Le problème n'est pas l'anniversaire lui-même, le problème est que malheureusement de nombreuses entreprises et sites Web l'utilisent encore à des fins de vérification. C'est certainement une mauvaise pratique et de nombreuses entreprises modifient leurs politiques juste pour cette raison.

Les banques l'utilisaient parfois pour récupérer un mot de passe, mais ces dernières années, elles ont elles aussi considérablement modifié leurs procédures (selon la banque que vous utilisation).

Pour répondre à votre question, il est donc prudent de révéler votre date de naissance. De préférence, vous ne les révélez que chaque fois que cela est vraiment nécessaire (par exemple, demandez-leur à chaque fois s'ils en ont vraiment besoin), les informations ne sont pas considérées comme secrètes et vous devrez les divulguer à l'occasion à des fins légitimes. Comme pour toute information personnelle, la meilleure chose à faire est de divulguer le moins d'occasions possible. D'un autre côté, si le vol d'identité est commis et que le coupable se révèle être une personne capable de récupérer des informations ou d'effectuer une action en donnant simplement votre anniversaire (ce qui est facile à trouver). Ensuite, il est fort probable que la société soit responsable de ne pas protéger adéquatement vos informations personnelles ou d'avoir fait preuve de négligence dans son processus de vérification. Bien sûr, cela signifie que vous devrez y faire face (ce qui est une nuisance et prend beaucoup de temps).

Le problème avec la révélation de votre anniversaire n'est pas l'anniversaire lui-même, c'est que vous donnez aux gens un autre point de données.

Révélez votre anniversaire sur le site A, vos proches sur le site B (ce qui donne par exemple le nom de jeune fille de la mère), votre adresse sur le site C ... avant que vous ne le sachiez, les gens peuvent rassembler une énorme quantité d'informations compilées.

Ces informations peuvent ensuite être utilisées pour pirater des choses, soit directement en utilisant des formulaires de réinitialisation de mot de passe, en devinant des mots de passe, etc., ou indirectement par des attaques de spear phishing.

Par exemple, un message d'anniversaire d'un ami de la vieille école qui arrive le jour de votre anniversaire et provient de son nom serait beaucoup plus convaincant qu'un e-mail aléatoire avec un lien indiquant "cliquez dessus".

Quels types de choses un voleur d'identité pourrait-il faire juste avec mon anniversaire? Peut-il, par exemple, ouvrir un compte bancaire? Récupérer un mot de passe bancaire? Ouvrir une carte de crédit? Prendre un prêt automobile?

Les réponses à ces questions dépendent de l'espace et du temps. Par espace, j'entends la législation dans différents pays et même le style de vie et le bien-être du pays dans lequel une personne vit compte beaucoup. Vous pouvez être surpris, mais il y a beaucoup de pays où même avoir un compte bancaire est un luxe, auquel cas personne n'a à s'inquiéter si son anniversaire est divulgué ou non.

Aussi, quand il s'agit des banques par exemple, ils s'adaptent à la législation des pays où ils sont actifs. De plus, dans le même pays, la loi change avec le temps, de sorte que lorsque ces informations sont inutiles pour une personne néfaste, elles peuvent être intéressantes d'une manière ou d'une autre dans quelques années.

Dans tous les cas, il n'y a pas de système lié à la sécurité qui dépend uniquement le jour de votre anniversaire pour accomplir n'importe quelle étape d'authentification car peut-être que votre anniversaire est déjà le mien selon le paradoxe de l'anniversaire. Mais bien sûr, moins vous en dites sur vous-même, plus vous êtes en sécurité. Mais alors cela nous amènera à choisir entre être paranoïaque, négligent ou juste une personne sage.

MODIFIER:

Comme vous vivez aux États-Unis, vous sachez mieux que moi que votre SSN est trop important. Dans ce cas, après une brève recherche, j'ai découvert que il existe déjà des algorithmes qu'une personne malveillante pourrait exécuter pour deviner votre SSN en fonction de votre anniversaire et de votre lieu de naissance, ce qui conduit également à un vol d'identité.

Aux États-Unis, les anniversaires sont du domaine public, et il existe de nombreuses bases de données en ligne où ils peuvent être consultés de manière simple. Dans d'autres pays comme l'Italie, c'est encore moins privé. Votre date de naissance est régulièrement demandée sur de simples formulaires Web, et est même incluse dans un CV.

