Dürfen Bankkunden Benutzernamen und Passwort für Websites wie Mint.com angeben?

Bei dieser Frage geht es nicht darum, ob Mint.com sicher ist oder nicht. Das ist nebensächlich. (Siehe diese Frage zum Thema Vertrauen in Mint.com und ähnliche Dienste.) Eher:

Ist es Bankkunden gestattet, ihren Benutzernamen und ihr Passwort oder andere Kontoanmeldeinformationen an Websites wie Mint.com weiterzugeben, unabhängig davon, welche Kontovereinbarung sie normalerweise unterzeichnen?

Würde ein Bankkunde einen Teil des von seiner Bank angebotenen Schutzes aufgeben, wenn er freiwillig vertrauliche Kontodaten an einen Drittanbieter weitergibt?

Verwenden viele Leute Mint.com, ohne sich ihrer Verantwortung in Bezug auf den Schutz ihrer eigenen Kontoanmeldeinformationen bewusst zu sein? (Nennen Sie mich einen Skeptiker :-)

:O +1 Daran habe ich nie gedacht.
+1 guter Punkt. Ich würde nein sagen, vertrauen Sie niemals jemandem Ihr Passwort und Ihren Benutzernamen an. Es ist, als ob Sie Ihre Brieftasche einem Fremden übergeben würden
Verwandte: In Großbritannien versuchen die jüngsten Entwicklungen, solche „Drittanbieter“-Apps auf eine angemessene Grundlage zu stellen, indem sie zugelassenen Anbietern von Mint-ähnlichen Produkten eine offiziell sanktionierte Möglichkeit bieten, auf Ihr Konto zuzugreifen: siehe Open Banking .

Antworten (4)

Der My Money Blog hat vor einiger Zeit einen Artikel zu genau diesem Thema veröffentlicht.

Ich denke, wenn Sie in den AGB für Mint nachsehen, steht dort irgendwo, dass Sie Mint eine „eingeschränkte“ Vollmacht erteilen, die es ihnen ermöglicht, sich in Ihrem Namen auf verschiedenen Websites anzumelden.

Für die Zwecke dieser Vereinbarung und ausschließlich um Ihnen die Kontoinformationen als Teil des Dienstes zur Verfügung zu stellen, erteilen Sie Intuit eine eingeschränkte Vollmacht und ernennen Intuit als Ihren Bevollmächtigten und Vertreter, um auf Websites Dritter zuzugreifen, diese abzurufen und Verwenden Sie Ihre Informationen mit der vollen Befugnis und Befugnis, alles zu tun und auszuführen, was im Zusammenhang mit solchen Aktivitäten erforderlich ist, so wie Sie es persönlich tun könnten .

Bedeutet dies, dass das Ermöglichen des Zugriffs auf Ihre Bankdaten durch eine bevollmächtigte juristische Person keine Verletzung der Nutzungsbedingungen der Bank darstellt, die Ihnen ansonsten verbieten, Ihre Anmeldeinformationen weiterzugeben?

Ja, die AGB für alle Banken, bei denen ich Konten habe, besagen, dass Sie niemals jemandem (oder einer Software usw.) Ihr Passwort und den Benutzernamen mitteilen dürfen.

Wenn Sie also Mint.com nutzen, würde ich erwarten, dass die Bank eine „Aus dem Gefängnis freie Karte“ hat, falls jemals aus irgendeinem Grund Geld von Ihrem Konto verloren geht.

+1, obwohl Sie einige Tippfehler in Ihrer Antwort haben, nehme ich an, Sie meinen " Aus der Gefängniskarte raus ", wenn jemals Geld gegangen ist ...
Klingt so, als würde "jede Software" auch für Quicken und andere ähnliche Dienste gelten.

Mint.com verlässt sich darauf, dass seine Benutzer Regeln brechen, um ihren Dienst zu nutzen. Ungeachtet der Bankrichtlinien vertrauen Sie am Ende darauf, dass sich ein Dritter in Ihrem Namen bei Ihrem Konto anmeldet, wo er die volle Kontrolle über Ihr Konto hat.

Zumindest für einige der Banken, mit denen es verknüpft ist, verwendet es keinen gut dokumentierten offenen Standard, wie beispielsweise OFX . Es muss die Website crawlen und sich als Sie ausgeben. Dies bedeutet, dass Sie Ihren Namen, Ihr Passwort, Ihr Passwort, Sicherheitsfragen usw. eingeben. Sie geben ihnen alle Schlüssel. Das bedeutet auch, wenn die Bank ihr Layout oder ihre Funktionalität ändert, hat Mint Probleme bei der Aktualisierung und Sie wissen es vielleicht nicht.

