如何看待挖财钱管家的安全性？
最近看到挖财推出了挖财钱管家产品，比起单纯记账而言确实更适合懒人所用，从数据角度也更精准。可是看见绑定淘宝和银行账号密码就退了一步，保险这些都是虚的，难道没有其他更好的数据互通与用户安全隐私方面的解决方法？
按投票排序
过去用过一些记账软件，但是挖财确实把我吓到了。要求提供淘宝账户密码、银行卡的账号和密码。我想无论从哪个方面，我都不会这么相信这个软件，提供这些信息。用网银超过15年了，自认也是网络金融的老手了，但是对挖财这样的软件，我是没有信心的。
谢邀，之前刚刚写过信用卡App的问题，可以看一下：没想到很快这些从邮箱密码、信用卡账单数据中尝到甜头的企业又来推新的跟用户要各种金融数据的产品了。查了下百度手机应用下载次数39万，影响应该已经有不少了。先来看看官方宣传中此App有什么服务：关联支付宝和各家网银，确切知道钱花哪儿了。随时随地，知道自己有多少钱。智能分析，预测年底有多少钱。简单预算，买车买房不是空想。完全免费的私人银行。安全可靠的银行级多重加密确保信息安全。中国平安承保个人账户安全。这些服务实际是什么？服务1 展示你的支付宝和网银消费记录；服务2 展示你的支付宝和银行账户的现金；服务3 通过爬你工资流水和历史消费数据预测你年底能节余多少钱；服务4 预算服务5 狗屁服务服务6 狗屁服务服务7 狗屁服务服务1-2，你不会自己去支付宝和网银查吗？支付宝、银行那么大的企业辛辛苦苦做各种安全控件都还经常出安全问题，你还要跑一个小企业的App里输明文密码给他？你确定有那么多网银管不过来需要整合查询？服务3，你觉得靠谱吗？你过去的消费数据能代表你未来的消费数据？不靠谱的预测你给他工资流水和历史消费数据干嘛？服务4，你不会用excel做预算啊？excel不会不能用记事本啊？服务5-7就不说了，把这种宣传伎俩当服务，太把用户不当回事了吧？再看看应用市场上的宣传截图：我再截了两张App里边添加数据的图：很明显，这就是一个通过让你输入你的淘宝帐号/密码、银行卡帐号密码，然后整合你的数据给你一些没意义服务。你交出了那么多金融数据，你得到什么？就为了得到能在手机上点一下App就能快速查询你各处网银和淘宝消费记录、现金？这个服务值得你把你的淘宝帐号/密码、网银帐号/密码、月工资收入、历史消费记录都交给一个连上市公司都不是的公司？你考虑过网银密码交出去后银行在网银上提供的一切你的金融数据对这个公司都是透明了的吗？你的金融数据是最宝贵的数据，银行要？他得给你发信用卡给你各种理财产品。淘宝要？他得给你一个生态系统给你消费。怎么一个银行账户数据整合的功能就把你所有银行账户数据全交出去了？再来看看他们的同意解析数据里的授权协议：自己琢磨这份用户协议吧。自己琢磨这份用户协议吧。最后：根本就不用考虑什么题意中的安全性。这种整合消费者各处银行账户数据、淘宝账户数据展示的功能不会有正常人会在一个商业公司的软件里使用，如果真的有用户那么懒那么信任一个商业公司而交出那么珍贵的数据，活该他以后账户被盗投资亏损天天被打促销电话，完全没有任何风险意识，没什么可值得同情的。修改了下措辞，有朋友觉得太激烈了。
核心并不在于说挖财这个服务要求用户提供密码，而在于个人对待自己各种财务密码的态度。挖财提供的服务需要用户提供密码来完成对应的服务内容，这个无可厚非。在这个层面上提供密码，就好像『需要OSX系统才能运行本软件』一样的意思。你要享受这种服务就只能遵照这种要求。为了享受某种服务而提供自己的财务密码（各种银行卡等的），这就是个人安全意识的问题，在这个层面上，每个人都应该只有一种态度『绝对不向其他第三人提供财务密码』，因为第三人知道了你的密码，你的财产就有被盗的风险。所以不论挖财如何保证安全性、保证加密都不应该成为我们提供财务密码的原因，为什么要拿自己的财产去赌别人的承诺和诚信呢？
