceso para realizar ninguna acción en sus cuentas: accedemos a información de sólo lectura, igual que los documentos que de otro modo tendría que enviar.

Tengo una cuenta corriente con Chase y la vinculación de la cuenta con el prestamista se hizo redirigiendo a Chase.com (donde mi gestor de contraseñas rellenó automáticamente mi nombre de usuario y contraseña) y habilitando algunos permisos. Chase me envió un correo electrónico y el prestamista aparece como una solicitud vinculada. Esto me parece totalmente legítimo.

Sin embargo, tengo una cuenta de corretaje con Vanguard, y el servicio me pide mi nombre de usuario y contraseña. Yo soy MUY incómodo con esto.

¿Es una petición razonable hoy en día? ¿O debo insistir en verificar mis activos con extractos de cuenta?

Answer 1

Si más de una persona sabe algo, no es un secreto.

No existe ninguna circunstancia legítima en la que debas facilitar tu contraseña personal a nadie. Nunca.

Cualquiera que le pida su contraseña le está estafando o es un incompetente.

(Esta respuesta es totalmente independiente del "prestamista hipotecario" de la pregunta. Se aplica a todo el mundo en todas las situaciones).

EDITAR:

"leche" señala que " redireccionamiento a Chase.com (donde mi gestor de contraseñas rellenaba automáticamente mi nombre de usuario y contraseña) " podría significar que no te están pidiendo directamente tu contraseña.

En su lugar, te piden simplemente que demuestres que puedes acceder a tu otra cuenta para confirmar quién eres. Esto significa que el sitio solicitante no verá tu contraseña y no podrá decir que eres tú.

Además de que usted verifique personalmente que la información va al sitio correcto, saber que su navegador confió en él lo suficiente como para proporcionarle automáticamente su contraseña es un buen indicio de que el otro sitio no está espiando.

Así pues, lo que he dicho antes es cierto en general, pero en este caso usted estaría utilizando su contraseña para iniciar sesión en su cuenta; la otra empresa no podría verla. El inicio de sesión simplemente establece una identificación suya entre las dos empresas.

• De intermediario a hipotecario: Confirme la identidad de la persona X: pídale que inicie sesión.
• Hipoteca a persona X: Por favor, identifíquese
• De la hipoteca al corretaje: A partir de ahora, cuando hables de la persona X, sabremos a quién te refieres.

Debería ser seguro para ti seguir adelante.

Answer 2

La interacción que ha descrito es una parte común y rutinaria de las aplicaciones de Internet hoy en día pero a veces puede resultar difícil para los usuarios no técnicos entender lo que está pasando. En pocas palabras, esto es lo que ocurre:

• Un proveedor de información (Google, Facebook, Twitter, tu banco) incluye en su software un mecanismo para que terceros realicen algún tipo de operación, como ver tu lista de amigos o el saldo de tus cuentas. Este mecanismo se denomina API .

• Para utilizar la API para acceder a su información, el otro sitio (el prestamista hipotecario en este caso) tiene que obtener su permiso. La forma en que esto sucede es que envía su navegador al sitio de alojamiento (Chase) con una solicitud de permiso. Chase verifica su identidad (normalmente a través de un inicio de sesión normal), le pregunta si desea permitir el acceso, y luego le envía de vuelta al punto de partida con un ficha que el prestamista hipotecario puede utilizar para realizar solicitudes API.

• A continuación, el prestamista hipotecario utiliza la API que Chase publicó, junto con el token que usted autorizó, para recuperar sus saldos.

• Cuando quieras, puedes ir a un sitio que haya emitido un token para ti y revisar o cancelar los permisos. Estos son los enlaces de gestión de un Cuenta de Google , Facebook y Twitter .

Es probable que utilices este tipo de acceso todo el tiempo sin reconocerlo; por ejemplo, yo accedo a unos 20 sitios diferentes por trabajo utilizando una cuenta de Google asociada a una empresa, ¡e incluso utilizo mi cuenta personal de Gmail para acceder a este sitio! Cada vez que utilices un enlace que diga "Iniciar sesión con ...", esto es lo que está ocurriendo. (La próxima vez, puede que al iniciar sesión en un sitio nuevo veas algo como "Este sitio podrá ver tu nombre y dirección de correo electrónico").

