Een verjaardag is niet iets dat je zou kunnen beschouwen als privé-informatie die je geheim moet houden. Bijna iedereen viert ze op sociale media, en nogal wat mensen plaatsen ze op hun profiel. Dat is een vreselijk idee; dit is waarom.
Het is waarschijnlijk een van uw beveiligingsvragen
Naast het model van uw eerste auto en de meisjesnaam van uw moeder, is uw geboortedatum misschien wel de meest gestelde beveiligingsvraag op de meeste websites.
Beveiligingsvragen zijn notoir verschrikkelijk. Ze zijn waarschijnlijk de oorzaak van de meeste online “hacks” op sociale media, waaronder de iCloud-inbreuk in 2014 die veel beroemdheden trof. De fout zit in systemen voor wachtwoordherstel; ze zijn zo ontworpen dat u uw wachtwoord gemakkelijk opnieuw kunt instellen, maar ze maken het hackers vaak gemakkelijk hetzelfde te doen. Het brute forceren van uw wachtwoord op een website is niet echt een ding meer, en de meeste “hacks” die u kunt ervaren, vertrouwen erop dat u wordt betrapt op enorme datalekken of dat u vreselijke beveiligingsvragen hebt.
Zoals je verjaardag. Het is een wonder dat het zelfs nog steeds een optie is voor de toch al onzekere “bescherming van beveiligingsvragen”, aangezien het voor een hacker veel gemakkelijker is om uw verjaardag te achterhalen dan “de straat waar u bent opgegroeid”. Omdat het ook een van de eenvoudigste en gemakkelijkst te onthouden vragen is, wordt het waarschijnlijk heel vaak gekozen. Dat is een probleem omdat veel mensen het in het openbaar op hun profiel plaatsen, of in ieder geval een lijst met ‘Gefeliciteerd!’ berichten elk jaar. In feite geven mensen veel antwoorden op beveiligingsvragen weg in de vorm van “quizzen” die op Facebook worden gedeeld. Nog een dag, weer een hilarische aanvalsvector.
Zelfs als uw verjaardag niet het antwoord is op een daadwerkelijke beveiligingsvraag in uw account, is het nog steeds informatie die iemand kan gebruiken wanneer hij op een andere manier toegang probeert te krijgen tot uw account, zoals uw serviceprovider bellen en zich voordoen als u.
Het functioneert soms als uw wachtwoord
Toen ik bij een Verizon-winkel een upgrade naar een nieuwe telefoon deed, vroegen ze me om twee dingen: mijn telefoonnummer en mijn verjaardag. Niks anders. Vervolgens hebben ze mijn hele telefoonlijn overgezet naar een nieuw apparaat. Dat is een probleem, want die twee gemakkelijk toegankelijke nummers vormen een duidelijke aanvalsvector tegen tweefactorauthenticatie.
Tweefactorauthenticatie (vaak 2FA genoemd) is wanneer een service een code naar uw telefoon verzendt (of vraagt om een code die door een app is gegenereerd) en u die code naast uw wachtwoord moet invoeren. Het is een geweldige manier om de beveiliging te verbeteren. Het wordt ook vaak gebruikt voor accountherstel, aangezien niemand toegang zou moeten hebben tot een apparaat in uw zak behalve u. Maar als iemand uw telefoonnummer virtueel kan stelen door alleen uw verjaardag te kennen, brengt dit elke service die ervan afhankelijk is in gevaar.
En het is niet alleen uw telefoon die kwetsbaar kan zijn, dit probleem van “verjaardag-als-wachtwoord” komt op veel plaatsen voor. Hoe vaak is je verjaardag gevraagd om iets te verifiëren? Het is logisch, aangezien iedereen jarig is, dus het is gemakkelijk voor mensen om het te onthouden. Het is ook redelijk veilig, aangezien het aantal dagen in een periode van 30 jaar al meer is dan de 10.000 mogelijke viercijferige PIN-combo’s. Maar mensen pinnen hun pincode niet bovenaan hun Facebook-profielen.
VERWANT: Wat u moet doen als u uw tweefactortelefoon verliest
Het helpt mensen uw burgerservicenummer te raden
veiligheidstip: verander regelmatig je geboorteplaats en moeders meisjesnaam
– Justin Pot (@jhpot) 15 december 2016
Heck, als je in de VS bent geboren en een sofinummer hebt, kunnen mensen je geboortedatum en geboorteplaats gebruiken om je sofinummer te raden. Burgerservicenummers waren gekoppeld aan de geboorteplaats tot 2011, toen de randomisatie begon, dus iedereen die daarvoor is geboren, heeft een meer voorspelbaar sofi-nummer.
Je verjaardag is niet het enige gevaarlijke dat je kunt delen; identiteitsdieven kunnen ook handig gebruik maken van gegevens zoals uw geboorteplaats en de meisjesnaam van uw moeder. En het is moeilijk om te voorkomen dat u deze details online deelt.
