揭露自己的出生日期本身是危险的,为什么以及为什么呢?
请注意,我并不是在问为什么将其与其他个人信息(例如SSN)结合使用会带来危险。我在问为什么什至孤立地知道它也是危险的。
ID窃贼仅仅用我的生日就能做些什么?例如,他可以开一个银行帐户吗?找回银行密码?开张信用卡?借车贷?等。
(我假设该国家是美国)。
#1 楼
透露生日的问题不是生日本身,而是您给人们提供了另一个数据点。在站点A上公布您的生日,在站点B上透露您的亲戚(例如,母亲的娘家姓),您在网站C上的地址...在您知道该地址之前,人们可以将大量已编译的信息汇总在一起。
这些信息随后可用于直接入侵他人。使用密码重设表格,猜测密码等,或通过鱼叉式网络钓鱼攻击间接进行。
例如,一个老同学的生日信息传到您的生日,并且来自他们的名字,这将更令人信服而不是带有链接的随机邮件,上面写着“单击此”。
#2 楼
问题不是生日本身,而是一个问题,不幸的是,许多公司和网站仍在使用它进行验证。这当然是一种不好的做法,许多公司正是出于这个原因而更改其政策。银行有时会使用它来检索密码,但是近年来,它们也已对其程序进行了重大更改(取决于银行)你用)。
因此,回答您的问题可以安全地透露您的生日。最好您仅在确实需要时才公开它(例如,每次询问他们是否真的需要它),该信息都不被视为秘密信息,并且出于合法目的您将需要偶尔公开它。与任何个人信息一样,最好的做法是在尽可能少的情况下进行披露。另一方面,如果身份盗用被发现,罪魁祸首是能够通过给您的生日(这很容易找到)来检索信息或执行某项操作的人。然后,公司很可能会因未充分保护您的个人信息或在其验证过程中疏忽而承担责任。当然,这将意味着您将不得不对其进行处理(这是令人讨厌且非常耗时的)。
评论
我不明白你的第一段。这与其他所有信息都不一样吗?问题不在于信息本身,而在于信息用于验证您的身份。我不明白你在这里说什么...
–user541686
15年7月27日在7:31
卢卡斯的意思是,揭露自己的生日不是危险的事实。事实上,公司正在使用这种非秘密且不可撤销的信息作为危险的识别手段。没有这些公司,就不会存在与传递非秘密且不可撤销的信息有关的任何风险。因此,这些不良公司是风险的根源。
– dan
15年7月27日在9:57
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
2015年9月10日在9:58
#3 楼
身份盗窃者仅在我生日时可以做些什么?
例如,他可以开一个银行帐户吗?找回银行密码?
打开信用卡?借车贷吗?
这些问题的答案取决于时间和空间。在空间上,我指的是不同国家/地区的立法,甚至一个人所居住国家的生活方式和福利也很重要。您可能会感到惊讶,但是在许多国家/地区,甚至拥有银行帐户都是一种奢侈,在这种情况下,无需担心是否透露自己的生日。
此外,当涉及到例如,银行会根据自己所在国家/地区的法律进行调整。同样,在同一国家/地区,法律会随着时间而变化,因此,当这样的信息对一个邪恶的人来说毫无用处时,几年之内就会变得有趣起来。
在所有情况下,都没有与安全相关的系统仅取决于您的生日才能完成身份验证的任何步骤,因为根据生日悖论,您的生日可能已经属于我了。但是,当然,您越少透露自己,就越安全。但这会导致我们在偏执狂,疏忽大意或只是一个明智的人之间进行选择。
编辑:
当你生活在美国时,你比我更了解您的SSN太重要了。在那种情况下,经过简短的研究,我发现坏人已经可以使用某些算法根据您的生日和出生地猜测您的SSN,从而导致身份盗用。
评论
在每个公民都有唯一身份证号的国家身份证文件的国家中,这会是一个问题吗?在我的国家/地区,银行只要求提供带有照片和某些难以伪造的特征的身份证件(全息图,紫外线,3D纹理,嵌入式芯片)
– Borjab
15年7月30日在8:17
该出生日期和地点算法仅适用于大约1987年之后和2011年中之前的本机出生的人-虽然很大,但距离所有人还很远。此外,它很少会获得最后4位数字-但使用了last-4或在很多地方没有显示整个SSN。
–dave_thompson_085
15年7月30日在21:48
#4 楼
在美国,生日是公共记录的问题,并且有许多在线数据库可以轻松查询它们。在意大利等其他国家,它的隐私甚至更少。通常会在简单的Web表单上要求您生日,甚至将其包括在简历中。本质上,生日不是秘密,您不应该像对待生日那样对待他们。是的,某些不良网站将其用于验证目的。但是,将一些秘密而不是秘密保密是一种愚蠢的做法。
