web-dev-qa-db-ja.com

あなたの生年月日を明らかにすることはどれほど危険ですか、そしてなぜですか?

ある時点で、私は友人に、あなたの生年月日(社会保障番号や母親の旧姓など)を明らかにすることは危険であると伝えました。これは、個人情報の盗難にとって重要な情報だからです。しかし、正確に身元情報泥棒がonlyの場合にできることはわかりません私の生年月日でした。 (私の名前、そしておそらく私の住所は、ここに公開されていると思います。)

どのようにそしてなぜ正確にあなたの生年月日を明らかにしているそれは危険ですか?

私はnotであることに注意してください。他の個人情報(SSNなど)とのcombinationでそれを知ることが危険である理由を尋ねます。私はそれを単独で知ることさえ危険である理由を尋ねています。私の生年月日だけで、ID泥棒はどのようなことをすることができますか?たとえば、銀行口座を開設できますか?銀行のパスワードを回復しますか?クレジットカードを開きますか?自動車ローンを借りますか?等.

(私は国がアメリカ合衆国であると想定しています。)

100
user541686

あなたの誕生日を明かすことの問題は誕生日そのものではありません、それはあなたが人々にもう一つのデータポイントを与えているということです。

サイトAでの誕生日、サイトBでの親戚(たとえば、母親の旧姓を示す)、サイトCでの住所を明らかにします...人々が膨大な量の編集された情報をまとめることができるのを知る前に...

その後、その情報を使用して、パスワードリセットフォームを直接使用したり、パスワードを推測したり、またはスピアフィッシング攻撃を介して間接的にハッキングしたりできます。

たとえば、あなたの誕生日に到着し、その名前から来る古い学校の友人からの誕生日メッセージは、「これをクリックしてください」というリンクの付いたランダムな電子メールよりもはるかに説得力があります。

24
Tim B

問題は誕生日そのものではありません。問題は、残念ながら多くの企業やWebサイトがまだ検証目的で使用していることです。これは確かに悪い習慣であり、多くの企業がその理由でポリシーを変更しています。

銀行は時々パスワードを取得するためにそれを使用しましたが、近年彼らも(使用する銀行に応じて)手順を大幅に変更しました。

したがって、あなたの質問に答えることは、あなたの生年月日を明らかにすることは安全です。できれば、本当に必要なときにのみ公開するようにしてください(たとえば、本当に必要かどうかを毎回問い合わせる)。情報は秘密とは見なされず、正当な目的のために場合によっては開示する必要があります。個人情報と同様に、できる限り少ない頻度で開示することが最善の方法です。一方、個人情報の盗難が行われ、犯人が誕生日を見つけるだけで情報を取得したり、アクションを実行したりしていることが判明した場合(簡単に見つけることができます)。そうすれば、会社はあなたの個人情報を適切に保護しなかったり、検証プロセスを怠ったりする責任を負うことになります。もちろん、これはそれに対処する必要があることを意味します(これは厄介で非常に時間がかかります)。

78
Lucas Kauffman

ID泥棒は私の誕生日だけでどのようなことができますか?たとえば、銀行口座を開設できますか?銀行のパスワードを回復しますか?クレジットカードを開きますか?自動車ローンを借りますか?

これらの質問に対する答えは、空間と時間に依存します。空間とは、さまざまな国の法律を意味し、誰かが住んでいる国のライフスタイルや福祉さえも重要です。驚くかもしれませんが、銀行口座があっても贅沢な国はたくさんあります。その場合、誕生日が明かされていなくても心配する必要はありません。

また、たとえば銀行については、活動している国の法律に適応します。また、同じ国内でも法律は時とともに変化するため、その情報が悪質な人にとって役に立たない場合は、数年後にはなんとなく面白くなります。

すべての場合において、あなたの誕生日は birthday paradox に従ってすでに私のものである可能性があるため、認証のステップを実行するために誕生日のみに依存するセキュリティ関連システムはありません。しかし、もちろん、あなたがあなた自身について明らかにしないほど、あなたは最も安全です。しかし、これは私たちを偏執的であるか、過失であるか、または単に賢い人であるかを選ぶように導くでしょう。

編集:

