torsdag 26 september 2013

Hur säkra är Tink och Qapital?

Flera tjänster som erbjuder automatisk analys av ens privatekonomi har börjat dyka upp, exempelvis Qapital och Tink. Gemensamt för dessa är att de behöver åtkomst till ens bank- och kreditkortstransaktioner, vilket de löst genom att be användarna om deras inloggningsuppgifter till bankernas mobilappar eller "förenklade inloggningar" på webben. Här hajar man förhoppningsvis till - dela med sig av användarnamn och lösenord i klartext till tredje part? Tjänsterna är dock snabba med att försäkra en om att det inte är någon fara. Tink skriver:
På Tink kan du bara se din ekonomi, varken du eller någon annan kan någonsin göra varken överföringar eller betalningar. - https://www.tink.se/sakerhet/ (2013-09-26)
Och Qapital lovar motsvarande:
För att du enkelt ska kunna organisera din ekonomi hämtar Qapital automatiskt in genomförda transaktioner från de konton du själv kopplat till tjänsten. Eftersom vi enbart hämtar in historisk information, behöver vi inte full åtkomst till dina konton. Det är därför inte ens möjligt att göra överföringar av pengar via Qapital – säkrare än så blir det inte. - https://www.qapital.se/#!omqapital/sakerhet (2013-09-26)
Detta låter ju betryggande. Om det ändå vore sant!

Problemet är att bankerna generellt bara har två olika säkerhetsnivåer för åtkomst till ens konton. Dels fullständig åtkomst via internetbanken, där man typiskt loggar in med en "bankdosa". Och dels en enklare inloggning via antingen webb eller mobilapp, där man istället använder ett lösenord.

Det är alltså den senare inloggningen som Qapital och Tink använder. Och vad kan man då göra om man har dessa uppgifter? Det är enkelt att ta reda på - bara att logga in i exempelvis bankens mobilapp och testa. Framför allt finns möjligheten att genomföra överföringar och betalningar till mottagare som man lagt till i förväg (via internetbanken och den säkrare inloggningen).

Jag är övertygad om att de här tjänsterna menar väl och är ganska säker på att de inte utnyttjar bankinloggningsuppgifterna till mer än de absolut behöver, men det är ändå bedrägligt att försöka ge intrycket att det är omöjligt att missbruka dem. Vem som helst som du lämnar ut dina inloggningsuppgifter till kan göra precis samma saker med dina pengar som du själv. Banken kan inte magiskt avgöra om det är du eller någon annan som loggar in, de ser bara att lösenordet stämmer.

Grundproblemet är att bankerna är ovilliga eller bara långsamma när det gäller att tillhandahålla kundernas data på ett vettigt sätt. Det som skulle behövas - och som jag tror skulle vara relativt enkelt att implementera - är någon form av delegerad säkerhetsmodell, enligt samma princip som när man "loggar in med Facebook" på en fristående sajt. Då skulle man som kund kunna få en överblick över vilka tredjepartstjänster man har givit tillgång till vilka bankfunktioner, och även ha möjlighet att återkalla dessa tillstånd när man så önskar.

Det är bara att hoppas att bankerna snart inser att de faktiskt bidrar till sämre säkerhet genom sin passivitet, eftersom kunderna väljer att dela ut sina inloggningsuppgifter för att få tillgång till funktioner som bankerna själva inte klarar att tillhandahålla. Tills detta händer, var restriktiv med att sprida dina inloggningsuppgifter!

8 kommentarer:

  1. På SEB kan man bara föra över mellan egna konton, så jag var inte överdrivet rädd när jag delade ut mina uppgifter. Jag tycker det är för lite PFM i Sverige. Skandiabanken FTW.

    SvaraRadera
  2. Jag håller helt med om nyttan i den här typen av tjänster och jag använder själv Tink, men jag tycker inte att man ska vifta bort att man faktiskt ger ut sina personliga inloggningsuppgifter. Som sagt, grundproblemet ligger i bankernas tröghet och strävan efter att stänga in sina kunder.

    SvaraRadera
  3. Skandiabanken har det här inbyggt.
    http://www.skandiabanken.se/hem/internetbanken1/smartbank-om-smartbank/

    SvaraRadera
  4. @Damir Helt klart bra att de försöker, jag ser dock ändå många fördelar med att öppna upp för andra aktörer. Dels blir det lättare att ta med sig sin historik när man byter bank och dels är sannolikt inte bankerna de som kommer ligga i framkant när det gäller att ta fram nya kringtjänster. Kanske Skandiabanken kan leva upp till sitt rykte och även implementera ett data-API först av alla?

    SvaraRadera
  5. Det vore trevligt att kunna signera ett certifikat med sin bankdosa, som man sedan kan langa ut till liknande aktörer. Certifikatet skulle ge aktören i fråga tillgång till ett api med vilket aktören kan hämta ut relevant data.

    SvaraRadera
  6. Den här kommentaren har tagits bort av skribenten.

    SvaraRadera
  7. Great article Anders. This has been a question of mine for several years and I've been living in Sweden, UK and USA - so I've been able to test most PFM products out there. I was not too worried about security but more about the real need to have such high level access to my accounts for them to provide a worthy service to me.
    We're building www.fortune-app.com so that you can get all the information about planning for your future and making better financial decisions without having to give any personal banking data whatsoever.
    Thanks for writing the article,

    Aaron Colman

    SvaraRadera