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
15年7月28日在9:23
#5 楼
仅使用名称,生日和地址,攻击者就可以利用您的邮箱来找出您在哪个银行开户。在您的生日那天,他可以给您寄一封带有银行的抬头的信,其中包含您的生日券,并要求您访问恶意链接以兑换该券。这是牵强的。但是我要说明的是,您应该尽可能地减少公共信息的数量,因为可以从中获取更多信息。例如。
其次,我认为对于哪些信息被视为公共信息,哪些信息不被视为公共标准没有准则。例如,某些银行可能会将您的生日视为私人信息,并允许您在可以提供生日的情况下重设PIN。马特·霍南(Matt Honan)的身份盗用就是一个很好的例子。 2012年,Apple认为信用卡号的后4位是私人信息,但Amazon则将其视为公开信息。这导致他失去了整个数字生活。
资料来源:http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/
评论
是的,这太牵强了。甚至与您透露自己的SSN或母亲的娘家姓或类似名字所面临的那种危险并没有遥不可及,但是我敢肯定,生日几乎和那些生日一样危险,因此必须有更大的风险。 。
–user541686
15年7月27日在7:38
“如果攻击者知道您的生日,他或她可以向您发送一些真正适当的礼物!”
–迈克尔
15年7月27日在16:39
@Michael Hey,礼物可能很危险!毕竟,我们将其称为“特洛伊木马”是有原因的。 :)
– neminem
15年7月27日在17:34
#6 楼
免责声明这是一个复杂的问题,因为此处的风险一词可以用两种方式来理解。您是在问与“向公司传达生日信息”相关的风险。
您是在说与这次手术的最终结果有关的总体风险吗?与此单独操作相关的风险。
隔离的风险
从您的问题的详细信息中,您正在要求评估此操作刚刚添加的风险。
由于出生日期是公开信息,因此既不是秘密也不可以撤销。
您不能以任何方式改变与该信息相关的总体风险。 :0。
累积风险
这看起来很令人毛骨悚然,但这是由于以下事实:“向公司传达自己的生日”是一个人采取行动之前的一种风险。传达他的出生日期。
与传达出生日期相关的整体风险可能被视为
一个简化的公式:
虚假的秘密+安全性差+交叉检查匈奴t +个人通讯
,我对这些附加的不良结果发生可能性的估计是:
false secret: x
+ bad security: y
(this y isn't independant x)
+ crosscheck hunt: z
risk added by hunter of different public
information to build a correct identity to attack
companies promoting false secrets
+ personnal communication: t
________________________________________________________________________
Total probability of bad: p = 1 - (1-x)(1-y)(1-z)(1-t)
(我个人的原始估计是x≃0,1,y≃0,4,z≃0,2,t≃0
导致ap≃0,6)
以我个人的观点,
与
生日是秘密并且可以用作身份验证的想法相关的总体风险为:1(=严重事件的概率= 1 x影响=最大值)。
错误的例子
我的银行正在使用我的出生日期作为一种识别机制。
我向他们解释了为什么我不那么信任他们,因为他们向天真的客户销售这个错误的秘密以及他们所创造的风险。
他们没有改变。他们非常有礼貌地注册了信息。
我换银行的风险每天都在增加。
这种不良做法成为公众的风险每天都在增加。
评论
我认为您的数学是错误的。要找到一组事件中发生的任何元素的概率,只有每个事件不相交时才可以发生,而在这种情况下它们显然不是。取而代之的是,假设事件彼此独立,则“不良总概率”应等于1-((1- 0.4)(1- 0.4)(1- 0.2))= 0.712。
