使用 mint.com 是否有任何風險?
擁有更多帳戶和更多密碼可能會增加某人入侵至少一個帳戶的機會。
但即使有人入侵了我的 Mint 帳戶,還有什麼理由擔心嗎?
mint.com 的其他風險呢?如果我特別使用美國銀行怎麼辦?
Mint.com 使用一種叫做 OFX(開放金融交易所)的東西來獲取您銀行賬戶中的資訊。如果有人訪問了您的鑄幣廠帳戶,他們將無法與您的銀行進行任何交易。他們所能做的就是查看您所做的相同資訊,其中一些可能是個人資訊<-這取決於您。
通常,安全性的最薄弱環節在於使用者。“攻擊者”更有可能從您那裡獲取您的帳戶資訊,而不是從您註冊的網站。
為什麼你是最弱點:
當您輸入您的帳戶資訊時,您的密碼永遠不會完全按照您輸入的方式保存。它通過所謂的“單向函式”傳遞,這些函式很容易以一種方式計算,但考慮到最終結果很難反向計算。因此,在數據庫中,如果有人查看您的密碼,他們會看到類似“31435008693ce6976f45dedc5532e2c1”的內容。當您登錄帳戶時,您的密碼將通過此功能發送,然後根據數據庫中保存的內容檢查結果,如果它們匹配,您將被授予訪問權限。攻擊者獲取您的密碼的方式是在函式中輸入值並檢查您的值,這被稱為暴力攻擊。對於我們的範例 (31435008693ce6976f45dedc5532e2c1),使用基本的蠻力攻擊需要 500 萬年的時間來解密 pt。我使用“thisismypassword”作為我的範例密碼,它有 12 個字元長。這就是為什麼大多數網站都敦促您創建包含數字、大寫、小寫和符號的長密碼。
這是對安全性的一個非常基本的解釋,雙方都有比所解釋的更好的工具,但這讓您了解安全性如何為此類網站工作。
您更有可能感染病毒或鍵盤記錄器竊取您的資訊。
我確實使用薄荷。
編輯:
來自薄荷常見問題解答:
您是否將我的銀行登錄資訊儲存在您的伺服器上?
您的銀行登錄憑據使用多層硬體和軟體加密安全地儲存在單獨的數據庫中。我們僅儲存為您省去手動更新、同步或上傳財務資訊的麻煩所需的資訊。
編輯 2:來自OFX
開放金融交換 (OFX) 是金融機構、企業和消費者之間通過 Internet 進行金融數據電子交換的統一規範。
這就是 mint 能夠與您當地的小型銀行進行通信的方式。
最後編輯:(這回答了一切)
對於 Mint 本身的密碼,我們計算使用者選擇的密碼的安全散列並僅儲存散列(散列也是加鹽的 - 參見 <http://en.wikipedia.org/wiki/Sal> …)。散列是一種單向函式,不能反轉。不可能看到或恢復密碼本身。當使用者嘗試登錄時,我們計算他們嘗試使用的密碼的雜湊值,並將其與記錄的雜湊值進行比較。(這是每個站點都應該使用的標準技術)。
對於銀行憑證,我們通常必須使用可逆加密,為此我們有特殊的程序和安全硬體,保存在我們安全和受保護的數據中心。解密密鑰永遠不會離開硬體設備(如果篡改保護受到攻擊,硬體設備會破壞密鑰材料)。該設備只有在被一定數量的其他密鑰啟動後才會解密,每個密鑰都儲存在智能卡上,並由只有一個人知道的密碼加密。此外,該設備在每次解密時都需要一個有時間限制的加密簽名許可令牌。該系統(我設計併申請了專利)還具有對每次解密進行安全遠端審計的設施。
資料來源:Mint.com 工程副總裁 David K Michaels - <http://www.quora.com/How-do-mint-com-and-similar-websites-avoid-storing-passwords-in-plain-text>
一些銀行允許 mint.com通過客戶可以創建的單獨“訪問程式碼”進行**只讀訪問。**這仍然允許攻擊者找出您有多少錢和交易細節,並且可能知道其他一些資訊(可能是您的帳號、您的地址等)。
即使是這種只讀訪問的問題是,許多銀行還允許其他銀行的使用者設置允許提款的直接借記授權。並且要設置直接借記連結,主要障礙是能夠正確辨識兩個小測試存款交易的日期和金額,這可以通過只讀訪問來完成。
大多數銀行只支持每個賬戶使用一個完整的訪問密碼,因此您面臨更大的實際欺詐活動的潛在風險。
但如果您發現此類活動並及時報告,您應該獲得退款。確保經常檢查您的帳戶。還要確保不時更改密碼。