Data nașterii NU ar trebui să fie o întrebare de securitate
Folosirea datei de naștere a unei persoane ca întrebare de securitate poate genera efectul opus: poate fi un defect uriaș de securitate.
Mă nedumerește de ce o bancă mi-ar cere să mă conectez cu o parolă și, de asemenea, mi-ar cere data nașterii (DOB). Apoi banca (sau poate nu) telefonează cu conversații stupide de genul acesta:
Telefon: Pot să vorbesc cu domnul Kendall
Pe mine: Domnul Kendall vorbește
Telefon: Înainte de a continua, vă rog să-mi spuneți data nașterii și codul poștal
Pe mine: Cine eşti tu?
Telefon: Nu vă pot spune asta decât dacă îmi spuneți data nașterii și codul poștal
Pe mine: Despre ce e vorba?
Telefon: Este o chestiune confidențială. Trebuie să eliberez securitatea înainte să-ți spun ceva. Am nevoie de data nașterii și codul poștal
Eu (într-o dispoziție precaută, conștientă de securitate): Bugger off.
Deducerea este că, dacă cunosc data nașterii și codul poștal al altcuiva, pot trece testele de securitate.
Data de nastere este probabil cea mai ușoară informație „confidențială” de aflat, dar atât de multe companii financiare o folosesc ca întrebare de securitate. De ce conectați atât de multe înregistrări înapoi la un DOB?
Ce zici de acest scenariu (complet fictiv). Fred nu există cu adevărat și este norocos că nu există.
Conduceam spre casă și am văzut după colț o casă cu un banner mare: „La mulți ani Fred – 40 de azi”.
Pare destul de inofensiv la prima vedere, dar este suficient pentru a cauza mai multe probleme lui Fred. Acum știu că cineva pe nume Fred locuiește în acea casă. Știu codul poștal. I-am notat înmatricularea mașinii. Dacă Fred are 40 de ani astăzi, nu este nevoie de multă matematică pentru a-și afla data nașterii.
Odată ajuns acasă, nu-mi ia mult să-l găsesc pe Fred online; Există o mulțime de resurse gratuite pentru afaceri și pot găsi numele complet al lui Fred din data de naștere și codul poștal. Îl găsesc pe Facebook, da, se potrivesc ziua de naștere; Acum am fotografii cu el și știu numele familiei sale și numele animalelor de companie, o mulțime de furaje frumoase acolo. De pe Twitter îi cunosc mișcările și chiar aflu că mâine pleacă într-o vacanță de familie de weekend. De pe LinkedIn îi cunosc jobul(ele) și studiile anterioare. Știu când s-a mutat în casa lui, cât a plătit pentru asta și ce valoare are acum. Din Google Maps știu că există o piscină în grădina din spate.
Mi-a luat doar 10 minute să aflu toate astea. Până acum nu am făcut nimic ilegal. Fără phishing, fără minciună, fără hacking, fără căutări plătite, fără a trece prin coșurile lui. Am suficiente informații pentru a scrie o carte despre Fred și totul este disponibil public datorită, în general, instituțiilor financiare, guvernului și rețelelor sociale; dar poate în principal lui Fred, care oferă fără să vrea mult prea multe informații.
Tot ce aveam nevoie era data lui de naștere.
Dar asta e vina lui Fred? Cu siguranță el are dreptul să împărtășească data sa de naștere cu prietenii și cunoștințele. Băncile și alte instituții financiare ar trebui să folosească un alt identificator pe care oamenii nu au nevoie – sau nici măcar nu doresc – să-l partajeze în mod public.