应该是模仿这个软件。美国产的账目管理软件，同样是要求你提供银行卡的账号和密码。方便的地方不用说，就是自己记账还要写明细实在是麻烦，他帮你代劳了。其他的就是扯。关于安全性，看看纽约时报做的以下调查。信息的安全性上， 通过帐号卡号分离、独立服务器、高级加密、白客防护、需要认证才能进入的机房，尽量保证你的信息不被外部黑客获取。而关于信用卡信息的不当使用，比如盗刷等等，美国人似乎从没这方面的担心，反正盗刷了我向银行举报一下就没损失，这里的创始人还会锒铛入狱。最关键的是你的消费信息的泄漏。这一点按照法律专家的观点是无法避免。你的消费数据就会被软件提供者无偿使用甚至出售给商业公司，而其中的合法性就在你点“我接受”的服务条款里。于是我删掉了这个软件。
既然你们都说数据加密，哈希算法，那么你们数据的来源你们不脸红吗？任何一家大公司都不会开放这种核心数据给其他公司，只能说阿里无线真的是呵呵哒我只想喷一下阿里和那些所谓通过淘宝账号记账的app。某次我想研究一下这些app是如何做到获取用户数据，因为显然不是授权登陆，那么我开始想反编译。但是发现确实和上面的说的是经过加密的，过去不到任何内容。but我用最笨的办法长按验证码。。。发现里里面的链接。。这个链接的作用是『使用淘宝账号登陆支付宝』那么这个链接登陆后去哪呢？直接跳转到支付宝PC端个人首页，而且你可以通过该链接的goto字段定义任何支付宝域名下的跳转链接。。我为何要喷这些x管家？因为你们误导用户好像是淘宝授权给你们的数据，你们把落地页屏蔽，用户根本不知道整个支付宝的内容都在你们眼前。那么最后只能相信你们的人品了。。我为何要喷阿里？这个被利用的漏洞完全是阿里产品考虑不周，该链接最后居然直接跳转到PC端支付宝首页，全程无任何安全验证，我向支付宝前端反应了问题，最后2个月了依然没有人理会，这个漏洞已经被利用数年之久，居然无人管，我还怎么敢相信支付宝安全？！！链接如下，有兴趣长按钱管家二维码获得该链接
保管好自己的支付账号和密码 谁都别信。
财产真的达到需要认真管理的程度的话，是不可能把密码交个这么一个破玩意的。
挖财这样做风险确实非常大，用户在绑定时并不清楚自己的账号、密码被保存，这也可见挖财为了避免引起用户怀疑抵触、所以避开了这样的字样，涉及到这么重要的隐私数据的APP、其隐私说明居然如此的含混其次，也可见挖财的用心。挖财的这种作为，肯定没有获得银行授权，银行可能会采取一些反制措施。换句话说，挖财的这种接入行为，其实就是黑客行为。对于挖财的这种行为，作为一个同样处于金融行业、也曾想过保存用户密码的人，我只能说，干得漂亮。
这样的app简直是把人当傻子，下来看到要输银行卡密码就删掉了，毫无安全感。
没有用过，可能也不会去用，从回答和评论来看，感觉有点像：你愿意让我从摄像头看你家卧室吗？放心，啪啪神马的敏感信息都是加密的，我也不和别人说，大不了你关了摄影头我就看不见了。反正我也就是看看，又不动你家东西，还能帮你分析指导下动作什么的，你怕啥…所以我还是好怕怕。这个比喻也许不是很合适，欢迎指正。
刚才下载试用了，链接淘宝之后提示我链接失败。接着我就收到邮件说我淘宝账号有风险，让我改密码。然后我改完密码，重新绑定挖财钱管家，这次成功了，终于能用上了。挖财老用户了，相信挖财。
