Hier ist warum Ihr Bankkonto ist weniger sicher als Ihre Gmail

Wenn ich in Gmail, die System-Texte mir einen einmaligen Schlüssel, die ich benutze anmelden, um zu überprüfen, ob ist es mich versuchen zu bekommen und nicht irgendein Ruck, meine Anmeldedaten von einen Passwort-Dump bekam. Man könnte meinen, dass meine Bank hätte das gleiche Schutzniveau um sicherzustellen, dass die bösen Jungs einen guten Hauch von meinem Geldbekommen können. Nö.

Trotz akzeptiert wird als eine einfache, aber wirksame Methode zum Schutz von Online-Konten, verwenden nicht mehrere Großbanken zwei-Faktor-Authentifizierung, um zu verhindern, dass unbefugte Anmeldungen auf Ihr Konto. Warum nicht?

Was ist zwei-Faktor-Authentifizierung

Jedes Mal, wenn ein Online-Dienst versehentlich eine Fundgrube für den Benutzernamen und das Kennwort verliert, steigt der Schrei wieder: alle deine Scheiße mit zwei-Faktor-Authentifizierung zu sichern! Für Ortsunkundige ist zweistufige oder Multi-Faktor-Authentifizierung eine Sicherheitsmaßnahme, die mehr als nur Ihren Benutzernamen und Passwort Zugriff auf Ihre Konten erfordert. Sie sollten es auf jeden Fall nutzen!

Du bist wahrscheinlich vertraut mit zwei-Faktor-Methodik ist eine einmalige SMS-Passwort. Nachdem Sie Ihren Benutzernamen und Ihr Kennwort für einen Dienst in einem Webbrowser eingeben, erhalten Sie eine SMS-Nachricht mit einem randomisierten Code. Geben Sie diesen Code in eine Eingabeaufforderung in Ihrem Browser, und dann bekommen Sie Zugang zu Ihrem Konto.

Eine ebenso flexible Methode heißt zeitbasierte Einmalpasswort Lösungen, die ein zufälliges Kennwort generieren und erfordern die Eingabe innerhalb eines engen Zeitfensters. Diese Art von Passwort von Google Authenticator app und der Code-Generator in der Facebook-app generiert. In einigen Situationen Dienste verteilen ein diskrete physisches Gerät wie ein Schlüsselanhänger, der einen integrierten Passwort-Generator hat es. Die meisten top-Online-Dienste – Dropbox, Evernote, Twitter, Microsoft Hotmail, und unzählige andere — bieten irgendeine Form von zweistufigen Identifikation.

Banken sind erschreckend unsicher

Banken sind jedoch hinter. Einige Finanz-Riesen haben das Licht gesehen und bieten Kunden die Möglichkeit, ihre Anmeldungen mit sinnvollen zwei-Faktor-Authentifizierung zu sichern: Bank of America und Chase beide bieten SMS-Benachrichtigungen für jede Anmeldung, die Basis für gute Sicherheit. Aber viele andere Banken nicht noch weiter gehen: US Bank, American Express, HSBC, PNC, Bank, Capital One, Suntrust, TD Bank, einfache und Wells Fargo bieten keine zwei-Faktor-Authentifizierung bei jedem Login.

Viele davon bieten zusätzliche Sicherheit während des Banking-Prozesses, aber keiner von ihnen bieten ein Niveau der Login-Sicherheit, die Sie mit Ihrer e-Mail-Adresse erhalten können.

Hier ist ein kurzer Überblick, was über jede Bank Sicherheit basierend auf ihrer Online-Dokumentation und Kommentare von Sprechern vermuten konnten. Die meisten Banken waren sehr ausweichend über ihre Sicherheitsrichtlinien und-Verfahren. Wir aktualisieren, wenn wir mehr erfahren.

American Express:

Laut einem Sprecher verlangt von American Express nur für zusätzliche Authentifizierung den Fall, dass ein Antrag oder eine Aktivität ungewöhnlich scheint. Diese zusätzliche Authentifizierung zählen zwei-Faktor in Form von ein Einmalpasswort über SMS gesendet.

Der Sprecher hinzufügt, erstaunlich, "wir nicht möchten unsere Website-Nutzer mit einer zwei-Faktor-Authentifizierung für jedes Login Unannehmlichkeiten."