あなたはアメリカに住んでいるので、あなたのSSNがあまりにも重要であることを私よりよく知っています。その場合、短い調査の結果、 すでにいくつかのアルゴリズムがあります 悪意のある人があなたの誕生日と出生地に基づいてSSNを推測し、 個人情報の盗難につながる可能性がある)ことがわかりました

21
user45139

米国では、誕生日は公の記録の問題であり、それらを簡単に検索できる多くのオンラインデータベースがあります。イタリアのような他の国ではそれはさらにプライベートではありません。生年月日は単純なWebフォームで定期的に要求され、履歴書にも含まれます。

本質的に、誕生日は秘密ではないので、誕生日を1つのように扱うべきではありません。はい、一部の不正なWebサイトは検証目的でそれらを使用しています。しかし、秘密ではない秘密を保持することは愚かな習慣です。

10
Steve Sether

名前、誕生日、および住所だけで、攻撃者はあなたのメールボックスをケースに入れ、あなたが口座を持っている銀行を見つけることができます。あなたの誕生日に、彼はあなたの誕生日のバウチャーを含む銀行のレターヘッドが付いた手紙をあなたに郵送し、悪意のあるリンクにアクセスしてバウチャーを引き換えるように頼むことができます。

それは抜群です。しかし、私が強調しようとしている点は、公開情報から追加情報を取得できるため、できる限り公開情報の量を最小限に抑えることです。例えば。住所から銀行名を取得する。

第二に、どの情報が公開情報と見なされるか、どの情報がそうでないかについての標準的なガイドラインはないと私は信じています。たとえば、特定の銀行では、誕生日を個人情報とみなして、PIN誕生日を提供できる場合はリセットできます。これの良い例は、マットホナンの個人情報の盗難です。2012年、 Appleクレジットカード番号の下4桁は個人情報と見なされていましたが、Amazonはそれらを公開情報と見なしていました。そのため、デジタルライフ全体が失われました。

出典: http://www.wired.com/2012/08/Apple-Amazon-mat-h​​onan-hacking/

5
limbenjamin

英国では、特定のパラメータ内で生年月日を明らかにした結果、母親の旧姓を見つけることができます。そこから、彼らはあなたの両親の結婚とあなたのすべての兄弟を追跡することができます。

名前と生年月日を指定すると、 FreeBMD にアクセスできます。また、名前が通常と異なる場合は、母親の旧姓(一般的なセキュリティの質問)を含む、生年月日のレジストリの詳細を見つけることができます。あなたの名前が一般的である場合、出生地(Facebookから入手できると思います)を使用してエントリを絞り込むことができます。

彼らがあなたの両親の名前を得たら、彼らは同じサイトから、あなたのすべての兄弟の名前と生年月日を知ることができます。出生証明書と結婚証明書のコピーは、少額の手数料で bought にすることができ、そこからさらに詳細が得られる場合があります。

そこから、彼らは 選挙ロール を使用して家族の家と住所を追跡できます。

これは明らかに情報を盗みます。あなたに関する一定量の情報が出たら、多くの場合、無料のソースからさらに多くの情報を開発できます。

4
OldCurmudgeon

Kevin Mitnickの本 "Ghost in the Wires"を読んで、誰かが1つまたはいくつかだけで何ができるかについての目を見張るような見方をお勧めします。データポイント。あなたの質問によると、誰かがあなたの名前と住所を持っているかもしれません。

Mitnickのような優れたソーシャルエンジニアは、それを使用してアパートのマネージャーに電話をかけ、あなたが引っ越したとき、緊急連絡先が誰であるかなど、さらにいくつかのデータポイントを取得するでしょう(たとえば、彼は医者を装って、彼の緊急治療室で、彼が持っているのはあなたの携帯電話と運転免許証だけです。次に彼はその情報を使用して、古い大学の友達があなたを見つけようとしているなどのふりをします。 SSN、アカウント番号などを取得するためのストーリー.

