我應該向抵押貸款人提供我的經紀賬戶的使用者名和密碼以驗證我的資產嗎?
我正在申請抵押貸款,並從我的房地產經紀人的推薦中找到了潛在的貸方。最初的申請過程似乎很正常,與我在其他銀行的經歷非常相似。我希望通過提供賬戶報表等文件來驗證我的資產,但被要求使用第三方網站將我的銀行賬戶與他們關聯起來(域名是 finicity.com - 所以我很確定就是這個)。
貸方通過電子郵件設定了我的期望:
我們不做的事情:
- 我們永遠不會看到或訪問您的登錄資訊。
- 除了處理您的貸款外,我們不會出於任何其他原因使用您的資訊。
- 我們無權在您的帳戶中執行任何操作 - 我們訪問只讀資訊,就像您必鬚髮送的文件一樣。
我在 Chase 有一個支票賬戶,並通過重定向到 Chase.com(我的密碼管理器自動填寫我的使用者名和密碼)並啟用一些權限來完成該賬戶與貸方的連結。Chase 給我發了一封電子郵件,貸方顯示為連結的應用程序。這讓我覺得完全合法。
但是,我在 Vanguard 有一個經紀賬戶,該服務要求我提供使用者名和密碼。我對此感到非常不舒服。
現在這是一個合理的要求嗎?還是我應該回擊並堅持用賬戶報表來驗證我的資產?
您描述的互動是當今 Internet 應用程序的常見和正常部分,但對於非技術使用者來說,有時很難弄清楚發生了什麼。簡單來說,會發生以下情況:
- 資訊提供商(Google、Facebook、Twitter、您的銀行)在其軟體中包含一種機制,供第三方執行某種操作,例如查看您的朋友列表或帳戶餘額。這種機制稱為API。
- 要使用 API 訪問您的資訊,其他站點(此處為抵押貸款人)必須獲得您的許可。發生這種情況的方式是將您的瀏覽器發送到託管站點 (Chase) 並請求許可。Chase 驗證您的身份(通常通過正常登錄),詢問您是否要允許訪問,然後使用抵押貸款人可以用來發出 API 請求的令牌將您發送回您開始的地方。
- 然後,抵押貸款人使用 Chase 發布的 API 以及您授權的令牌來檢索您的餘額。
- 您可以隨時訪問已為您頒發令牌的站點並查看或取消權限。以下是Google 帳戶、Facebook和Twitter的管理連結。
您可能一直在使用這種訪問方式而沒有意識到它;例如,我使用與公司關聯的 Google 帳戶登錄大約 20 個不同的網站進行工作,我什至使用我的個人 Gmail 帳戶登錄該網站!每當您使用顯示“使用…登錄”的連結時,都會發生這種情況。(下次,您可能會注意到,當您登錄新站點時,您會看到類似“此站點將能夠看到您的姓名和電子郵件地址”之類的內容。)
最重要的實際問題是您在此發表文章的基礎:我怎麼知道我真的在我的銀行網站上?這與您登錄的任何其他時間相同。事實上,如果您已經登錄,如果有令牌請求,大多數站點都不會要求您重新驗證。(由於請求的敏感性和稀有性,您的銀行可能仍然存在。)已經有大量的電子溢出了,但最好的方法是使用自動檢測站點的密碼管理器,這正是您所需要的已經在做。(事實上,使用彈出視窗的原因之一是為了讓密碼管理器更可靠地檢測到真實的站點地址。)
在您顯示的 Vanguard 提示的情況下,如果這是在貸方的網站上,那麼實際上是有問題的。我知道一些合法網站會這樣做,因為 SomeBankCo 不提供 API。在它變得普遍之前,薄荷已經這樣做了很多年。(不過,我仍然會親自避開。)但是,貸方關於他們看不到您的登錄憑據的聲明意味著您絕對應該期望他們不會要求他們。如果您顯示的螢幕截圖來自 Vanguard 的網站(看起來不像),那麼一切都會好起來的,但是貸方的保證和第四方提示的結合會讓我回到紙上(並大聲抱怨貸方)。