服务进行的前提，是提供者和接受者彼此间的信任。挖财作为一个服务提供者，在个人记账理财领域已深耕5年。从“挖财记账理财”，到“挖财信用卡管家”，到“挖财钱管家”，挖财团队一直努力为用户提供更好体验的移动端个人记账理财产品，帮助用户管理好自己的个人财务。几千万用户的认可，是挖财团队前进的动力。“挖财钱管家”也是为了解决用户的需求而产生的，它目前还不是非常完善，但它是在现有环境下相对合适的帮用户管理个人账务的工具之一。和“挖财记账理财”一样，我们不奢望每个智能手机用户都会使用“挖财钱管家”，但我们相信，会有越来越多的用户借助“挖财钱管家”等移动App，把自己的账务方便地管理起来。挖财“做老百姓的资产管家”的目标，不会改变。我们专心为用户服务；我们理解旁观者的质疑。财宝们，加油！
那个挖财技术负责人的答案大概意思就是说你先把密码给我们，你不给就是不相信我们我们是有职业操守的公司我很中立，没有在给挖财说好话你把密码给我们，我们会好好保管它的，你放心我是资深程序员，并不在乎你们的密码和卡里的钱，我在乎的是我的操守。
国内银行禁止用户将银行卡密码泄露给第三方，如果用户有这样的行为，不光发生风险时银行可以免责，而且银行可以违反用户协议为由停止服务，以建行龙卡为例中国建设银行龙卡信用卡章程第六章
持卡人的权利和义务第四十八条
持卡人应妥善保管龙卡信用卡及其卡片信息、密码、交易凭证等，不应将卡片、密码等相关信 息泄漏给他人，因保管或使用不当而导致的损失由持卡人本人承担。
挖财这个模式本身就有问题，都不用考虑他本身的安全性以及他采用了什么技术，银行搞那么多防止机器登陆的措施，现在挖财居然拿用户的密码用黑客的方式登陆网银，这是在挑战银行的底线么？我也一直希望有个网银大管家，这样就不用单独登陆各个银行查询数据，我认为这个大管家应该采用用户在银行授权的方式，就像微信授权某个应用使用用户的昵称类似。最适合做这个工作的当然是银联，当然挖财有信心去和各个银行、平台谈接口也可以。现在的挖财就像那些抢票软件一样，拿了用户的用户名密码，用程序读出验证码在12306抢票，这简直就是黑客行径嘛，为什么那么多挖财的员工还信誓旦旦的说我们的技术多牛逼，机制多安全balabala，一开始就走错路了，难道还会走到正确的终点么？ 我看过绑定账号时的协议和其他资料了，没找到关于任何挖财如何连接网银获取数据的描述，所以才来知乎看看
你好,我是钱管家服务端的一名技术负责人,负责的正好就是数据抓取那部分,因为这正好涉及我当前的工作,我也算是知道核心技术比较多的之一吧,有感而发,个人观点:1, 一楼"神原"说的核心思想,我本人也认同,挖财,的确"知道了"用户的消费数据,但是这未必代表不安全或泄露, 因为挖财尚未拿这部分数据去做不法或灰色的勾当; 所以,我认为,问题的关键点不在于用户数据会不会被别人"知道", 而是, 被什么样的"人"知道, 那个知道用户秘密的人会怎么去做; 当然, 用户可以不相信挖财, 那可以选择不使用挖财的服务, 同时这也激励了我们要去做得足够好!2, 使用用户数据去为用户提供更广泛的增值服务, 是现在互联网行业在大数据背景下的一种普遍模式, 在国外甚至都已经"套路"化了, 像挖财这样有可能掌握用户数据的公司, 以后只会越来越多, 且不说BAT, 就说三大运营商基本所有网民在他们面前也等同于裸奔, 但是, 你还是会接听到骗子的电话和短信, 为什么? 职业操守! 所以, 还是我说的第1点观点, 如果要靠个人完全保护自己的隐私, 几乎是不可能了, 关键还是各公司的操守, 和严格的法律环境, 当然用户也应注意避免把自己的信息泄露给不靠谱的人或公司;3, 我之前做过几年的广告推荐系统, 在阿里待过, 在移动待过, 深知用户数据的价值, 可以说, 远比用户自己理解的高出10倍, 但是, 这些数据如果拿给用户自己处理, 产生不了什么价值, 可以说等同于0,
那只是你的日记碎片, 交给有处理能力的良心公司, 就可以产生100倍价值, 公司是受益者, 但用户也是啊! 如果不小心被无良公司知道了, 那就完了, 产生负价值, 损失也会很严重! 所以, 前提还是, 你是否相信这家公司的人品! 我这么说绝对是中立的, 不会因为我是挖财的员工就帮挖财说话!4, 关于用户存储在我们这里的网银查询密码, 我正好是这个安全方案的主要设计者, 我们采取了很多种手段, 有技术上的, 也有人员流程上的, 具体要把这个系统的环环扣扣都说清楚, 篇幅太大, 如果楼主或者爱好者敢兴趣, 可以私下交流, 我这里就说几个要点:4.1, 开发人员(挖财员工)不可能获取到用户的网银查询密码的明文, (涉及到核心技术实现的保密, 我不能说这是怎么做到的)4.2, 同一个的密码在网络传输中做到了实时加密变换, 就是比如你的密码是"123456", 但是在网络传输中, 各服务器通信时, 密码是个乱码, 而且这个乱码每次传递的时候都不一样, 在不停地变, (怎么实现的我还是不能说), 这样的好处是可以有效避免暴力尝试破解, 假设路由器被监视了;4.3, 假设挖财的整个服务器机房被控制, 或者机房管理员企图窃取用户密码, 这种情况, 密码仍然不会被盗取,(还是不能说~)5, 我个人在互联网搜素与算法领域干了11年了, 自认为还是很有追求的, 大言不惭, 我就是冲着有朝一日可以狙毙那家102年的公司去的挖财, 资深程序猿的追求绝对不是冲着卖卖用户信息这种没有技术含量的事情, 我们就是要去打破大公司垄断互联网的格局, 有这样目标的公司, 什么事可以干, 什么事不可以干, 是很清楚的, 所以, 如果挖财没有基本的操守, 我绝不会认同, 如果挖财哪天干了伤害用户的事, 我第一个暴扁CEO一顿然后上图!作为挖财团队的一员, 我抱持极大的热情与真诚, 请给像挖财一样的互联网创业公司一份微薄的鼓励与支持, 如果挖财做的不好或背叛了用户, 请无情地抛弃我们!
一万个“挖财员工”，“n年挖财老用户”已回答这个问题，要不是题目描述还正常就该直接举报广告了。 当年泄露一个隐私都要口诛笔伐，现在直接要密码就该歌功颂德。题主要的是怎么确保安全，说别的都是虚的，还谈“信仰”，朋友你知道dota2吗？
先声明一下， 我现在是挖财员工， 以下言论可能有“屁股决定脑袋”之嫌，所以，诸君可以呆着批判的眼光来看，但别一开始就先入为主的以“老子一定要批判死你“的态度来看，那就没劲了。（另外，日常我说话从来都是tmd不断，不爽觉得我是在骂人的，可以单独开贴駡，哈哈）其实扯了半天， 也就是楼主一开始就以怀疑的眼光来批判，这很好， 说明楼主有批判意识，但是，整个事件你的观点我总结一下就是“没给老子任何好处，还有可能泄露老子的隐私”， 然后就引申出一堆blablabla， 其实我刚开始接触这个产品也是挺惊诧的，居然那么多人绑定了，以哥多年良好的IS意识兼十多年软件从业经验，即使是当前东家的产品，我也一开始不敢用， 这就好像第一眼看到“银河护卫队”那张战斗机大网觉得很不可思议，然后可以这么玩，也太tmd扯了吧？ 可是， 冷静下来想想， 有毛关系啊？ 还不一样是一个一个拼起来的？ 