Il problema non è il compleanno in sé, il problema è che purtroppo molte aziende e siti web lo utilizzano ancora a scopo di verifica. Questa è certamente una cattiva pratica e molte aziende stanno cambiando le loro politiche proprio per questo motivo.

Le banche a volte lo usavano per recuperare una password, ma negli ultimi anni anche loro hanno cambiato le loro procedure in modo significativo (a seconda della banca uso).

Quindi, per rispondere alla tua domanda è sicuro rivelare la tua data di nascita. Preferibilmente, le rivelerai solo ogni volta che è realmente necessario (ad esempio, informati ogni volta se ne hanno davvero bisogno), le informazioni non sono considerate segrete e ti verrà richiesto di rivelarle in occasioni per scopi legittimi. Come per qualsiasi informazione personale, la cosa migliore da fare è divulgarla nel minor numero di occasioni possibile. D'altra parte, se viene effettuato un furto di identità e il colpevole risulta essere qualcuno che è in grado di recuperare informazioni o eseguire un'azione semplicemente dando il tuo compleanno (che è facile da trovare). Quindi molto probabilmente la società sarà responsabile di non proteggere adeguatamente le tue informazioni personali o di essere stata negligente nel processo di verifica. Ovviamente questo significa che dovrai affrontarlo (il che è fastidioso e richiede molto tempo).

Il problema nel rivelare il tuo compleanno non è il compleanno in sé, è che dai alle persone un punto dati in più.

Rivela il tuo compleanno sul sito A, i tuoi parenti sul sito B (che fornisce ad esempio il nome da nubile della madre), il tuo indirizzo sul sito C ... prima che tu te ne accorga le persone sono in grado di raccogliere un'enorme quantità di informazioni compilate.

Queste informazioni possono quindi essere utilizzate per hackerare le cose, o utilizzando direttamente moduli di reimpostazione della password, indovinando le password, ecc. o indirettamente tramite attacchi di spear phishing.

Ad esempio, un messaggio di compleanno di un vecchio compagno di scuola che arriva il giorno del tuo compleanno e deriva dal loro nome sarebbe molto più convincente di un'email casuale con un link che dice "fai clic qui".

Che tipo di cose potrebbe fare un ladro di carte d'identità solo con il mio compleanno? Può, ad esempio, aprire un conto in banca? Recuperare la password di una banca? Aprire una carta di credito? Prendi un prestito auto?

Le risposte a queste domande dipendono dallo spazio e dal tempo. Per spazio intendo la legislazione in diversi paesi e anche lo stile di vita e il benessere del paese in cui qualcuno vive conta molto. Puoi essere sorpreso, ma ci sono molti paesi in cui anche avere un conto in banca è un lusso, nel qual caso nessuno deve preoccuparsi se il suo compleanno viene rivelato o meno.

Inoltre, quando si tratta di banche ad esempio, si adattano alla legislazione dei paesi in cui sono attivi. Inoltre, all'interno dello stesso paese, la legge cambia nel tempo in modo che quando tali informazioni sono inutili per una persona malvagia, possono essere interessanti in qualche modo in pochi anni.

In tutti i casi, non esiste un sistema relativo alla sicurezza che dipenda solo il giorno del tuo compleanno per completare qualsiasi passaggio di autenticazione perché potrebbe essere il tuo compleanno è già il mio secondo il paradosso del compleanno. Ma ovviamente, meno riveli di te stesso, più sei sicuro. Ma poi questo ci porterà a scegliere tra essere paranoici, negligenti o semplicemente una persona saggia.

EDIT:

Dato che vivi negli Stati Uniti, tu sai meglio di me che il tuo SSN è troppo importante. In quel caso, dopo una breve ricerca, ho scoperto che esistono già degli algoritmi che una persona malvagia potrebbe correre a indovinare il tuo SSN in base alla tua data di nascita e luogo di nascita portando anche a furto di identità.

Negli Stati Uniti, i compleanni sono questioni di dominio pubblico e ci sono molti database online dove possono essere cercati banalmente. In altri paesi come l'Italia è ancora meno privato. La tua data di nascita viene richiesta di routine su semplici moduli web ed è persino inclusa in un curriculum.

In sostanza, i compleanni non sono segreti e non dovresti trattarli come tale. Sì, alcuni siti Web dannosi li utilizzano a scopo di verifica. Ma mantenere un segreto che non è un segreto è una pratica sciocca.

