¿Por qué la contraseña solo pueden ser 10 caracteres y por qué no pueden utilizarse símbolos?

La recuperación de contraseña, clave de firma y el 2FA se realizan mediante SMS. En caso de SIM swap, ¿qué protección hay?

Tengo que decir, que me dedico profesionalemente desde hace más de 10 años a la seguridad web para grandes empresas, y hay muy malas practicas en la web de my investor.

Por ejemplo, cargan JavaScript de muchos sitios de terceros:

Cita de HectorMann

Supongo que esto tb habrá que compararlo contra otros bancos para tener una visión más clara. Sobre lo que citas, entiendo que se refiere a la clave de acceso de sesión... la mía tiene 11 caracteres y tiene un carácter especial. En todo caso, si se refiere a esa, es únicamente para acceso a la cuenta, por lo que tampoco lo veo tan "preocupante" (la de ejecución de operaciones tiene 8)


El tema de como funciona atención al cliente, tiempos de respuesta, etc... bueno eso por ahora no tiene mucho remedio, están captando clientes a dolor y no dan hecho. Eso lo que hay.Lo que no me gusta tanto es que si haces varias operaciones seguidas, los códigos que te piden para ejecutarla son las mismas posiciones (si es que no lo han arreglado).

Lo que expone al persona sobre la "seguridad" de la web, pues es demasiado complejo para evaluarlo, al menos para mi. Lo de que la clave llegue por SMS, la verdad es que estoy pensando como lo hacen otros bancos (tb tengo Openbank y BBVA) pero nunca me he visto en la tesitura. También te digo que no existe el sistema perfecto y hay una gran parte que tiene que hacer el cliente. Recuerdo que esto mismo se lo preguntaron a MyInvestor y contestó que se cumplian las medidas de seguridad que requiere la legislación y todo eso (quien sabe para comprobarlo).

Por mi parte llevo con unos cuantos años (vengo de cuando Esfera de fue al tacho y lo compró Anbank la parte de la gestora) y nunca he sentido "miedo" o desprotegido. Es cierto que la app y la web es la que es, pero yo no lo tengo por eso sino por los productos que me ofrecen, que no tengo posibilidad de conseguirlos en otro lado (o son más caros). También te digo que yo entro 1 vez al mes para hacer las aportaciones que me tocan en los fondos y no vuelvo hasta el mes siguiente (ni las tengo automatizadas) así que las probabilidades de que me encuentre algo "que no me gusta" son pequeñas.

Pero como todas las cosas, no pasan hasta que pasan...

Bueno, os comento.
Perdí mi contraseña de Myinvestor (se entra con dni y contraseña) así que llamé al número que me dice la pag que he de llamar para reestablecerla. Me piden mi nombre apellidos y dni (el número, no la foto del documento ni nada). Me dicen que me invente una pregunta de seguridad, y una respuesta. Se la digo. Me dan una nueva contraseña y ya puedo entrar con mi dni y contraseña, y cambiarla a la que quiera o hacer lo que sea.

Nada mas me han pedido, absolutamente nada mas.

Si soy alguien que me conoce y tiene mi dni, nombre y apellidos (lo mas facil de saber del mundo) podría haberlo hecho perfectamente. Podría entrar en mi cuenta, cambiar la contraseña y robarmela.
¿Y si tengo 100 000 pavos en mis fondos de inversión?

Entiendo que para operaciones hay otra clave de operaciones que esa persona no tendría pero... tela aun así.
¿Y si esa otra clave te la dejan cambiar tambien con la misma facilidad?

Cita de Mike Oxhard

Por otro lado, esto me resulta flipante: