<div dir="ltr"><div dir="ltr">On Sat, Oct 8, 2022 at 10:27 PM Jack via KMyMoney-devel <<a href="mailto:kmymoney-devel@kde.org" target="_blank">kmymoney-devel@kde.org</a>> wrote:<br></div><div dir="ltr"><br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">While direct connect using ONLY name/password may not be considered  <br>
safe, I can think of ways to still use Direct Connect with 2FA.  For  <br>
example, any attempt to make such a connection triggers a text to a  <br>
mobile phone, where you can reply "Y" within some limited time to  <br>
authorize the connection.  A variant is something that Heroku uses  <br>
(owned by Salesforce, it's hosting site for web apps) which is a custom  <br>
phone app.  When you try to log in to their site, the app pops up and  <br>
you click OK or not, to allow or block the login from a browser.   <br></blockquote><div><br></div><div>That's exactly how these "Open" APIs work. That's not the problem, actually, we could totally use those APIs instead of Direct Connect. The problem is the added requirement of being a pre-authorized entity via on-purpose-issued certificates, as opposed to a regular TLS encryption.</div><div><br></div><div>I created an account with <a href="https://developer.chase.com">https://developer.chase.com</a> and am about to send a message, asking if they could look into our case. The FinTS precedent could help.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Absolutely no reason to totally scrap something that has worked well <span class="gmail-Apple-converted-space"> <br></span>for years</blockquote><div><br></div><div>That's a bit of a one-sided view. Banks have to fight fraud, so a simple user/pass login had to go. Even if it may never have affected you, it definitely have others, and banks are usually at financial responsibility for that. So it's understandable that they strengthen their security.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">give various commercial entities near full access to your <span class="gmail-Apple-converted-space"> </span><br>financial information.  I largely trust my bank to do a good job <span class="gmail-Apple-converted-space"> </span><br>protecting my data, but I'm not at all so comfortable with Intuit or <span class="gmail-Apple-converted-space"> </span><br>Yodlee (who I never heard of until this discussion.)<br></blockquote><div><br></div><div>Well, no one is forcing anyone to do that. Yodlee/Saltedge are just integrators, the commercial software uses them out of convenience, as this relieves them from having to deal with all the banks individually — both in terms of integrating with their often unique/quirky APIs and getting their authorizations. Yes, they put their users at disadvantage by doing so, but it's their problem — which they obviously also rather conveniently don't mention (vide Banktivity).</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">I wonder if FSF and/or EFF might take any interest in the direction  <br></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
this is going.<br></blockquote><div><br></div><div>I'll respond to that in the other e-mail you sent in that regard.</div><div> </div></div>-- <br><div dir="ltr"><div dir="ltr">Best Regards,<div>Dawid Wrobel</div></div></div></div>