Nouvelle option de paiement sur Paypal "Entrez votre identifiant bancaire en ligne + mot de passe": Un mécanisme qui pourrait sécuriser cela?
Paypal a une nouvelle option de paiement appelée "Compte bancaire" qui dit:
Entrez votre identifiant bancaire en ligne + mot de passe
QUESTION : Pour moi, cela semble dangereux (c'est-à-dire: envoie mon mot de passe à une organisation tierce comme Paypal), mais existe-t-il réellement un mécanisme/protocole de sécurité qu'ils pourraient utiliser pour sécuriser cette opération?
Remarques: Vu du Japon, sur Firefox 32.0 Ubuntu 2014.04, l'URL commence par https://www.Paypal.com/ 
Le symbole d'avertissement dans l'URL indique "Connexion partiellement chiffrée".
Une fois que vous avez soumis ce formulaire, les informations sont clairement transmises à Paypal. Donc, oui, votre mot de passe est définitivement envoyé à Paypal. Cependant, Paypal dit qu'il n'utilise que vos informations d'identification de compte bancaire pour confirmer/vérifier votre compte .
Ce qui semble se produire, c'est que Paypal prend vos informations puis les envoie à votre fournisseur de services bancaires en ligne pour vérification. Ce que Paypal fait avec vos identifiants après cela est inconnu. Ils peuvent le stocker pour de futurs paiements ou le jeter après le processus de vérification.
En une seule ligne: Oui, votre mot de passe bancaire va à Paypal. Est-il mauvais? Eh bien, cela dépend de la confiance que vous accordez à Paypal.
En comparaison, en Finlande, nous avons un système complètement différent avec Paypal. Lorsque Paypal doit vérifier le compte bancaire ou retirer du compte bancaire, vous êtes redirigé directement vers la page des services bancaires en ligne de la banque. Vous vous y connectez, puis vous êtes redirigé vers Paypal. Ils ne reçoivent qu'un jeton de vérification de la banque. Le système est appelé TUPAS .
Mon mot de passe est-il envoyé à Paypal?
Oui. Donner votre mot de passe à Paypal peut être une violation des conditions générales de votre banque et/ou vous rendre personnellement responsable de toute fraude qui se produit via ce système. Paypal peut également voir les informations personnelles et l'historique des transactions associés à ce compte. J'espère que vous faites vraiment confiance à Paypal maintenant!
Ou existe-t-il une sorte de protocole impliquant le serveur de la banque, ce qui rend cela réellement sûr?
Paypal exécute très probablement des scripts de grattage d'écran automatisés essayant de se connecter au site bancaire en ligne normal en votre nom et effectuant le transfert. Ceci est évidemment assez fragile et risque de se casser lorsque les banques mettent à jour leurs sites Web. Il est probable que certaines banques coopèrent avec Paypal pour réduire ce risque.
Cette approche a été effectuée plusieurs fois auparavant, par exemple par sofort.com en Allemagne. Je suis déçu de voir Paypal également sauter sur ce modèle de paiement. Alors que le reste du Web travaille sur des schémas fédérés d'authentification/autorisation qui vous permettent d'approuver des transactions particulières sans avoir à remettre les clés du royaume à d'autres participants (OAuth, SAML, etc.), le monde financier plonge à nouveau pour plus de commodité et compatibilité héritée sur la sécurité.
Vos informations sont transmises à Paypal, qui les utilisera probablement pour se connecter à votre compte bancaire. De cette façon, ils peuvent vérifier que vos informations sont valides.
Cependant - techniquement - ils peuvent également voir d'autres informations. Tout ce que vous voyez après vous être connecté (le solde de votre compte, les divers dépôts/retraits) est visible pour eux, et ils peuvent ou non le stocker. Techniquement, ils peuvent également invoquer toute autre fonction pour laquelle vous n'avez pas besoin d'une autre forme d'authentification.
Le risque est donc une question. L'autre question est de savoir si votre banque vous permet effectivement de le faire. De nombreuses banques exigeront que vous gardiez vos informations d'accès confidentielles. En utilisant cette fonction, vous violerez cet accord en donnant vos informations d'accès à un tiers.
J'ai un identifiant et un mot de passe accessibles en lecture seule. C'est la connexion que j'utilise lorsque des sites tels que Paypal le demandent. J'utilise également le compte en lecture seule pour mon logiciel quicken. Si vous êtes curieux de savoir ce que Paypal fait avec les données de connexion, lisez l'accord d'utilisation ou contactez l'assistance pour plus de détails.
Je pense que d'autres réponses expliquent bien les risques de donner votre mot de passe à Paypal. Je pense que le plus gros problème ici est que les utilisateurs apprennent de cette manière qu'ils peuvent parfois fournir un mot de passe à quelqu'un. C'est IMO extrêmement mauvais et stupide et je suis très déçu par Paypal pour le faire.