Capital One:

Laut einem Sprecher:

Im Rahmen unseres Programms mehrschichtige Sicherheit verwenden wir eine Vielzahl von Methoden zum Bestimmen der Identität des Kunden, einschließlich Sicherheitsfragen und zwei-Faktor-Authentifizierung. Sie sind nicht vom Kunden gesteuert aber automatisch angewendet, je nach Risiko Trigger Kundenanfragen zugeordnet.

Entsprechend anekdotischen Forschung und Dokumentation online gebucht, bitten nicht das Unternehmen dennoch regelmäßig für zwei-Faktor-Authentifizierung.

Citibank:

Citibank weigerte sich zu äußern über die Informationen auf seiner Website veröffentlicht, welche Saya, dass "beim Ausführen von sensiblen Online-Bankgeschäfte wie Überweisungen, Citi manchmal Sie zusätzliche Fragen zur Überprüfung Ihrer Identität stellen wird." Nach mehreren Citi-Kunden haben wir auf diese Sicherheit beläuft sich auf Mutter Mädchenname-Sicherheitsfragen gesprochen.

HSBC:

Laut einem Sprecher:

HSBC nutzt zwei-Faktor-Authentifizierung weltweit als unsere bevorzugte, sichere Technologie. Wie Sie wissen, es ist standard in eine große Anzahl von den Märkten, in denen wir tätig sind, einschließlich der in Europa und Asien.

Wichtig zu beachten, dass die zwei-Faktor-Authentifizierung ist nur für Transaktionen mit Geldern verlassen eines Kontos erforderlich. Es ist nicht notwendig, um ein Gleichgewicht oder beweglichen Mittel zwischen HSBC-Konten zu überprüfen.

PNC Bank:

Laut einem Sprecher:

PNC bietet Multi-Faktor (mehrschichtigen) Sicherheit für unsere online-Banking-Kunden. Aus Sicherheitsgründen bieten wir keine weiteren Informationen zu unseren Sicherheitspraktiken oder auf unseren unternehmerischen Entscheidungen im Zusammenhang mit Sicherheit.

Jedoch nach unserer anekdotische Forschung und Informationen online gebucht, PNC Bank stützt sich stark auf Fragen der Sicherheit und nicht regelmäßig zwei-Faktor-Authentifizierung erforderlich. PNC lehnte es ab, zu erarbeiten oder ihre Politik zu klären. Hinweis: ihre Antwort auf Kommentar kam nach nach diesem Post veröffentlicht wurde, nach wiederholten Anfragen für eine Stellungnahme ignoriert wurden.

Einfach:

Laut einem Sprecher:

Einfachen in der Tat SMS-basierte zwei-Faktor-Authentifizierung verwenden. Es ist erforderlich für eine Reihe von unseren Banking-Funktionen – einschließlich Zahlungen größer als $1.000, Zahlung an einen neuen Kontakt senden, sofortige Übertragung genehmigen und persönlichen Kontaktinformationen ändern.

SunTrust

Ein Sprecher lehnte eine Stellungnahme über die "umfangreiche Mulilayered Sicherheitsprotokolle und Prozesse des Unternehmens." Nach den Informationen, die online gebucht fordert das Unternehmen immer nur für Sicherheitsfragen.

Wells Fargo:

Das Unternehmen verfügt über eine "Advanced Access" Verfahren unter Beteiligung einer Time Passwort. Jedoch laut einem Sprecher: "Erweiterter Zugriff kann bei der Anmeldung zur Identität des Kunden zu überprüfen, ob wir Kontobewegungen bemerken, das aus Muster für diesen Kunden verlangt werden. Aber es ist nicht etwas, das für jede Anmeldung unbedingt erforderlich ist."

Warum nicht alle Banken?

Wie Sie sehen können gibt es gibt es viel Abwechslung bei der Verwendung Banken verschiedenster Sicherheitsebenen. Es gibt keine einheitliche Antwort. Wenn Ihre Transaktion bestimmte Kriterien erfüllt oder eine Bank Algorithmus etwas merkwürdiges erkennt, eine rote Fahne erlischt und Sie möglicherweise aufgefordert, für ein Einmalpasswort oder einfach für die Antwort, die eine Sicherheitsfrage zur Verfügung stellt. Am allerwenigsten wenn, einen Benutzernamen und ein Kennwort wird erhalten Sie Zugriff auf Ihren Kontostand, und in vielen Fällen andere Stücke von persönlichen Informationen.