Zu guter Letzt, wenn Sie Mint fest mit Ihren Bankkonten verdrahten und sich darauf verlassen, werden Sie später Schwierigkeiten haben, Bankpasswörter zu ändern, weil es noch mühsamer wird.

Wenn Banken nur moderne Tools wie OAuth verwenden könnten (nicht unbedingt genau das, aber in die gleiche Richtung) und Standardmethoden zum Exportieren von Daten unterstützen könnten ... Leider sind die meisten von ihnen kaum aus dem 20. Jahrhundert, geschweige denn aus dem 21. Jahrhundert.
Es wäre großartig, wenn sie wie Facebook oder Websites wären, die OAuth verwenden, sodass Sie bei Ihrer Bank angemeldet sein müssten, dann der Anwendung die Erlaubnis erteilen müssten und auch eine detaillierte Liste dessen wäre, was der Drittanbieter benötigt Zugang. Und außerdem wäre es großartig, dass dies Ihre Sicherheitsvereinbarung mit Ihrer Bank nicht brechen würde, es sei denn, Sie gewähren Dritten Zugriff, um in Ihrem Namen Geld abzuheben (was meiner Meinung nach einfacher wäre, wenn Sie nur eine Debitkarte verwenden).
Tatsächlich würde eine Geldbewegung niemals von Dritten zugelassen werden. Sie sollen nur Informationen lesen können. Bargeldbewegungen würden eine Debitkarte erfordern, um absolut sicher zu sein.

Das scheint nicht anders zu sein, als meiner Frau meinen Benutzernamen/mein Passwort zu sagen und wir beide dasselbe Login zu verwenden. Soll ich davon ausgehen, dass dies auch gegen die AGB verstößt?

Eigentlich möchte ich nicht annehmen und Ihnen nur sagen, was meiner Meinung nach erlaubt / nicht erlaubt wäre. Lassen Sie uns also eine tatsächliche Nutzungsbedingungen verwenden: https://www.chase.com/ccp/index.jsp?pg_name=ccpmapp/shared/assets/page/terms

Die einzigen zwei Klauseln, die sich mit Passwörtern befassen, lauten wie folgt:

Die unbefugte Nutzung der Websites und Systeme von JPMorgan Chase, einschließlich, aber nicht beschränkt auf den unbefugten Zugriff auf die Systeme von JPMorgan Chase, den Missbrauch von Passwörtern oder den Missbrauch von auf einer Website veröffentlichten Informationen, ist strengstens untersagt.

...

Sie erklären sich damit einverstanden, dass (i) Sie sich nicht an Aktivitäten im Zusammenhang mit der Website beteiligen, die gegen geltendes Recht, Vorschriften oder die Bedingungen von Vereinbarungen, die Sie möglicherweise mit JPMorgan Chase haben, verstoßen, und (ii) unter Umständen, die die Standorte der Website erfordern Identifizierung für den Prozess, werden Sie wirtschaftlich angemessene Sicherheitsverfahren und -kontrollen einrichten, um den Zugriff auf Ihr Passwort oder andere identifizierende Informationen auf autorisierte Personen zu beschränken.

Die Klausel zur unbefugten Nutzung scheint einfach das Offensichtliche zu sagen: dass es verboten ist, ohne Autorisierung auf das Konto einer anderen Person zuzugreifen. (dh stehlen Sie nicht das Passwort von jemandem und verwenden Sie es und hacken Sie sich nicht in dessen Server.) Das würde hier nicht zutreffen, da der Benutzer von Mint.com / quickenonline das Unternehmen autorisiert.

Die zweite Klausel scheint diese Situation anzugehen. Wie ich es lese, sagt es im Grunde nur, dass man solide Sicherheitspraktiken anwenden soll. Ich würde sagen, das bedeutet, wenn Sie Ihre Nachforschungen anstellen und Mint.com vertrauen, Ihr Passwort zu schützen, können Sie frei entscheiden, ob Sie sie autorisieren möchten, sich in Ihrem Namen anzumelden.

Dürfen Bankkunden Benutzernamen und Passwort für Websites wie Mint.com angeben?
AntwortenHierDatenschutz-Bestimmungen1y, 1v