とにかく、本をチェックしてみれば、1の情報でさえ、優れたID泥棒に十分な理由がすぐにわかります。

4
Rick Chatham

免責事項

ここではリスクの用語を2つの方法で理解できるため、これは複雑な質問です。あなたは「会社に生年月日を伝える」という行為に関連するリスクを求めています。この操作の最終結果に関連する全体的なリスクについて話していますか、それともこの唯一のアクションに関連する追加のリスクについて話していますか。

孤立したリスク

質問の詳細から、この操作によって追加されたばかりのリスクの評価を求めています。

生年月日は公開情報であり、秘密でもなく、取り消しもできないため、この情報に関連する全体的なリスクを変更することはできません。この操作に関連するリスクは次のようになります:0。

累積リスク

これはぎこちなく見えますが、これは「会社に生年月日を伝えること」が、生年月日を伝える人の行動の前のリスクであるという事実によるものです。

生年月日の伝達に関連する全体的なリスクは、簡略化された式と見なされる可能性があります。

偽の秘密+悪いセキュリティ+クロスチェックハント+個人的なコミュニケーション

そして、悪い結果が発生する確率を追加するという観点からのこれらの推定は次のとおりです。

偽の秘密:x 
 +悪いセキュリティ:y 
(これは独立したxではありません)
 +クロスチェックハント:z 
リスクが追加されましたさまざまな公開情報
のハンターによって、攻撃のための正しいアイデンティティを構築する
企業が偽の秘密を宣伝している
 +個人的なコミュニケーション:t 
 ________________________________________________________________________ 
総確率of bad:p = 11-x)(1-y)(1-z)(1-t)

(私の個人的な生の推定は、x≃0,1、y≃0,4、z≃0,2、t≃0
これはp≃0,6につながります)

同じ理由で、私の個人的な観点から、生年月日は秘密であり、認証として使用できるという考えに関連する全体的なリスクは、次のとおりです。---(1(=悪いイベントの確率= 1 x影響範囲=最大)。

悪い例

私の銀行は私の生年月日を識別メカニズムとして使用しています。世間知らずの顧客に販売しているこの偽の秘密と、顧客が生み出しているリスクのために、私が他の人よりも彼らを信頼しない理由を説明しました。

彼らは変わりませんでした。彼らは非常に丁寧に情報を登録しました。

銀行を切り替えるリスクは日々高まっています。

この貧しい慣行が公になるリスクは日々高まっています。

4
dan

米国では、「名前と生年月日」は、医師やその他の医療専門家が要求する標準の認証トークンのようです。確かに、私が医者に電話するときはいつでも、彼らが個人的なことについて話し合う前に、この情報とこの情報だけを求められます。

攻撃者がこの情報を持っていて、医師の身元を推測できる場合(おそらく十分に小さな町に住んでいる場合は、住所から簡単に推測できます)、電話で医師になりすます可能性があります。今後の予定やテスト結果などに関する情報を彼らが入手できると思います。記録の完全なセットを取得するには、もう少し手間がかかる可能性があります(おそらく、郵送されたフォームで署名を偽造する可能性があります)。

1
Nate Eldredge

Law.SE サイトに 徹底的に調査された回答 があるため、これを回答として追加します。

引用:

ニューヨーク州の裁判所のWebサイトでは、誰かの犯罪歴を取得する方法について読むことができます。これらは公開されている記録なので、だれでも誰に対してでもリクエストを出すことができます。 65ドルの手数料がかかります。レコードはオンラインで注文でき、結果はメールで送信できます。検索は名前と生年月日の完全一致強調マイン-D.H。)によって処理されます。

他の州でもおおむね同様の手順があります。行為および財産の所有権に関する情報も要求される場合があります。リクエストがログに記録されている間、決定された人物は、これらのリクエストを行うために、偽のまたは代替のIDを持ちます。

0
Deer Hunter

生年月日は、個人を特定できる情報(PII)のほんの一部です。特定の個人を識別する可能性のあるデータ。このようなPIIの部分が多いほど、個人を特定したり、なりすましを行ったりするのが簡単になります。私の国の銀行は、電話で口座の所有者であることを確認する前に、2〜3の個人的な質問をします。

匿名データベース(出会い系サイト、匿名名のHospital Donor Recordsなど)からユーザーを特定する方法については、さまざまな情報により、使用しているモニカーが実際にあなたである可能性が高くなります。

すべてのサービスが2番目の認証要素(2FA)を必要とするわけではないため、誰かに関する個人情報を知ることで、攻撃者がシステム、あなたの記録を見る銀行の電話オペレーター、または電話で医療記録を確認している看護師にアクセスする可能性があります、または場合によっては、業者になりすましてサプライヤーに支払いを要求する。

0
Davis