Sie werden die Sprache der "Risiko" in den obigen Beschreibungen feststellen. Und zwar deshalb, weil das die Sprache des finanziellen Institutionen Prüfung Bundesrates, ist deren Führung auf "Authentifizierung in einem Internet-Banking-Umgebung" kommt zu dem Schluss:

Risikobewertungen zeigen, dass die Verwendung von Single-Faktor-Authentifizierung ist unzureichend, Finanzinstitute sollten mehrstufige Authentifizierung implementieren, errechnet, mehrschichtige Sicherheit oder andere Steuerelemente angemessen, um diese Risikenzu mindern. Die Agenturen betrachten Einfaktorauthentifizierung, als einzige Kontrollmechanismus, unzureichende bei hoch -Risiko Transaktionen mit Zugriff auf Kundendaten oder die Bewegung von Geldern an andere weitergegeben werden.

So ist es den Banken zur Risikobewertung in der put Sicherheit im Ort, um diese Risiken zu treffen. In den Worten des Duo Sicherheit CTO Jon Oberheide:

Aufgrund der schwachen Leitung Banken Taten statt der bloßen minimum und angebotenen Sicherheit Fragen/Antworten und "Sicherheit Bilder". Sie wahrscheinlich sehen dies auf Ihre Konten heute beim einloggen: ein Sicherheitsbild und Phrase bereits vom Benutzer ausgewählt, das soll Sie zuversichtlich, dass Ihr Login sicher ist. In der Realität bieten diese Mechanismen wenig bis keinen Schutz gegen Phishing und andere Anmeldeinformationen Diebstahl Bedrohungen.

In anderen Worten, tun nicht die Banken mehr, weil sie nicht zu. Und so, solange sie halten garantiert null-Verlust gegen Betrug, und die Menge verloren betrug relativ klein im Vergleich zu ihren tiefen Taschen bleibt, die Banken nicht etwas mehr um Sie zu schützen.

Aber wie dies Oberheide hervorhebt ist ein riskanter Weg, Dinge zu betrachten:

Mehr und mehr Angreifer sind immer von legitimen Benutzer nisht zu unterscheidend, und werden immer mehr anspruchsvolle in ihrer Fähigkeit zur Erkennung zu entgehen und betrügerische Gewinne durch Netzwerke Geld Maultiere zu waschen.

Anstatt auf komplexe betrug Analytics Modelle, es ist viel effektiver, starken Authentifizierung für den Endverbraucher bieten und haben die Fähigkeit, sie einfach zu Fragen: "haben Sie beabsichtigen, dies zu tun?"

Es ist auch erwähnenswert, dass die zwei-Faktor-Authentifizierung ist nicht unfehlbar, und in der Tat, einige Forscher haben gezeigt, dass es gibt mehrere Methoden, die verwendet werden, um zwei-Faktor in einer Situation der Banken gefährden könnte. Eine Studie, die einige Presse bekam behauptete, dass Android Malware war so verbreitet, dass zwei-Faktor-Authentifizierung zu riskant, zuverlässig war.

Dennoch kann die Möglichkeit der Verwendung einer zusätzliche Sicherheitsschicht praktische nur eine gute Sache sein. Selbst wenn Ihre Angreifer Rammböcke, bist du besser dran, wenn sie durch zwei Türen brechen müssen. Und nach Sicherheit Experten pro Thorsheim, wer organisiert die jährlichen Passwort Con in Las Vegas, Bedenken hinsichtlich der Sicherheit der zwei-Faktor-Authentifizierung sind übertrieben.

"Es macht Sie viel sicherer, als blind – automatisierte — groß angelegten Angriffen sind nicht mehr wirklich möglich," sagte Thorsheim. "Sie müssten ein gezielter Angriff betrachten die senkt die Chancen für den erfolgreichen Zugang." Wichtiger ist, erhöht es auch die Wahrscheinlichkeit, dass ein Angriff erkannt wird.

Es ist so einfach stärkere Sicherheitsmaßnahmen umzusetzen. Wenn Google Mail es tun kann, warum nicht Ihre Bank?

Illustration von Tara Jacoby