La cuestión práctica más importante es la que constituye el fundamento de su post aquí: ¿Cómo sé que estoy realmente en el sitio web de mi banco? Esto es igual que cualquier otro momento en el que te conectes. De hecho, si ya has iniciado sesión, la mayoría de los sitios no te pedirán que vuelvas a autenticarte si hay una solicitud de token. (Es posible que tu banco sí lo haga debido a la sensibilidad y rareza de la solicitud). Ha habido toneladas de electrones derramados sobre esto, pero lo mejor es utilizar un gestor de contraseñas que detecte automáticamente el sitio que es exactamente lo que ya estás haciendo. (De hecho, una de las razones para utilizar una ventana emergente para algo como esto es específicamente para que un gestor de contraseñas detectará con mayor fiabilidad la verdadera dirección del sitio).

En el caso del aviso de Vanguard que mostraste, si está en el sitio del prestamista entonces algo huele mal. Sé de algunos sitios legítimos que hacen esto porque SomeBankCo no proporciona una API; Mint hizo esto durante años antes de que se convirtiera en algo común . (Sin embargo, la afirmación del prestamista de que no ven sus credenciales de inicio de sesión significa que debería esperar que no se las pidan. Si la captura de pantalla que has mostrado es de la página de Vanguard (no lo parece), entonces todo estaría bien, pero la combinación de la garantía del prestamista y el cuarto -me enviaría de vuelta al papel (y a quejarme en voz alta al prestamista).

Answer 3

No, esto es una terrible práctica de seguridad. Pero es sorprendentemente común entre los bancos, véase por ejemplo, esta pregunta relacionada .

Tu decisión aquí se va a reducir a cuánto confías en que Finicity haga lo que dice. (Yo lo hice una vez con un sitio similar, no hace mucho, y no ha vuelto a por mí).

Pero, de nuevo, esta es una práctica de seguridad terrible, y las empresas no deberían hacerlo.

EDITAR: Esta es la analogía que me viene a la mente: es como enseñar a los niños a jugar a un juego en el que se intenta encontrar una pistola escondida y luego se juega a la ruleta rusa con ella cuando se consigue. Aunque no sea una muerte garantizada, no deja de ser inculcar hábitos atroces y peligrosos a los usuarios. El usuario que teclea sus credenciales en Finicity tiene más probabilidades de teclearlas en el próximo correo electrónico de phishing que reciba.

Answer 4

Si confías en el sitio que lo solicita, entonces probablemente esté bien. Desgraciadamente, cada vez es más habitual que varias aplicaciones te pidan legítimamente que inicies sesión con tu nombre de usuario y contraseña en aplicaciones de terceros. Un ejemplo obvio es el software de contabilidad, que puede solicitar y almacenar tus credenciales de todos tus bancos para sincronizar tus cuentas automáticamente. Es una gran comodidad, pero debes confiar en que el mecanismo y la ubicación utilizados para almacenar tus credenciales son seguros. Cuando los sitios web solicitan tus credenciales para aplicaciones de terceros, normalmente no necesitan almacenar tus credenciales para un uso futuro, pero tendrás que confiar en su palabra de que no las almacenan o, si las almacenan, de que utilizan un mecanismo y una ubicación seguros. Incluso los sitios bienintencionados que utilizan las mejores prácticas estándar para el almacenamiento de las credenciales de usuario siguen siendo vulnerables a los ataques, tanto de fuentes externas como, posiblemente, incluso de empleados internos deshonestos.

El principal inconveniente de esta tendencia es que ya no podemos predicar la regla absoluta de que nadie debe pedirte nunca tu contraseña. Ahora todos tenemos que tomar decisiones sobre quién es legítimo y quién podría estar intentando estafarnos. En cuanto la gente se ve obligada a tomar decisiones, inevitablemente se cometen errores.