–凯尔米克拉
2015年7月30日,下午3:51
我想您想输入“只能添加”。而且...我相信你是正确的:)。
– dan
15年7月30日在9:30
→Kyth'Py1k:我试图采用一种更现实的概率计算方案。
– dan
15年7月30日在12:05
是的,我的意思是只能补充。做好编辑。
–凯尔米克拉
2015年7月30日13:30
#7 楼
我建议您阅读凯文·米特尼克(Kevin Mitnick)的著作“电线中的幽灵”,以开阔的眼光看待某人仅用一个或几个数据点就可以做什么。根据您的问题,某人可能还会有您的姓名和地址。像Mitnick这样的优秀社会工程师可能会用它打电话给您的公寓经理,并获得更多的数据点,例如您入住时,您的紧急联系人等。(例如,也许他冒充医生,说您在他的急诊室,而他所拥有的只是您的手机和驾驶执照。)然后,他利用这些信息假扮成一所古老的大学朋友试图找到您,等等。他打的每个电话都给了他另一件作品,直到他可以重现足够的故事来获取您的SSN,帐号等。
无论如何,请查看本书,然后您很快就会真正理解,为什么即使只有一条信息也足以构成一个好的身份窃贼。
#8 楼
在英国,在某些参数范围内揭示您的出生日期的一个具体结果是,他们可以找到您母亲的娘家姓。从那里,他们可以追踪您父母的婚姻和所有兄弟姐妹。给出您的姓名和出生日期,您可以访问FreeBMD,如果您的名字不寻常,则可以找到您的出生登记信息,包括母亲的未婚名称(常见的安全性问题)。如果您的名字很普通,那么可以使用出生地(我相信可以从Facebook获得)来缩小您的输入范围。
一旦他们有了父母的名字,他们就可以在同一站点上找到名字和日期您所有兄弟姐妹的出生。只需少量费用即可购买出生和结婚证书的副本,有时还可以从中获取更多详细信息。
现在,他们可以从那里使用选举登记簿来追踪您的家庭住所和地址。这显然是信息蠕变。一旦有关于您的一定数量的信息,可以从经常免费的来源中获取更多信息。
#9 楼
在美国,“姓名和出生日期”似乎是医生和其他医学专家要求的标准认证令牌。当然,每当我打电话给我的医生时,我都会要求他们提供这些信息,并且仅询问该信息,然后他们才能讨论任何个人问题。如果攻击者拥有此信息,并且可以猜测您医生的身份(如果您居住在足够小的城镇中,则可能很容易从您的住址进行操作),他们可能会成功地通过电话向您的医生冒充您。我希望他们能够获得有关您即将到来的约会,测试结果等的信息。获取完整的记录集可能需要做更多的工作(也许会在邮寄的表格上伪造您的签名)。
#10 楼
我将其添加为答案是因为在Law.SE网站上进行了精心研究。引用:
在纽约州法院网站上,您可以阅读有关如何获取任何人的犯罪记录的信息-它们是公共记录,因此任何人都可以提出关于任何人的请求。费用为65美元。可以在线订购记录,并将结果通过电子邮件发送给您。搜索是通过姓名和出生日期的精确匹配来进行的(重点是D.H.)。
其他州的程序大致相同;也可能需要提供有关契约和产权的信息。在记录请求时,确定的人将具有一些假冒或替代身份来提出这些请求。
#11 楼
生日只是个人身份信息(PII)的另一部分。可能识别特定个人的任何数据。这种PII越多,越容易识别您或冒充您。在通过电话确认您确实是帐户所有者之前,我国的银行会提出2-3个个人问题。关于如何从匿名数据库(例如约会网站,带有匿名名称的医院捐赠者记录)中识别您的身份,您的不同信息可以增加您使用的绰号实际上是您的可能性
并非所有服务都需要第二身份验证因子(2FA),因此了解某人的个人信息可能会使攻击者具有访问系统,查看您的记录的银行电话接线员或护士的权限。正在通过电话检查某些病历,或者在某些情况下,假冒企业要求供应商付款。
评论
约翰·史密斯(John Smith),DOB未知:300万个候选记录。约翰·史密斯(John Smith),4/5/1955:17个候选记录。@DeerHunter这些数字仅在您假设人们平均生活483岁的情况下才具有代表性。
揭示您的生日或一天可以鼓励人们为您举办惊喜派对,这可能导致心脏病和死亡,以及其他后果(包括蛋糕和礼物!)。
询问是否将出生日期组合起来并不是一件容易的事……有可能获得或可能获得其他信息,并且不保护所有信息(除非确实必要)会增加某人知道足以造成伤害的机会。 >
评论不作进一步讨论;此对话已移至聊天。