对于绑卡和密码这东西，查询密码给你就给你，又不会影响到我的资金，你丫也拿不走，我怕啥？ 至于隐私， 操， 就算他们能看见，让他们看呗，老子有这些钱，牛B不行啊？哪天不想让他看了，把查询密码一改，万事大吉啊！其实就跟tmd体检一样， 抽你点儿血样本嘛，帮你分析一下身体（财务）健康程度嘛， 有些人说老子就是强健如牛，不用检查， 那OK那， 没人逼你去；可是不意味着你不用，别人也不愿意吧？ 要说风险， 抽你血还可以去搞dna clone那，可你会天天为了这种SB的极小概率事件而放弃规避更现实的风险吗？（比如短期内的病痛，no body lives for ever）钱管家产品现在是有很多地方做的不好， 可是我们的团队也在很卖力的摸索和改进， 想着怎么给用户提供更好的理财服务，比如像信用卡还款提醒， 代还信用卡等小功能， 目前来看还是很受用户欢迎的，不过这也反映了我们做的还远远不够，没有在更大的层面，更应该为用户提供有价值的服务层面做得更好。我们后期希望为用户提供理财建议，资产调配咨询，成为个人理财顾问，甚至于成为一站式理财服务提供商，这是我们的理想和追求，我们不是tmd土匪，干一票是一票，如果真那样，那tmd老子离开102年的那家温暖的庙堂干嘛？舒舒服服呆着不是挺好？还tmd犯贱降薪加入挖财创业？你要说非得BAT那种公司做的东西大家才可以相信，那就太侮辱创业者们了，难道BAT就是一出生就是富二代？ 再说了，谁又敢说富二代就一定信用良好，童叟无欺，道德高尚， 大道为公那？ 其实扯远了， 我其实想说的就是，我们只要查询密码， 如果同学们查询密码和交易密码一样，那去改掉吧，这也算我们的功劳，起码让大家知道了一点基本的IS常识。 如果查询密码放出来你也担心，那不要给就好了，因为我们是服务那些敢于尝试又乐于使用挖财理财服务的用户的。 风险和收益本来就是共存 ;-）
针对挖财钱管家的安全性，我从4个方面做下补充：1.应用安全服务端采用安全随机数和强哈希算法；敏感数据采用业界标准128位RSA加密技术进行加密，并用更高级别的加密算法甚至多种安全加密算法组合策略；使用应用防火墙和自建CTU系统。2.系统安全使用入侵检测系统（IDS）；系统之间根据重要程度进行隔离部署；内部使用严格的授权和审计机；多机房数据备份和容灾，保障用户数据安全。3.网络安全架设多层防火墙；采用安全套接字（SSL/TLS）保障信道安全。4.数据存储安全存储方面保证数据不丢失。机房，保证24h运行，经手的操作人员必须得到ceo和coo双重授权才可操作。同时监控能实时监控各项数据及经手的操作人员。至于工作人员的职业操守，请充分相信挖财及挖财全体员工！挖财用事实说话，一起来挖财吧！
看了挖财员工的解答，我只就一点来说：密码是明文还是密文，你肯定说密文，明文就不讨论，没有意义。好，是密文，那你就是存在数据库里了，那你需要解密，算法是什么?内部的？总之最后你是以解密后的提交给银行处理端了！那问题来了，有人知道算法，会不会有人知道，绝对有的！员工离职就会发生！那安全就基本不可能了。最后：这样的事情未来不可能共享，因为安全问题没有人愿意，还有国内的死板企业也不可能会改变，除非冲击他们的利益百度理财账户被盗怎么办_百度知道
百度理财账户被盗怎么办
提问者采纳
百度理财资金体现除非是银行账号密码被盗，需要立即通知银行挂失外，只能转入个人名下的银行卡（绑定），唯一要担心的是乱买理财产品
其他类似问题
为您推荐：
理财的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