Sin embargo, existen sencillas contramedidas que podemos adoptar, al menos para mantenernos a salvo cuando utilicemos la solicitud única de contraseñas, como en el supuesto de esta pregunta de verificar un único extracto bancario. Cualquiera de ellas será suficiente:

1. Antes de proporcionar su nombre de usuario y contraseña a una aplicación de terceros, cambie su contraseña. Una vez que la aplicación haya terminado con ella, vuelve a cambiar tu contraseña por una que te guste.
2. (Mejor) Después de dar tu contraseña a alguien que no quieres que la conozca a largo plazo, cámbiala poco después por una nueva contraseña aleatoria.

Recomiendo encarecidamente a todo el mundo que utilice un gestor de contraseñas, y salvo contadas excepciones, ni siquiera tú necesitas recordar tus contraseñas. Que sean todas largas, complejas y aleatorias, y podrás cambiarlas cuando quieras sin tener que preocuparte por recordar una nueva. Sólo asegúrate de almacenar tu archivo de contraseña maestra encriptada en un lugar al que puedas acceder desde cualquier lugar. Por ejemplo, yo guardo la mía (KeePass) en una cuenta en la nube (Google Drive), y tengo copias en caché en mi teléfono y en todos mis portátiles por si no estoy conectado cuando la necesito. (Aunque es muy raro que la necesites cuando no estás conectado). Una vez que la tengas, sólo tendrás que recordar dos contraseñas: la de acceso a tu cuenta de almacenamiento en la nube y la contraseña larga y compleja de tu archivo de contraseña maestra. Otra cosa buena de esto es que tampoco tienes que recordar tus nombres de usuario, e incluso puedes poner respuestas falsas únicas para tus respuestas de seguridad, siempre y cuando las registres en tu archivo de contraseñas. Una vez alguien intentó entrar en mi cuenta del Bank of America y me bloqueó varias veces. Simplemente cambié mi nombre de usuario por algo que nadie más intentaría (y de hecho no recuerdo cuál es, ni tengo por qué hacerlo) y nunca volvió a ocurrir.

Answer 5

Básicamente, todo se reduce a esto.

Los sitios que proporcionan formas de acceder a la información necesaria, como Chase, permitirán que servicios como Finicity sigan algo llamado patrón de acceso a recursos de "concesión implícita": solicitan información a Chase, Chase te pide que inicies sesión y (entonces probablemente) des permiso. En este caso, Finicity nunca ve tu información de acceso.

Parece que Vanguard no tiene ese tipo de servicio, por lo que Finicity tiene que recurrir a algo llamado el "Patrón "ROPC (en otras palabras, el patrón "contraseña"). Esto implica obtener tu información de inicio de sesión e iniciar sesión por su parte.

EDITAR: El ROPC implica la concesión limitado acceso, mediante el nombre de usuario/contraseña y un identificador de cliente/aplicación. Si Vanguard no tiene ese tipo de servicio (y no hay razón para esperar que lo tenga), entonces es probable que esto sea sólo un inicio de sesión con contraseña, en el que cargan algunas pantallas y extraen los datos de ellas. En este caso de acceso directo, el alcance de lo que pueden hacer es mediante programación aumenta, pero no creo que aumente especialmente el peligro. El peor caso sigue siendo el mismo y sigue haciendo falta un mal actor.

Si siguen las mejores prácticas, nunca registrarán tu información y la borrarán inmediatamente después de obtener el acceso que necesitan. Ningún desarrollador u observador debería ver nunca tu información.
Pero no hay forma de garantizar que sigan las mejores prácticas.

Si no confías en ellos, no debería haber ningún problema en proporcionar la información al prestamista de otra manera. Puede que digan que no, en cuyo caso tendrás que decidir si quieres confiar en ellos o no.

Cambiar la contraseña es una buena idea si do decide enviarles tus datos, pero ten en cuenta que si lo haces demasiado pronto, puede invalidar el inicio de sesión y tendrás que volver a hacer el proceso.

En el peor de los casos:
Sitio de estafas. ¿Es probable? No los he mirado, pero si te lo exige tu banco, probablemente no.
Malas prácticas de registro o almacenamiento en caché. Ciertamente posible, pero no un problema a menos que alguien interno decida que quiere retirarse en las Bahamas, o sus registros se filtren en alguna parte.

Probable caso de uso empresarial:
El programa inicia sesión, obtiene la información que necesita y luego borra la información de inicio de sesión.