Essentiellement, les anniversaires ne sont pas des secrets et vous ne devriez pas les traiter comme tel. Oui, certains sites Web malveillants les utilisent à des fins de vérification. Mais garder quelque chose de secret qui n'est pas un secret est une pratique insensée.

Avec le nom, la date de naissance et l'adresse uniquement, un attaquant pourrait caser votre boîte aux lettres pour savoir avec quelle banque vous avez un compte. Le jour de votre anniversaire, il pourrait vous envoyer une lettre avec l'en-tête de cette banque contenant un bon pour votre anniversaire et vous demandant de visiter un lien malveillant pour utiliser le bon.

C'est exagéré. Mais ce que j'essaie de faire valoir, c'est que vous devriez essayer autant que possible de minimiser la quantité d'informations publiques, car il est possible d'en obtenir des informations supplémentaires. Par exemple. obtenir le nom de votre banque à partir de votre adresse.

Deuxièmement, je pense qu'il n'y a pas de directive standard sur les informations considérées comme publiques et celles qui ne le sont pas. Par exemple, certaines banques peuvent considérer votre anniversaire comme une information privée et vous permettre de réinitialiser votre code PIN si vous pouvez fournir l'anniversaire. Le vol d'identité de Matt Honan en est un bon exemple. En 2012, Apple considérait les 4 derniers chiffres du numéro de carte de crédit comme des informations privées, mais Amazon les considérait comme des informations publiques. Cela lui a valu de perdre toute sa vie numérique.

Source: http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

Clause de non-responsabilité

C'est une question complexe car ici le terme de risque peut être compris de 2 manières. Vous demandez le risque associé à l'action de "communiquer sa date de naissance à une entreprise". Parlez-vous du risque global associé au résultat final de cette opération ou parlez-vous du risque supplémentaire associé à cette seule action.

Risque isolé

A partir du détail de votre question, vous demandez une évaluation du risque que vient d'ajouter cette opération.

Puisqu'une date de naissance est une information publique , ni secret ni révocable, vous ne pouvez en aucun cas modifier le risque global associé à ces informations. Le risque associé à cette opération est alors: 0.

Risque cumulé

Ce semble choquant, mais cela est dû au fait que «communiquer sa date de naissance à une entreprise» est un risque avant l'action de quelqu'un qui communique sa date de naissance.

Le risque global associé à la communication de la date de naissance pourrait être vu comme une formule simplifiée:

faux secret + mauvaise sécurité + recherche de contre-vérification + communication personnelle

et mon estimation de ceux-ci en les conditions d'ajout de probabilités de mauvais résultats sont:

 faux secret: x + mauvaise sécurité: y (ce y n'est pas indépendant x) + crosscheck hunt: z risque ajouté par le chasseur d'informations publiques différentes pour construire un identité correcte pour attaquer les entreprises promouvant de faux secrets + communication personnelle: t________________________________________________________________________ Probabilité totale de mauvais: p = 1 - (1-x) (1-y) (1-z) (1-t) 

(Mon personnel l'estimation brute est que x ≃ 0,1, y ≃ 0,4, z ≃ 0,2, t ≃ 0
ce qui conduit à ap ≃ 0,6)

Pour la même raison, de mon point de vue personnel, le risque global associé à l'idée qu'un la date de naissance est un secret et pourrait être utilisée car une authentification est de: 1 (= probabilité d'un mauvais événement = 1 x périmètre d'impact = max).

Mauvais exemple

Ma banque utilise ma date de naissance comme mécanisme d'identification, je leur ai expliqué pourquoi je leur fais moins confiance qu'aux autres à cause de ce faux secret qu'ils vendent à des clients naïfs et du risque qu'ils créent.

Ils n'ont pas changé. Ils ont enregistré les informations très poliment.

Le risque que je change de banque augmente chaque jour.

Le risque que cette mauvaise pratique devienne publique augmente chaque jour.

Au Royaume-Uni, un résultat spécifique de la révélation de votre date de naissance - dans certains paramètres - est qu'ils peuvent trouver le nom de jeune fille de votre mère. De là, ils peuvent retracer le mariage de vos parents et tous vos frères et sœurs.

Étant donné votre nom et votre date de naissance, vous pouvez visiter FreeBMD et, si votre nom est inhabituel, il est possible de trouver les détails du registre de votre naissance, y compris le nom de jeune fille de votre mère (une question de sécurité courante). Si votre nom est commun, alors un lieu de naissance (disponible sur Facebook je crois) peut être utilisé pour affiner votre saisie.

