当银行告诉用户不要写下密码时，用户能使用密码管理器吗？

Question

假设一个用户想要为他们的银行密码使用密码管理器。银行的建议通常说他们不应该写下密码。用户可能会担心违背这一建议，因为这可能意味着他们的银行将拒绝为其账户上可能发生的任何欺诈承担责任。

那么，他们能使用密码管理器吗？将加密的密码存储在写下来就算了吗？

这是一个法律和政策问题；我已经意识到使用密码管理器的技术风险和好处。答案可能是针对国家的(甚至是针对银行的)。我在英国，但我对世界上任何地方的答案都感兴趣。

Answer 1

我是德国的律师。在这里，客户和银行之间的特殊条件是合同的一部分。因此，我们讨论的是在这些特殊条件下禁止使用密码管理器的条款。

我去了我的银行的网站，画出了条件，它说，实际上，客户不允许在他的电脑上存储密码。

所以这个条款禁止把我的-我的--放在电脑上。问题是，我是真的将密码存储在密码管理器中，还是“存储”类似于23%%4l5ksa0ß90ßv9w6&!的东西？这是一项法律条款吗？

谢谢你的提问！

编辑:如何解决这个问题？-正如pai28所问的。我甚至不确定写这些条件的人是否知道我们用户在过去几年中所取得的进步。我们使用-经理，因为一个在线存在是不可能的。

因此，应该修改该条款:不允许客户将未加密的密码存储在任何IT设备上。或者类似这样的东西。

我会写信给我的银行协会并询问。如果我得到一个严肃的答案(不是布拉布拉，亲爱的顾客，我们非常感谢，但是我会报告结果)。

终于来了！存储加密密码是可以的(2019年！)

在2019年6月，我从我的银行得到了新的条款和条件，其中一条规定，银行的客户(=我)不允许在我的电脑上存储不安全的认证秘密。因此，存储密码，事务号，无论是使用密码管理器还是加密，最终都是可以的！

这家银行(德国的Volksbank)有关心客户加密方面的记录。他们甚至提供了gpg加密的电子邮件，我真的很感激。这是一家本地银行，我不会把它们换成网上银行。

Answer 2

我不是一个门外汉，但一个正确构造的密码管理器存储密码，大致与任何现代银行系统一样安全。

我不能谈论使用密码管理器的合法性，但我可以说，在哲学层面上，任何个人提供的密码都可以被接受为身份验证，(适当构造的)密码管理器密码是可以接受的。

(编辑:向正确构造的密码管理器添加密码并不等同于简单地将它们写下来。)

Answer 3

我从未听说过这种情况，所以我不能肯定地说，但我想最初的前提是有缺陷的:我不认为任何一家银行都会制定一项政策，规定如果你把密码存放在自己脑袋之外的某个地方，他们就不会为你的账户投保欺诈。强制执行该规则将要求密码易于记忆，因此易于猜测。最安全的密码是长而随机的字符串，大多数人必须将这些字符串写下来或存储在某个地方。银行可能会“建议”你不要在别人可以看到的纸上写下你的密码，但要求你不要在任何地方记录密码会降低安全性，而不是增强安全性。当然，我必须阅读特定银行的情况才能确定。

此外，银行制定这样的规则似乎毫无意义，因为你总是可以撒谎，说你没有把它存放在任何地方。这将是一项几乎无法执行的规则。

编辑:不管我怎么想，这是一家有你所指的规则的银行，尽管它有点模糊：http://www.amp.com.au/accountacessandoperatingconditions (见第7页)。它的不足是：“记忆辅助”是允许的，但你必须采取“合理”的措施，以确保它不受损害。我认为这意味着一个加密的密码管理器就足够了。