Solo con il nome, la data di nascita e l'indirizzo, un utente malintenzionato potrebbe richiedere la tua casella di posta per scoprire con quale banca hai un conto. Il giorno del tuo compleanno, potrebbe inviarti una lettera con la carta intestata della banca contenente un buono per il tuo compleanno e chiederti di visitare un link dannoso per riscattare il buono.

È inverosimile. Ma il punto che sto cercando di sottolineare è che dovresti cercare il più possibile di ridurre al minimo la quantità di informazioni pubbliche perché è possibile ottenere informazioni aggiuntive da esse. Per esempio. ottenere il nome della tua banca dal tuo indirizzo.

In secondo luogo, credo che non ci siano linee guida standard su quali informazioni sono considerate informazioni pubbliche e quali no. Ad esempio, alcune banche potrebbero considerare il tuo compleanno come un'informazione privata e consentirti di reimpostare il PIN se puoi fornire il compleanno. Un buon esempio di ciò è il furto di identità di Matt Honan. Nel 2012, Apple considerava le ultime 4 cifre del numero della carta di credito come informazioni private, ma Amazon le considerava informazioni pubbliche. Ciò gli ha fatto perdere tutta la sua vita digitale.

Fonte: http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

Dichiarazione di non responsabilità

Questa è una domanda complessa perché qui il termine rischio può essere inteso in 2 modi. Stai chiedendo il rischio associato all'azione di "comunicare la propria data di nascita ad un'azienda". Stai parlando del rischio complessivo associato al risultato finale di questa operazione o stai parlando del rischio aggiuntivo associato a questa unica azione.

Rischio isolato

Dai dettagli della tua domanda, stai chiedendo una valutazione del rischio appena aggiunto da questa operazione.

Poiché una data di nascita è un'informazione pubblica , né segreto né revocabile, non è possibile modificare in alcun modo il rischio complessivo associato a queste informazioni. Il rischio associato a questa operazione è quindi: 0.

Rischio cumulativo

Questo sembra soffocante, ma questo è dovuto al fatto che "comunicare la propria data di nascita a un'azienda" è un rischio prima dell'azione di uno che comunica la propria data di nascita.

Il rischio complessivo associato alla comunicazione della data di nascita potrebbe essere visto come una formula semplificata:

falso segreto + cattiva sicurezza + ricerca incrociata + comunicazione personale

e la mia stima di questi in termini di probabilità aggiuntive di cattivi risultati che si verificano è:

 falso segreto: x + cattiva sicurezza: y (questa y non è indipendente x) + ricerca incrociata: z rischio aggiunto dal cacciatore di diverse informazioni pubbliche per costruire un identità corretta per attaccare le aziende che promuovono falsi segreti + comunicazione personale: t________________________________________________________________________ Probabilità totale di cattivo: p = 1 - (1-x) (1-y) (1-z) (1-t) 

(Il mio personale stima grezza è che x ≃ 0,1, y ≃ 0,4, z ≃ 0,2, t ≃ 0
che porta ad ap ≃ 0,6)

Per lo stesso motivo, da il mio punto di vista personale, il rischio complessivo associato all'idea che a la data di nascita è un segreto e potrebbe essere utilizzata come autenticazione è di: 1 (= probabilità di evento negativo = 1 x perimetro di impatto = max).

Cattivo esempio

La mia banca sta usando la mia data di nascita come meccanismo di identificazione. Ho spiegato loro perché mi fido di loro meno degli altri a causa di questo falso segreto che stanno vendendo a clienti ingenui e del rischio che stanno creando.

Non sono cambiati. Hanno registrato le informazioni in modo molto cortese.

Il rischio che cambio banca aumenta ogni giorno.

Il rischio che questa cattiva pratica diventi pubblica aumenta ogni giorno.

Nel Regno Unito, un risultato specifico del rivelare la tua data di nascita, entro determinati parametri, è che possono trovare il nome da nubile di tua madre. Da lì possono rintracciare il matrimonio dei tuoi genitori e di tutti i tuoi fratelli.

Dato il tuo nome e la tua data di nascita puoi visitare FreeBMD e, se il tuo nome è insolito, è possibile trovarlo i dettagli del registro della tua nascita, incluso il nome da nubile di tua madre (una domanda di sicurezza comune). Se il tuo nome è comune, allora un luogo di nascita (disponibile da Facebook credo) può essere utilizzato per restringere il campo.