Une fois qu'ils ont le nom de vos parents, ils pourraient alors, à partir du même site, découvrir le les noms et dates de naissance de tous vos frères et sœurs. Des copies des certificats de naissance et de mariage peuvent être achetées pour une somme modique, à partir de laquelle des détails supplémentaires peuvent parfois être tirés.

De là, ils peuvent désormais utiliser la liste électorale pour retrouver la maison et l'adresse de votre famille.

Il s'agit clairement d'un fluage d'informations. Une fois qu'une certaine quantité d'informations sur vous est disponible, d'autres peuvent être développées à partir de sources souvent gratuites.

Je vous recommande de lire le livre de Kevin Mitnick " Ghost in the Wires " pour découvrir ce que quelqu'un peut faire avec un seul, ou peu de points de données. Selon votre question, quelqu'un pourrait également avoir votre nom et votre adresse.

Un bon ingénieur social comme Mitnick l'utiliserait peut-être pour appeler le gérant de votre appartement et obtenir quelques points de données supplémentaires comme lorsque vous avez emménagé, qui est votre le contact d'urgence est, etc. (Par exemple, peut-être qu'il se fait passer pour un médecin et dit que vous êtes dans sa salle d'urgence et qu'il n'a que votre téléphone portable et votre permis de conduire.) Il utilise ensuite cette information pour se faire passer pour un vieil ami d'université essayer de vous trouver, etc. Chaque appel qu'il fait lui donne un autre morceau jusqu'à ce qu'il puisse recréer suffisamment d'histoire pour obtenir votre SSN, vos numéros de compte, etc.

Quoi qu'il en soit, consultez le livre et vous comprendre très rapidement pourquoi même 1 une information suffit à un bon voleur d'identité.

Aux États-Unis, "nom et date de naissance" semblent être les jetons d'authentification standard exigés par les médecins et autres professionnels de la santé. Certes, chaque fois que j'appelle mon médecin, on me demande ces informations, et uniquement ces informations, avant qu'ils ne discutent de quelque chose de personnel.

Si un attaquant avait ces informations et pouvait deviner l'identité de votre médecin peut-être facile à faire à partir de votre adresse, si vous vivez dans une ville assez petite), ils pourraient probablement usurper votre identité par téléphone auprès de votre médecin. Je m'attendrais à ce qu'ils puissent obtenir des informations sur vos prochains rendez-vous, les résultats des tests, etc. >

J'ajoute ceci comme réponse à cause d'une réponse minutieusement recherchée sur le site Law.SE.

Citation:

Sur le site Web de la Cour de l'État de New York, vous pouvez lire comment obtenir le casier judiciaire de n'importe qui - ils sont des archives publiques afin que n'importe qui puisse faire une demande concernant n'importe qui. Il y a des frais de 65 $. Les enregistrements peuvent être commandés en ligne et les résultats peuvent vous être envoyés par courrier électronique. Les recherches sont traitées par une correspondance exacte du nom et de la date de naissance ( c'est moi qui souligne - DH ).

D'autres états sont globalement similaires procédures; des informations sur les actes et titres de propriété peuvent également être demandées. Pendant que les demandes sont enregistrées, une personne déterminée aura une identité fausse ou alternative pour faire ces demandes.

La date de naissance n'est qu'un autre élément des informations personnellement identifiables (PII). Toutes les données susceptibles d'identifier une personne spécifique. Plus il y a d'éléments de ces informations personnelles, plus il est facile de vous identifier ou de vous faire passer pour vous. Les banques de mon pays posent 2-3 questions personnelles avant de vérifier que vous êtes bien le titulaire du compte par téléphone.

Quant à la façon dont il peut vous identifier à partir d'une base de données anonyme (par exemple, site de rencontre, dossiers de donneurs d'hôpitaux avec des noms anonymes), différents éléments de vos informations peuvent augmenter la probabilité que le surnom que vous utilisez soit réellement vous.

Tous les services ne nécessitent pas un deuxième facteur d'authentification (2FA), donc le fait de connaître des informations personnelles sur quelqu'un peut permettre à l'attaquant d'accéder à un système, à un opérateur téléphonique bancaire qui consulte votre dossier ou à une infirmière qui vérifie sur un dossier médical par téléphone ou, dans certains cas, usurper l'identité d'une entreprise pour demander des paiements à un fournisseur.