Una volta che hanno i nomi dei tuoi genitori, potrebbero, dallo stesso sito, scoprire il nomi e date di nascita di tutti i tuoi fratelli. Copie dei certificati di nascita e di matrimonio possono essere acquistate con un piccolo compenso, da cui a volte si possono ricavare ulteriori dettagli.

Da lì possono ora utilizzare l ' lista elettorale per rintracciare la casa e l'indirizzo della tua famiglia.

Questo è chiaramente un raccapricciante di informazioni. Una volta che una certa quantità di informazioni su di te è disponibile, altre possono essere sviluppate da fonti spesso gratuite.

Ti consiglio di leggere il libro di Kevin Mitnick " Ghost in the Wires " per avere un'idea più chiara di ciò che qualcuno può fare con un singolo, o pochi, datapoint. Secondo la tua domanda, qualcuno potrebbe anche avere il tuo nome e indirizzo.

Un bravo ingegnere sociale come Mitnick lo userebbe forse per chiamare il tuo responsabile dell'appartamento e ottenere qualche punto in più come quando ti sei trasferito, chi sei il contatto di emergenza è, ecc. (Ad esempio, forse si atteggia a medico e dice che sei al suo pronto soccorso e tutto ciò che ha è il tuo cellulare e la patente di guida). Quindi usa queste informazioni per fingere di essere un vecchio amico del college cercando di trovarti, ecc. Ogni chiamata che fa gli dà un altro pezzo finché non riesce a ricreare una storia sufficiente per ottenere il tuo SSN, i numeri di conto, ecc.

Comunque, controlla il libro e vedrai capire molto velocemente perché anche 1 informazione è sufficiente per un buon ladro di identità.

Negli Stati Uniti, "nome e data di nascita" sembrano essere i token di autenticazione standard richiesti da medici e altri professionisti del settore medico. Sicuramente ogni volta che chiamo il mio medico, mi vengono chieste queste informazioni, e solo queste informazioni, prima che discutano di qualcosa di personale.

Se un aggressore avesse queste informazioni e potesse indovinare l'identità del tuo medico ( forse facile da fare dal tuo indirizzo, se vivi in ​​una città abbastanza piccola), potrebbero probabilmente impersonarti con successo per telefono al tuo medico. Mi aspetto che siano in grado di ottenere informazioni sui tuoi prossimi appuntamenti, risultati dei test, ecc. Ottenere un set completo dei tuoi record potrebbe richiedere un po 'più di lavoro (forse falsificare la tua firma su un modulo inviato per posta).

Aggiungo questa come risposta a causa di una risposta meticolosamente ricercata sul sito Law.SE.

Citando:

Sul sito web del tribunale dello Stato di New York, puoi leggere informazioni su come ottenere i precedenti penali di chiunque: sono registri pubblici, quindi chiunque può fare una richiesta su chiunque. C'è una tassa di $ 65. I record possono essere ordinati online e i risultati possono essere inviati tramite posta elettronica. Le ricerche vengono elaborate in base a una corrispondenza esatta tra nome e data di nascita ( enfasi mia - DH ).

Altri stati hanno sostanzialmente procedure; possono essere richieste anche informazioni su atti e titoli di proprietà. Mentre le richieste vengono registrate, una determinata persona avrà un'identità falsa o alternativa per effettuare queste richieste.

La data di nascita è solo un'altra parte delle informazioni di identificazione personale (PII). Qualsiasi dato che potrebbe potenzialmente identificare un individuo specifico. Maggiore è il numero di parti di tali PII, più facile è identificarti o impersonarti. Le banche nel mio paese fanno 2-3 domande personali prima di verificare per telefono che sei effettivamente il titolare del conto.

Per quanto riguarda il modo in cui può identificarti da un database anonimo (ad es. sito di appuntamenti, record di donatori ospedalieri con nomi anonimi), diverse parti delle tue informazioni possono aumentare la probabilità che il moniker che stai utilizzando sei effettivamente tu.

Non tutti i servizi richiedono un secondo fattore di autenticazione (2FA), quindi conoscere le informazioni personali su qualcuno può consentire all'autore dell'attacco di accedere a un sistema, a un operatore telefonico bancario che guarda la tua cartella oa un'infermiera che sta controllando su una cartella clinica per telefono o, in alcuni casi, impersonare un'azienda per richiedere pagamenti a un fornitore.